Différentes Architectures du ZTNA
Quelle sont les différentes architectures du Zéro Trut Network Access ?
Chaque architecture présente des forces, des faiblesses et des compromis.
|
Important
|
Article original sur le site ZeroTrustnetworkaccess.info Le contenu de cette page est une prise de note de l’article The no-bullshit ZTNA vendor directory. Le but est uniquement de concentrer l’information par thèmes. |
Périmètre défini par logiciel
Architecture basée sur des appliances et des proxys. Une appliance proxy inverse (le connecteur SDP) est déployée à la périphérie du réseau et régie par un contrôleur centralisé basé sur des politiques.
Généralement basé sur le Single Packet Authorization (SPA). Souvent sans agent pour le client (hôte initiateur).
Peut ne pas nécessiter un dispositif de connecteur SDP distinct si le logiciel du connecteur SDP est déployé directement sur le(s) système(s) cible(s).
| Forces | Faiblesses | Compromis |
|---|---|---|
| Aucun trafic entrant, les pare-feu peuvent être fermés (1) | Le connecteur se déploie en tant que VM ou appliance | (4) Le courtier de confiance devient la nouvelle cible |
| Déploiement sans agent pour les clients | L’appliance de connecteur nécessite un correctif | Remplace plusieurs couches de protection (séparées) |
| Trafic Nord-Sud (2) | La disponibilité du connecteur détermine la disponibilité | Se déploie aux côtés des systèmes existants |
| Visibilité du trafic de couche 7 | Trafic Est-Ouest (3) | |
| Manque de prise en charge du protocole universel | ||
| Doit être reconfiguré si le réseau change | ||
| La haute disponibilité nécessite plusieurs appareils |
- (1) La plupart (mais pas tous) des fournisseurs SDP utilisent l’autorisation par paquet unique(SPA) pour rendre le controleur invisible aux parties non autorisées.
- (2) Trafic traversant le périmètre du réseau, provenant de l’extérieur du réseau, adressé à des systèmes privès au sein du réseau. Ressemble souvent à une connectivité client-serveur.
- (3) Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine, inter-régional à l’intérieur d’un maillage de services ou d’un cluster de services.
- (4) Pour que les points de terminaison se connectent, le courtier de confiance doit être accessible au public.
Réseau superposé maillé
Architecture basée sur des agents. Les appareils communiquent directement entre eux, coordonnés par une gestion centralisée basée sur des politiques. Les connexions directes entre les systèmes coopérants sont établies à l’aide d’un trafic sortant uniquement et d’une combinaison d’identité de périphérique et d’utilisateur, de techniques de perforation UDP et TCP et de traversée NAT, qui créent ensemble des tunnels cryptés rapides de bout en bout entre les systèmes connectés derrière des pare-feu fermés.
Certaines configurations NAT empêchent l’établissement d’une connexion directe. Dans de tels cas, des relais de trafic sont utilisés pour garantir qu’une connexion puisse être établie.
| Forces | Faiblesses | Compromis |
|---|---|---|
| Aucun trafic entrant, les pare-feu peuvent être fermés | Déploiement principalement basé sur des agents | Le courtier de confiance devient la nouvelle cible (8) |
| Aucun périphérique de passerelle ni serveur proxy | Le logiciel agent nécessite un correctif | Remplace plusieurs couches de protection (séparées) |
| Prise en charge du protocole universel | Propriétés de confiance non appliquées aux périphériques (6) | Technologie émergente |
| Déploiement incrémentiel | Pas au courant du protocole (7) | |
| Trafic Nord-Sud (1) | ||
| Trafic Est-Ouest (2) | ||
| Supprime la complexité du réseau (3) | ||
| Résilient aux défaillances temporaires des courtiers de confiance (4) | ||
| Aucune modification du réseau à déployer (5) |
- (1) Trafic traversant le périmètre du réseau, provenant de l’extérieur du réseau, adressé à des systèmes privés au sein du réseau. Ressemble souvent à une connectivité client-serveur. Cette architecture est indépendante de l’emplacement du sysème, des réseaux de fournisseurs hétérogènes et des limites logiques du réseau.
- (2) Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine à machine, inter-régional à l’intérieur d’un maillage de services. Cette architecture est indépendante de l’emplacement du système, des réseaux de fournisseurs hétérogènes et des limites logiques du réseau.
- (3) Les réseaux superposés sont souvent constitués à l’aide d’un trafic de sortie uniquement. Les admisnitrateurs n’ont donc pas besoin de modifier le réseau sous-jacent pour organiser la connectivité.
- (4) La stratégie est mise en cache par les points de terminaison si le courtier de confiance devient temporairement indisponible.
- (5) Déploiement sur les systèmes existants
- (6) Si l’agent n’est pas installé, les principes d’accés réseau Zéro Trust sont perdus lorsque le trafic quitte le réseau superposé.
- (7) En mai 2022, la plupart des implémentations de cette architecture ne sont pas encore compatibles avec les protocoles.
