Transcription
1. Introduction: Bonjour, bonjour à tous. Mon nom est Pamela est long et je suis la créatrice
de ce cours, qui est la masterclass Zero
Trust, mise en œuvre d'une architecture
Zero Trust à l' aide de cette
publication spéciale, 800 à 07. Maintenant, c'est un sujet qui
me passionne beaucoup. Philosophie de sécurité Zero Trust. Il s'agit d'un ensemble de principes qui si vous les appliquez et les
combinez, peuvent entraîner de profonds changements et critiquer
les approches de votre entreprise en matière approches de votre entreprise sécurité et la manière dont elle met
en œuvre la sécurité. Et les résultats peuvent être
très, très bénéfiques, la fois pour les équipes de sécurité
et pour les entreprises. Mais le problème de
Zero Trust est que sa portée est très vaste et qu'elle peut
devenir très écrasante. C'est pourquoi j'ai
créé ce cours. Mes promesses, que vous soyez une petite start-up ou d'une entreprise du Fortune 500, ont donc été spécialement conçues pour
vous aider à mettre en œuvre la confiance zéro. Et il est basé sur ma
propre compréhension années d'expérience dans
la mise en œuvre de ce modèle de sécurité particulier. Je sais comment fonctionne Zero Trust et comment le
mettre en œuvre dans la pratique. C'est tout l'intérêt de ce cours pour partager
ces connaissances avec vous, afin de vous aider dans votre parcours
Zero Trust. Également à propos de moi, de mon nom, loi sur
les renouvellements ou les horaires. J'ai plus de 20 ans d'
expérience dans le domaine des risques technologiques. Je suis également auteur, blogueur et instructeur. Je suis également coach de
carrière en cybersécurité. J'ai une chaîne YouTube
appelée The Cloud Security Guy. Quand je parle de sujets
tels que la sécurité du cloud, IA en général, les conseils de carrière. D'accord. Je suis donc actuellement
basé à Londres. Et en gros,
tout au long de ma carrière, tout au long de mon parcours, façon dont Ivan a reçu la
façon dont Ivan a reçu
de
nombreuses récompenses au cours de l'année. La meilleure
équipe de sécurité, ce genre de récompenses est une reconnaissance du
secteur. Mais ces dernières
années, je me concentre davantage sur l'enseignement et l'écriture et je
redonne à la communauté
autant que possible. J'ai publié deux livres. L'un porte sur
les conventions relatives à l'
intelligence artificielle en matière de cybersécurité, l'autre sur
la sécurité du cloud, manière de faire carrière. Les deux sont
disponibles sur Amazon. Donc c'est juste pour vous montrer le
mien, comme ce que j'ai fait. Vous devriez
m'écouter ou non, mais
ils ont ces
qualifications ou non. Alors maintenant, quand je
parle de Zero Trust, qui est un sujet de notre cours. Maintenant, le fait est que la
sécurité des entreprises est difficile, n'est-ce pas ? Cela est dû au fait que les infrastructures
d'identification et d'applications sont très, très complexes. Ils peuvent être très larges et les utilisateurs y accèdent
très rapidement. Et bien entendu, la façon
dont les attaquants essaient
toujours de pénétrer dans l'environnement, met plupart des
réseaux d'entreprise
très, œuvre la
plupart des
réseaux d'entreprise
très, très ouverts. Si vous avez entendu parler du concept
du moindre privilège, qui consiste à ne donner accès qu'
aux personnes qui en ont besoin. La plupart des entreprises, je dirais que la grande majorité d'entre
elles appliquent ce principe. Ils s'appliquent et ils l'appliquent lorsqu'
il s'agit
de demandes. Ils l'appliquent lorsqu'il s'
agit de bases de données, serveurs, etc. Mais lorsqu'il s'agit de
l'architecture, lorsqu'il s'agit de la conception de leurs réseaux, ils
ne l'appliquent pas. Et ce qui se passe, c'est qu'ils les exposent incroyablement aux attaques. Et cela vaut à la
