Quelles solutions (contrôles de sécurité) utilisez-vous pour avoir une architecture à zéro confiance ?
La confiance zéro ne doit pas être un produit, mais une approche de conception globale. La confiance zéro devrait vous faire réfléchir à chaque interaction comme étant potentiellement compromis / non sécurisé.
Pour le domaine IAM - utilisation extensive d’OAuth comme contrôle d’authentification / autorisation. Assurez-vous que les jetons sont validés par la passerelle API et chaque API. Appliquez une autorisation fine en utilisant des portées.
Auditez et attestez en continu le niveau d’autorisation que chaque application possède.
Appliquez des contrôles stricts pour les applications clientes demandant des jetons. N’utilisez que les identifiants client ou le flux d’autorisation avec pkce. Utilisez des assertions signées lorsque cela est possible plutôt que client_secret.
Aucun. Je n’ai aucune confiance en elles.
Une règle dans tous les pare-feux et proxies, Drop All /s
supprimé quand j’ai découvert que Reddit intègre maintenant des publicités dans les commentaires. Aïe.
Nous passons actuellement tout le monde des solutions VPN/VDI à Zscaler proxy (solution de réseau à confiance zéro). Ce qui est un peu difficile car les développeurs ont l’habitude d’avoir un réseau très ouverte pour travailler et ne pas devoir penser aux noms d’hôtes, adresses IP, numéros de ports, etc. Donc c’est beaucoup de dépannage, pour le dire franchement.
« Zero Trust » est une architecture réseau. Le cadre Zero Trust du DoD comporte actuellement 7 piliers de capacité :
- Utilisateur
- Appareil
- Application & Charge de travail
- Données
- Réseau & Environnement
- Automatisation & Orchestration
- Visibilité & Analyse
Le modèle de maturité Zero Trust 2.0 de CISA dit : « L’objectif est d’empêcher l’accès non autorisé aux données et aux services et de rendre l’application du contrôle d’accès aussi granulaire que possible. » Donc, les solutions doivent fournir une défense en profondeur sans complexité opérationnelle. En ce qui concerne les vendeurs, ils sont nombreux ; tous prétendent traiter du Zero Trust. Il faut prioriser ce dont votre réseau a besoin en fonction de votre budget pour choisir la bonne. https://blueridgenetworks.com/wp-content/uploads/2023/10/ZeroTrust-DoD-WhitePaper-SEPT-2023.pdf
Je porte des lunettes de soleil Zero Trust de marque au travail. Elles sont efficaces pour bloquer.
Zero trust n’est pas une solution. C’est un cadre. Si vous avez des vendeurs qui essaient de vous vendre cela, cherchez ailleurs car ils vous mentent.
Je vous dirais, mais je ne vous fais pas confiance.
Je n’ai aucune confiance que les choses seront utilisées en toute sécurité dans notre environnement. Donc, ma propre réflexion et mes journaux.
C’est une philosophie de conception qui commence par l’authentification, puis les données en transit, au repos, la journalisation, sur site et hors site, east-west, south-north.
C’est un terme marketing mais mon avis est de rechercher des entreprises modernes, construites avec une architecture nouvelle plutôt que des entreprises legacy tentant d’adapter leur ancienne technologie à un nouveau concept. Un bon exemple est les fournisseurs VPN legacy qui prétendent « zéro confiance » alors que fondamentalement, leur fonctionnement est simplement un vecteur d’attaque.
Construisez-le vous-même si vous êtes audacieux.
Kafka, agent de politiques open source, Envoy proxy et Istio Service Mesh
Aucun. Je ne leur fais pas confiance.
Zero trust n’est pas un produit, c’est un cadre de conception. Quiconque essaie de vous vendre du zero trust ment. Quiconque pense pouvoir implémenter un produit et avoir une confiance zéro ment.
La base de ZT est d’interroger et de confirmer l’accès à une ressource au moment de la demande en se basant sur plusieurs facteurs. Cela repose sur une identité forte, une authentification, et l’application de contrôles d’accès à chaque ressource de votre environnement.
Dans toutes les implementations que j’ai faites jusqu’à présent, j’ai toujours recommandé d’appliquer le concept Zero Trust à la fois sur le trafic et sur l’application — aucune connexion à un site web/trafic et aucun logiciel qui n’est pas préalablement approuvé ne doit pouvoir se connecter/exécuter…
Cela entraîne un coût opérationnel énorme (comme toujours, la sécurité et la flexibilité sont en opposition 
)
Nous avons généralement trouvé un compromis entre ces deux, en appliquant ma méthode sur les machines/serveurs les plus sensibles, et un mélange des deux ailleurs.
Appgate SDP et Menlo Security
Moi - les développeurs veulent accéder et je ne leur fais pas confiance.
Notre entreprise a créé une solution de réseau Zero Trust open source, OpenZiti ; nous disposons également d’une version SaaS.
En gros, nous testons la technologie en interne, par exemple en ne donnant qu’un accès éphémère aux environnements clients pour les ingénieurs support si le client ouvre un ticket - https://blog.openziti.io/business-rule-driven-ephemeral-network-access. Sinon, leurs environnements sont inaccessibles de tous les réseaux.
Aucun, car le zero trust est un terme à la mode cassé, sans vraie substance. Regardez KASMWEB par exemple. Super outil, mais ils viennent seulement de lui ajouter une étiquette ‘zéro confiance’. Était-ce pas déjà zéro confiance avant ? Si oui, pourquoi ne l’ont-ils pas appelé ainsi plus tôt ? Tout le monde saute dans ce train de la ‘confiance zéro’ et c’est toujours la même vieille sauce qu’on a depuis des années, voire des décennies. Mettre un mot à la mode sur quelque chose ne va pas soudainement le faire fonctionner mieux.