- (8) Pour que les points de terminaison se connectent, le courtier de confiance doit être accessible au public.
Proxy inverse
Architecture basée sur des agents. Le réseau du fournisseur fait office de route par défaut pour tous les appareils. Tout le trafic est acheminé via le réseau du fournisseur. L’application Reverse Proxy se connecte au réseau du fournisseur, ouvrant un canal de données proxy inverse. Tout autre trafic entrant dans le réseau du fournisseur peut ensuite être acheminé vers l’appareil connecté.
L’accès de l’utilisateur final peut être sans agent. Les fournisseurs proposent généralement également des fonctions Cloud Access Security Broker (CASB) et Secure Web Gateway (SWG) complémentaires à ZTNA.
| Forces | Faiblesses | Compromis |
|---|---|---|
| Aucun trafic entrant, les pare-feu peuvent être fermés | Le réseau d’entreprise dépend de la disponibilité du fournisseur | Le fournisseur devient la nouvelle cible (6) |
| Déploiement sans agent pour les clients | Prise en charge limitée du protocole (4) | Trafic réseau interne acheminé via le fournisseur |
| Conscient du protocole (1) | Trafic Est-Ouest (5) | Le fournisseur met fin à vos sessions TLS (7) |
| Enregistrement et lecture de session (2) | Le fournisseur applique la sécurité sur sa plateforme (8) | |
| Le fournisseur peut regrouper des services gratuits (3) |
- (1) Accés au trafic des applications
- (2) Les produits sont souvent capables d’enregistrer et de lire des sessions pour certains protocoles tels que SSH, RDP, et le trafic de bases de données.
- (3) Le fournisseur peut également proposer les services Secure Web Gateway et Cloud Access Security Broker.
- (4) Basé sur un proxy, offre donc une prise en charge limitée du protocole et ne pourra donc pas remplacer le VPN
- (5) Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine à machine, inter-régional à l’intérieur d’un maillage de services ou d’un cluster de services. Peut introduire de la latence et s’avérer coûteux pour déplacer le trafic est-ouest via le réseau du fournisseur.
- (6) Pour que les points de terminaison se connectent, le courtier de confiance doit être accessible au public.
- (7) Le réseau et les employés du fournisseur peuvent avoir accès à vos données non cryptées.
- (8) Le fournisseur peut modifier ou reclasser le status des sécurité de quelque chose auquel vous en vous attendiez pas ou avec lequel vous n’êtes pas d’accord.
Gestion des accès privilégiés
Architecture basée sur des agents. Le produit du fournisseur gère de manière centralisée les informations d’identification pour l’accès aux serveurs cibles.
Les informations d’identification de longue durée de l’utilisateur final sont autorisées et authentifiées avant d’être remplacées de manière transparente par des informations d’identification uniques, souvent à usage unique ou à limite limitée, qui accordent un accès temporaire aux serveurs cibles. Certains fournisseurs peuvent proposer des fonctionnalités prenant en charge le protocole, telles que l’enregistrement et la lecture de session.
Les produits supposent souvent que toutes les zones du réseau sont connectées et routables, de sorte que les clients disposent d’un chemin réseau disponible pour atteindre les serveurs cibles.
| Forces | Faiblesses | Compromis |
|---|---|---|
| Conscient du protocole (1) | Les serveurs proxy sont publics sur Internet (4) | Le courtier de confiance devient la nouvelle cible (6) |
| Enregistrement et lecture de session (2) | Trafic Est-Ouest (5) | Suppose l’accessibilité du réseau (7) |
| Informations d’identification jamais exposées à l’utilisateur final (3) | Prise en charge limitée du protocole (8) |
- (1) Accés au trafic des applications
- (2) Les produits sont souvent capables d’enregistrer et de lire des sessions pour certains protocoles tels que SSH, RDP, et le trafic de bases de données.
- (3) Les utilisateurs finaux reçoivent des informations d’identification temporaires pour l’accés, protégeant ainsi les informations d’identification principales du système.
- (4) Certains fournisseurs peuvent proposer des serveurs proxy pour fournir un accès à des services séparés du client via le WAN? S’ils sont disponibles, les serveurs proxy doivent être accessibles au public afin que les utilisateurs finaux puissent se connecter afin de s’authentifier.
- (5) Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine à machine, inter-régional à l’intérieur d’un maillage de services ou d’un cluster de services. Les sessions dépendent fortement de l’identité de l’utilisateur, ce qui peut ne pas être disponible pour les systèmes sans tête dans les modêles de trafic Est-Ouest.
- (6) Basé sur un proxy, offre donc une prise en charge limitée du protocole et ne pourra donc pas remplacer le VPN
- (7) Pour que les points de terminaison se connectent, le courtier de confiance doit être accessible au public.