fois pour les réseaux internes et pour les
réseaux publics, n'est-ce pas ? Vous avez des VPN qui
sont complètement exposés à chaque personne
sur Internet. Et vous ne concevriez jamais
un tel système. Mais laissons la façon dont la sécurité et les
réseaux
traditionnels fonctionnaient perdurer, ce
modèle perdure. C'est donc là qu'intervient la
confiance zéro, qui est le sujet
de ce cours. Et il apporte une
approche moderne de la sécurité. Cela renforce le principe
du moindre privilège pour les réseaux et les applications. Nous
expliquerons quoi il s'agit d'utilisateurs non autorisés. Si vous mettez en œuvre la méthode Zero Trust, ils n'auront accès
à aucune ressource de l'entreprise et les utilisateurs autorisés
n'auront que l'
accès minimal nécessaire. Et si vous implémentez correctement
la méthode Zero Trust, vous disposerez d'une métrique plus
sûre, plus sécurisée et plus résiliente. Cela s'est traduit par des améliorations en
termes d'efficience et d'efficacité. Parce que vous le souhaitez, vous appliquez automatiquement des politiques dynamiques
et nous en parlerons. D'accord ? C'est donc sur cela que je
voulais donner un aperçu. C'est une tendance très importante et
très visible,
vous savez, la confiance au sein du secteur de la sécurité de l'
information. Et je pense que c'est devenu un mot à
la mode en matière de marketing. De nombreux fournisseurs l'utilisent pour commercialiser leurs applications, mais il s'agit d'une norme très valide. Ce n'est pas un produit,
c'est une philosophie une approche et un ensemble
de principes directeurs. Et nous allons en parler. Cela signifie qu'il existe de nombreuses manières d'interpréter la
confiance zéro, car chaque entreprise est
différente, n'est-ce pas ? Mais il existe des principes très fondamentaux et
universels, chaque
architecture Zero Trust doit suivre. C'est donc tout l'intérêt de ce cours que je vais être. Pourquoi n'avez-vous pas suivi ces directives
et recommandations en matière confiance zéro, sur la base de mon
expérience de travail avec de nombreuses entreprises de tailles et de
maturités
différentes tout au long de
leur parcours Et c'est très, très important,
les gars, c'est un voyage. ne s'agit pas d'une initiative
ponctuelle que l'on oublie, mais d'une initiative continue et
évolutive. C'est pourquoi j'ai créé ce
cours pour vous donner ces recommandations et vous guider tout au
long de ce voyage. Passons donc au marketing comme d'
habitude. La définition du
Zero Trust est qu'il s'agit d' un cadre de sécurité
enregistrant tous les utilisateurs, qu'ils soient à l'intérieur ou à l'
extérieur du réseau. Les
premières configurations
et
postures de sécurité seront authentifiées,
autorisées et validées en permanence et avant d'
obtenir ou de conserver l'accès. Aux applications et aux données. Maintenant,
si vous lisez cette définition et qu'il s'agit d'une réaction,
je ne vous en veux pas. Vous vous demandez peut-être
quel est le problème ? C'est la même chose que j'ai entendue 1 million de fois lors du vote. C'est
probablement quelque chose qui se fait déjà. Alors vous vous demandez peut-être, d'accord, comment lui et
moi le faisons déjà. Mais c'est là qu'intervient l'autre
aspect de la confiance zéro, à savoir que Zero Trust a utilisé l'absence de périphérie réseau
traditionnelle. Les réseaux peuvent être
locaux dans le cloud, Oracle Cloud ou une combinaison des deux. Quel hybride avec des ressources n'importe où et des
travailleurs n'importe où. D'accord, c'est donc là Zero Trust diffère un peu
de votre méthode traditionnelle. Cela suppose que tout est de nature
potentiellement malveillante. C'est là qu'intervient
la différenciation globale. En quoi un
modèle Zero Trust se distingue autres modèles de sécurité et
