Qu’est-ce que Zero Trust Network Access (ZTNA) ?

Pourquoi ZTNA est-il important aujourd’hui ?

Le travail est désormais distribué. Les équipes à distance et les workloads cloud exigent un accès sécurisé. Or, les solutions d’accès distant traditionnelles, comme les réseaux privés virtuels (VPN), manquent de flexibilité et de granularité pour les environnements distribués, ce qui accroît les risques de violation de données. C’est l’une des principales raisons pour lesquelles 65 % des entreprises ont récemment annoncé leur intention de remplacer leur VPN par une solution telle que ZTNA.

ZTNA fournit un accès distant sécurisé aux applications internes pour tous les utilisateurs, où qu’ils soient, sans compromettre les ressources critiques. Pour ce faire, son architecture diffère fondamentalement d’une solution centrée sur le réseau.

ZTNA s’appuie sur un périmètre défini par logiciel (SDP) et applique des contrôles d’accès sécurisés et basés sur l’identité. Les entreprises peuvent ainsi remplacer leurs VPN tout en réduisant leur dépendance à des outils tels que la protection contre les attaques DDoS, l’équilibrage de charge global et les pare-feu.

Guidé par quatre principes fondamentaux, ZTNA :

1. Dissocie totalement l’accès aux applications de l’accès au réseau, ce qui réduit les risques d’infection liés aux appareils compromis et limite l’accès aux seules applications autorisées.
2. Dissimule l’infrastructure réseau et applicative aux yeux des utilisateurs non autorisés. Les connexions sortantes uniquement garantissent que les adresses IP ne sont jamais exposées à Internet, qui rend le réseau indétectable.
3. Accorde un accès application par application. La segmentation native des applications garantit que les utilisateurs n’ont accès qu’à des applications spécifiques, et non à l’ensemble du réseau, ce qui élimine tout risque de déplacement latéral.
4. Adopte une approche centrée sur la relation utilisateur-application, et non sur la sécurité périmétrique. Internet devient le nouveau réseau d’entreprise, via des microtunnels chiffrés de bout en bout au lieu d’un réseau MPLS dédié.

Les risques de conformité et de sécurité que posent les VPN poussent de plus en plus d’entreprises à adopter le ZTNA. Voici quelques-unes des principales raisons d’adopter cette solution :

• Plus besoin d’appliances obsolètes : remplacez complètement les anciens équipements d’accès à distance, tels que les VPN, par une solution 100 % logicielle.
• Expérience utilisateur fluide : ne faites plus transiter le trafic utilisateur par le data center. Offrez plutôt aux utilisateurs un accès rapide et direct aux applications.
• Évolutivité sans effort : évoluez au gré de vos besoins en joutant simplement des licences supplémentaires, sans nouveaux déploiements.
• Déploiement rapide : déployez la solution partout en quelques jours, contrairement aux solutions basées sur des appliances qui exigent des semaines, voire des mois.

Avantages de ZTNA en matière de sécurité

ZTNA renforce la posture de sécurité globale et l’agilité des entreprises grâce aux avantages suivants :

• Infrastructure invisible : ZTNA donne aux utilisateurs autorisés un accès aux applications, pas au réseau. Le réseau reste protégé et invisible.
• Plus de contrôle et de visibilité : un portail d’administration centralisé simplifie la gestion et offre des contrôles granulaires, une visibilité en temps réel sur toutes les activités, et une application dynamique des politiques pour les utilisateurs ou les groupes.
• Segmentation des applications simplifiée : ZTNA permet une segmentation granulaire au niveau de l’application, sans avoir à gérer des segments complexes au niveau du réseau.
• Intégré au SASE : ZTNA est un composant essentiel du modèle Secure Access Service Edge (SASE), associé à des technologies comme le SD-WAN et les pare-feu de nouvelle génération (NGFW) dans une plateforme cloud native unifiée.

Comment ZTNA simplifie-t-il l’accès multicloud ?
ZTNA simplifie l’accès multicloud en établissant des connexions directes et sécurisées entre les utilisateurs et des applications précises, où qu’ils se trouvent. Il supprime la complexité des configurations réseau et des VPN redondants grâce à une authentification basée sur l’identité et à des règles d’accès granulaires qui harmonisent la sécurité entre les clouds.

La mise en œuvre de ZTNA suit une approche progressive conçue pour garantir une adoption harmonieuse, renforcer la sécurité et réduire les risques :

• Phase 1 : commencer par les utilisateurs distants. Remplacez les VPN existants pour l’accès distant et cartographiez l’usage des applications privées. Définissez des niveaux d’accès équivalents à ceux des VPN afin de préserver la productivité pendant la transition.
• Phase 2 : initier la microsegmentation. Identifiez les applications critiques et créez des politiques d’accès granulaires pour des groupes d’utilisateurs spécifiques. Segmentez en priorité les serveurs d’infrastructure et les ports de gestion pour protéger les ressources les plus sensibles.
• Phase 3 : étendre ZTNA à tous les utilisateurs. Migrez l’accès aux applications privées vers ZTNA pour les utilisateurs distants et sur site. Configurez les segments pour que tous les accès passent par des microtunnels chiffrés et appliquez les politiques contextuelles de manière uniforme.

Choisir une solution ZTNA adaptée à vos besoins exige d’examiner plusieurs critères essentiels :

• Exigences côté client : la solution nécessite-t-elle un agent sur le terminal ? Quels appareils sont pris en charge ? Un ZTNA sans agent est souvent indispensable pour les appareils non gérés, comme le BYOD ou l’accès des tiers.
• Prise en charge des applications : les applications Web et les applications traditionnelles (data center) peuvent-elles bénéficier des mêmes fonctionnalités de sécurité ?
• Implantation cloud : la solution est-elle basée sur le cloud ? Répond-elle aux exigences de sécurité et de résidence ? Un ZTNA cloud natif simplifie généralement le déploiement et renforce la résilience face aux attaques DDoS.
• Normes d’authentification : quels protocoles sont pris en charge ? La solution peut-elle s’intégrer aux annuaires sur site, aux services d’identité cloud ou à vos fournisseurs d’identité actuels ?
• Présence mondiale : quelle est l’implantation géographique des points de présence du fournisseur ?
• Contrôle d’accès et posture : la solution évalue-t-elle l’état et la conformité des appareils ? Peut-elle s’intégrer à la gestion unifiée des terminaux (UEM) ?

Gardez ces critères à l’esprit pour choisir le fournisseur le mieux aligné sur vos objectifs et votre stratégie.

Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde, construite sur l’architecture Zero Trust exclusive de Zscaler. Service cloud natif, ZPA se déploie en quelques heures pour remplacer VPN et outils d’accès distant hérités par une plateforme Zero Trust complète.

Zscaler Private Access offre les avantages suivants :

• Une sécurité inégalée, au-delà des VPN et pare-feu traditionnels : les utilisateurs se connectent directement aux applications, et non au réseau, ce qui minimise la surface d’attaque et élimine les déplacements latéraux.
• Fin de la compromission des applications privées : une protection applicative inédite, qui combine prévention inline, tromperie et isolation des menaces, réduit considérablement le risque de compromission des utilisateurs.
• Productivité optimisée pour les équipes hybrides : un accès ultra-rapide aux applications privées s’étend de manière homogène aux utilisateurs distants, au siège social, aux sites distants et aux partenaires tiers.
• ZTNA unifié pour utilisateurs, workloads et appareils : collaborateurs et partenaires peuvent accéder en toute sécurité aux applications privées, aux services et aux dispositifs OT/IoT grâce à une plateforme ZTNA complète.