- (8) Les solutions PAM fournissent des informations d’identification temporaires pour l’accès aux services, mais supposent souvent qu’un réseau privé est déjà en place pour fournir une connectivité réseau aux services cibles via le réseau local ou WAN
Contrôle du pare-feu basé sur l’hôte
Architecture basée sur un agent ou une gestion à distance. Le fournisseur gère les pare-feu basés sur l’hôte intégrés aux systèmes d’exploitation des appareils pour contrôler l’accès. Un contrôleur centralisé basé sur des politiques coordonne les mises à jour de chaque pare-feu.
Les produits nécessitent souvent que différentes zones du réseau soient connectées et routables pour tout type de trafic, et les ACL sont appliquées par des pare-feu basés sur l’hôte au lieu de dispositifs de périmètre sur des réseaux de micro-segments qui autrement pourraient être plats.
| Forces | Faiblesses | Compromis |
|---|---|---|
| Aucune appliance à déployer | Déploiement principalement basé sur des agents | Le courtier de confiance devient la nouvelle cible (8) |
| Prise en charge du protocole universel | Appareils non gérables non entretenus (4) | Le réseau peut rester fondamentalement plat |
| Trafic Nord-Sud (1) | Suppose l’accessibilité du réseau (5) | Construit sur des adresses IP et des ACL (9) |
| Trafic Est-Ouest (2) | Capacités de pare-feu incohérentes par système d’exploitation (6) | |
| Résilient aux défaillances temporaires des courtiers de confiance (3) | Les systèmes existants peuvent ne pas être gérables (7) |
- (1) Trafic traversant le périmètre du réseau, provenant de l’extérieur du réseau, adressé à des systèmes privés au sein du réseau. Ressemble souvent à une connectivité client-serveur. Cette architecture est indépendante du modéle de trafic à condition que les points finaux soient capables d’acheminer les paquets les uns vers les autres.
- (2) Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine à machine, inter-régional à l’intérieur d’un maillage de services ou d’un cluster de services. Cette architecture est indépendante du modèle de trafic à condition que les points finaux soient capables d’acheminer les paquets les uns vers les autres.
- (3) La stratégie est mise en cache par les points de terminaison si le courtier de confiance devient temporairement indisponible.
- (4) Ne peut pas être appliqué aux scénarios dans lesquels le parefeu basé sur l’hôte peut être inaccessible au fournisseur (par exemple, les périphériques)
- (5) Suppose que le routage privé est possible via les transports WAN et VPN appropriés.
- (6) Tous les parefeu basés sur l’hôte n’ont pas les mêmes capacités.
- (7) Les systèmes d’exploitation plus anciens sans pare-feu basés sur l’hôte peuvent ne pas être gérables.
- (8) Pour ques les points de terminaison se connectent, le courtier de confiance doit être accessible sur le réseau.
- (9) En fonction de la maturité des outils, les problèmes de connectivité de débogage peuvent s’avérer difficiles dans les déploiements multisites plus importants basés sur des adresses IP.
Réseau défini par identité
Architecture basée sur des agents. Tout le trafic traverse des relais réseau coordonnés par une gestion centralisée basée sur des politiques.
Certains fournisseurs proposent des périphériques matériels pour connecter les appareils au réseau de manière transparente.
| Forces | Faiblesses | Compromis |
|---|---|---|
| Trafic Nord-Sud (1) | Le réseau d’entreprise dépend de la disponibilité du relais | Le courtier de confiance devient la nouvelle cible (5) |
| Prise en charge du protocole universel | Tout le trafic réseau traverse des relais (3) | La haute disponibilité nécessite plusieurs appareils (6) |
| Déploiement incrémentiel | Les appareils nécessitent des correctifs | |
| Aucun trafic entrant, les pare-feu peuvent être fermés (2) | Les agents nécessitent des correctifs | |
| Doit être reconfiguré si le réseau change | ||
| Trafic Est-Ouest (4) |
- 1 Trafic traversant le périmètre du réseau, provenant de l’extérieur du réseau, adressé à des systèmes privés au sein du réseau. Ressemble souvent à une connectivité client-serveur.
- 2 La plupart des implémentations d’agents établissent des connexions sortantes vers des serveurs relais, permettant aux administrateurs de refuser le trafic réseau entrant.
- 3 Les relais de trafic peuvent agir comme des concentrateurs, introduisant des goulots d’étranglement en matiére de latence et de débit.Notez que tout le trafic ne traversera pas les relais, la plupart des implémentations sont en tunnel partagé, relayant uniquement le trafic pour des applications spécifiques.
- 4 Trafic réseau interne, provenant de l’intérieur du périmètre du réseau et adressé à d’autres systèmes privés au sein du réseau. Ressemble souvent à une connectivité ou a un trafic de serveur à serveur, de machine à machine, inter-régional à l’intérieur d’un maillage de services ou d’un cluster de services. Réalisé dans cette architecture en déplaçant le trafic via des relais réseau, ce qui peut être inefficace.
- 5 Pour que les points de terminaison se connectent, le courtier de confiance doit être accessible au public.
- 6 Certains fournisseurs autorisent el déploiement de plusieurs relais capables d’équilibrer la charge du trafic pour une plus grande résilience et disponibilité.