du modèle de
périmètre réseau traditionnel. Ce que Zero Trust n'est donc pas comme vôtre ne ressemble pas à un
produit que j'ai déjà dit, mais il fournit des conseils aux
entreprises sur la manière atténuer
en permanence
et sur
la manière d'utiliser les nouvelles
solutions déjà existantes pour le protéger. Vous pourriez utiliser votre entreprise. Vous avez peut-être une base de sécurité très
solide. se peut que vous n'ayez besoin que d'améliorations
mineures pour un
déploiement réussi du Zero Trust, ou que vous n'ayez
rien et que vous deviez
créer ces éléments à partir
de zéro, d'accord ? Pour avoir mis en œuvre ce modèle. Peu importe donc où se trouve
le point de départ. Pour être très
clair, la confiance zéro prend généralement du temps. Il peut s'agir d'un
projet
pluriannuel, impliquant plusieurs parties prenantes, qui nécessite beaucoup
de temps et d'argent. Mais les avantages se manifestent
vraiment et vous les voyez vraiment. Si quelque chose se produit,
un compromis se produit. Vous pouvez voir le modèle Zero
Trust entrer en jeu. Et cela a empêché ce compromis
d'aller plus loin. Mais je
parlais de ces choses, du contexte. Si vous y
regardez, en 2020, nous avons vécu un événement
qui a changé
le monde , comme si vous en étiez
déjà conscient. Et ce qui s'est passé, c'est
que toutes les entreprises ont
été obligées de passer à distance, mettre en œuvre des VPN, de
mettre en œuvre des appareils personnels. Et vous pouvez vraiment comprendre l'importance de la
confiance zéro,
car les employés utilisent un VPN
à distance et se font donc pirater. De plus en plus de VPN sont piratés
ou débordés. Et les transformations numériques
se produisent comme si toutes les autres entreprises se lançaient dans l'organite
numérique, la transformation numérique,
en passant au cloud. Donc, la mise en œuvre de l'
AT zéro confiance au lieu d'un mandat visant à vérifier et à sécuriser
tout ce qui l'
état de santé de
l'appareil, l'état de sécurité de
l'appareil en vigueur, moindre privilège et la capture, analyse de tous les journaux à un
environnement de type
vétéran, n'est-ce pas ? Et les gouvernements et les
entreprises du monde entier. Ils ont reconnu
l'importance du Zero Trust à
la suite de cet événement. Et ils ont accéléré
l'adoption d' une stratégie de confiance zéro
grâce à leur soutien. Comme. C'est
là tout l'intérêt pour moi. J'ai lu, j'ai fait de
nombreuses recherches et j'ai aidé de nombreuses personnes
à effectuer de nombreux déploiements et à comprendre le paysage des menaces. C'est donc la raison pour laquelle
ce cours vous montre pourquoi le Zero
Trust est nécessaire, d'accord ? C'est donc là le différencié
entre en jeu dans la confiance zéro, que j'appelle les concepts. Il existe certains
concepts de Zero Trust. Maintenant, il se peut que vous lisiez quelque chose
sur Zero Trust qui pourrait être légèrement
différent de celui-ci. Mais n'oubliez pas que la confiance zéro,
ces principes évoluent et changent. Mais d'une manière générale, ils seront toujours comme
ça, mais ce sont
eux qui pourraient
détourner ma monnaie. Au lieu de cinq, ils
pourraient être trois ou quatre. Mais ce sont là des principes
universels. Le réseau est toujours
supposé hostile, d'
accord, alors il n'y a rien de
fiable. Et des menaces externes et
internes sont présentes sur un
réseau à tout moment. D'accord ? Donc, ce n'est pas parce que
vous êtes sur le réseau qu'il ne suffit pas de
vous faire confiance. Et chaque flux réseau des
utilisateurs de l'appareil est authentifié et autorisé. Les politiques doivent être
dynamiques, puis calculées la volée à partir du plus grand nombre de
sources de données possible. Alors vous pensez peut-être, oui
, tout cela est vraiment
beau. Comment l'
implémentez-vous réellement ? C'est donc ce dont je vais
parler en
détail dans le cours. Mais n'oubliez pas, en un
mot, que c'est zéro. La confiance est un ensemble de principes
évolutifs. Et lentement, il éloigne l'
environnement du périmètre statique basé sur le réseau
pour se concentrer sur les actifs des utilisateurs. Et cela suppose qu'il n'
y a pas de confiance implicite. D'accord ? Et simplement parce
qu'ils font de votre mieux, vous
soyez sur le
réseau ou sur le réseau, et que vous accordez des autorisations sur la
base de plusieurs éléments, de plusieurs politiques, de
multiples sources d'informations sur les
menaces, n'est-ce pas ? Donc, comme je l'ai dit, c'est
une réponse à de nombreuses tendances qui
se sont produites, comme le fait que
les utilisateurs distants apportent leur propre appareil, actifs
basés sur le cloud qui
ne sont pas sous votre contrôle, n'est-ce pas ? C'est donc ce qui aide Zero Trust à
vendre sur leur site. L'emplacement du réseau n'
est plus considéré comme un signe de confiance. Et n'oubliez pas qu'il ne s'agit pas
d'une architecture unique, ni d'un produit unique. Ce sont ces principes qui vous
aideront à vous améliorer. Et la transition vers l'
objectif zéro,
c'est comme un voyage de plusieurs années qui vous aidera vraiment. Vous ne pouvez pas simplement remplacer
votre technologie et dire : «
OK, j'ai mis en œuvre un
produit qui dit Zero Trust ». Maintenant, je n'ai aucune confiance, non,
ça ne marche pas comme ça. C'est pourquoi de nombreuses
entreprises échouent dans la stratégie Zero Trust ou n'en tirent pas
tous les avantages. Donc, si vous êtes une entreprise,
et j'en reparlerai plus tard lorsque nous
parlerons de la
mise en œuvre pratique du zero-trust. Vous devriez vous efforcer de mettre en œuvre
lentement les principes de
confiance zéro, les modifications des
processus et les solutions
technologiques qui protègent vos données, n'est-ce pas ? Et nous examinerons
plusieurs cas d'utilisation. De nos jours, la plupart des entreprises
fonctionnent un modèle hybride basé sur des
paramètres, et continuent d'
investir dans les technologies de l'information. La confiance zéro peut donc
vraiment vous aider. C'est donc tout l'intérêt
de ce cours, les gars. Et quels sont les problèmes ? Quels sont les défis ? Je
me suis rendu compte, comme d'autres personnes, qu' en matière de confiance zéro, tout d'
abord, le
contenu est trop vague. Ils vous disent en quoi le
Zero Trust est incroyable. Zero Trust, c'est comment l'
implémentez-vous réellement ? n'y a aucun conseil pratique, ou pire encore, Zero
Trust est incroyable. Donnez-nous X millions
de dollars et implémentez un produit
et vous n'aurez aucune confiance. Non, ça
ne fonctionne pas comme ça. Aucune solution ne peut implémenter la confiance zéro
comme par magie. C'est donc un défi que j'
ai constaté à tous les niveaux. matériel est trop vague ou ce qu'il a appelé des conseils
pratiques, manière de les mettre en œuvre et
trop axé sur les produits. C'est l'objectif
de ce cours, qui
vous aidera à vous donner des
conseils pratiques sur la manière de mettre en œuvre la confiance zéro sur la base mes propres expériences et de mes
propres conseils de mise en œuvre. Alors, que couvrira ce cours ? J'espère que vous comprenez maintenant pourquoi vous devriez apprendre Zero Trust. Et je vais t'apprendre la
confiance zéro en partant de zéro. Et je vais vous expliquer
comment cela fonctionne, quel est le modèle,
quels en sont les principes ? Et nous entrerons dans les détails
et cela vous permettra approfondir ces
concepts et de les détailler. Et je vais également vous donner une feuille de route
pour la mise en œuvre. Et comme je l'ai dit, des conseils
pratiques. Nous allons donc
examiner quelques études de cas. Je ne vais pas simplement dire, oui,
c' est Zero Trust,
veuillez le mettre en œuvre. Nous examinons quelques entreprises
et voyons ce que je vais
faire moi-même. Quand je vous ai demandé de le faire
, vous pouvez partager vos résultats, d'accord ? Alors, à qui s'adresse ce cours ? Eh bien, comme je l'ai dit, Zero
Trust, c'est l'avenir. Cela va devenir de
plus en plus important avec le temps. Et en tant que professionnel de la sécurité, tant que bascule, vous avez la
responsabilité de pousser, et d'aimer votre entreprise à
adopter cette nouvelle approche, qui
aidera grandement votre entreprise à renforcer
cette résilience et vous
aidera à vous développer. Il se peut également que
vous soyez un professionnel du
risque, un professionnel informatique,
un auditeur informatique. La confiance zéro gagne le futur. Plus vous le comprendrez, mieux vous serez
orienté vers
l' audit et la
mise en œuvre de ce modèle, qui vous aidera également dans votre position
actuelle, et cela vous aidera certainement dans votre position future à mesure que
le secteur évolue, que le secteur
évolue dans cette direction. Donc, tout cela ne sera
bénéfique que pour vous, et les connaissances non
appliquées sont perdues. C'est pourquoi il est si important de
toujours
avoir un projet. C'est donc ce que j'ai fait. Il y a un projet de classe ici. Et quel est leur projet de classe ? Vous allez
avoir une étude de cas. Je souhaite que vous consultiez l'étude de
cas présentée dans ce cours et que vous créiez une architecture Zero
Trust basée sur la norme. Nous en parlerons, bien
sûr, de la façon de le faire, de la
manière de s'y prendre et des
principales fonctionnalités ici. J'espère que vous avez compris maintenant , quel est l'
intérêt de ce cours ? J'espère que cela vous donne une bonne idée sujet de
ce cours. Pourquoi devriez-vous apprendre Zero Trust et quels en sont les
principaux avantages ? Comme je l'ai dit, le but de ce cours est de vous
donner des conseils pratiques. Je suis très heureuse que tu
fasses ce voyage avec moi. Alors allons-y et je vous
verrai dans la prochaine leçon. Merci d'avoir
choisi ce cours. Et j'espère que cela vous sera
bénéfique. Si vous avez des commentaires,
n'hésitez pas à les
partager avec moi. Merci beaucoup et à la prochaine leçon.
2. Le besoin de Zéro Trust: Bonjour, mes amis. Bienvenue à cette leçon. Dans cette leçon, je vais
approfondir la nécessité de la confiance zéro. Nous en avons
déjà parlé dans une leçon précédente. Pourquoi Zero Trust était nécessaire, mais je voulais vraiment faire une analyse plus détaillée des raisons pour
lesquelles nous avons besoin de Zero Trust. Le fait est que le paysage
des menaces évolue constamment à un rythme effréné. Mu et Nu sont toxiques en sortant. Des
menaces de plus en plus sophistiquées apparaissent. En résumé, votre modèle de
sécurité traditionnel basé sur le périmètre n'est plus suffisant pour vous protéger contre ce type
d'attaques avancées, n'est-ce pas ? Et comme en gros, les
commandes que vous avez mises en place, ils seront plus
capables de se défendre. Parce que la sécurité liée à l'
évolution de l'architecture d'
entreprise et du
périmètre
n'existe tout simplement plus comme
c'était le cas auparavant. Voyons donc de quoi nous parlons ici, n'est-ce pas ? Ainsi, lorsque nous
parlons de Zero Trust, il s'agit d'une tentative de remédier à
certaines des faiblesses de ce que nous appelons l' architecture de
sécurité
plus traditionnelle. Décrivons donc tout abord l'architecture de
sécurité
sous sa forme la plus ancienne, un peu
comme le
bon vieux temps, vous savez, comme toutes les personnes dont nous
parlons du bon vieux temps. Ainsi, dans une architecture
de sécurité traditionnelle, , en
gros, vous avez, en
gros, comme un périmètre rigide
défini par des boules de feu. Peut-être avez-vous un VPN
pour l'accès à distance. Vous pouvez disposer d'une
authentification centralisée, telle qu'une
authentification unique pour Azure Active
Directory ou d'autres produits. Mais en gros, cela identifie l'utilisateur et
vous donne accès, n'est-ce pas ? Voici donc à quoi cela ressemble
généralement. Je veux dire, bien sûr, ce
ne sera pas si simple parce que j'ai délibérément créé ce
schéma. Vous aurez, bien sûr, des sous-réseaux au sein de
ces environnements, vous aurez des sous-réseaux et vous aurez davantage de pare-feux
au sein du réseau. Mais d'une manière générale,
une fois qu'un utilisateur authentifié se trouve
à l'intérieur du périmètre de sécurité, très peu de
contrôles sont placés sur lui car il aime ce que
vous appelez une zone de confiance. Ils peuvent donc
accéder à des serveurs de fichiers. Nous pouvons nous connecter à d'autres
nœuds du réseau. Ils utilisent des services et ainsi de suite. Et comme je l'ai dit, les entreprises ne sont pas stupides. Ce sont des agents de sécurité là-bas. Et ils sont conscients des lacunes
de cette approche
depuis lacunes
de cette approche un certain temps, n'est-ce pas ? Il s'agira donc de
paramètres au sein du réseau, de paramètres
à l'intérieur de périmètres. Et vous allez probablement
réauthentifier le corps qu'il a appelé. Vous placerez vos serveurs les plus
sensibles dans un
sous-réseau plus privé comme celui-ci. Et nous pourrions avoir une authentification
multifactorielle. Mais dans l'ensemble, la règle
générale est la c'est dur à l'extérieur
et doux à l'intérieur, et cela est resté à
peu près la norme depuis, je dirais, une vingtaine d'
années, je dirais. Mais oui, on le
décrit généralement comme un jardin clos. Ils étaient donc censés
empêcher les méchants d'entrer. Mais à l'intérieur, tu es libre
de faire ce que tu veux. Peu importe ce que l'on peut imaginer. Il y a plusieurs inconvénients, bien
sûr, vous pouvez l'
imaginer, non ? Le principal inconvénient est que se passerait-il si un attaquant pouvait
franchir le périmètre ? Ils ont généralement un accès quasiment illimité
à l'exploration, n'est-ce pas ? Je ne dis pas qu'ils
deviendront administrateurs, mais ils peuvent effectuer des mouvements
latéraux. Ils peuvent attaquer des machines
à l'intérieur du périmètre. Et ils peuvent, bien sûr,
tenter d'augmenter leurs privilèges sans trop
de chances d'être détectés. Et en général,
peu d'attention accordée au comportement
d'un individu. Identité authentifiée. L'utilisateur est authentifié. Ils peuvent faire des choses qui
sont assez hors de propos et ils
peuvent ne pas être détectés. Vous recevez des produits
qui
peuvent être similaires à des
produits comportementaux,
mais qui, en général, font l'objet d'un
manque général de contrôle d'accès granulaire. Il permet aux utilisateurs,
que vous soyez malveillants ou non, non, autoriser l'accès aux données et aux services. Ils n'en ont pas besoin. Lorsque vous passez à un cloud et à une solution hybride,
par exemple un BYOD ou partenaires de travail
à distance,
toutes ces questions se posent. C'est donc de cela que je
voulais parler. Je suis désolée. Au fur
et à mesure que vous devenez de plus en plus complexe, les
infrastructures
d'une entreprise typique deviennent malheureusement de plus en plus
complexes. Aujourd'hui, raison de toutes les tendances qui se dégagent
d'une seule entreprise, vous pouvez avoir plusieurs
réseaux, plusieurs succursales. Vous avez peut-être acheté des entreprises qui possèdent leurs propres réseaux. Vous avez peut-être des bureaux distants. Vous avez peut-être une personne distante
ou mobile. Vous pouvez avoir une infrastructure de
services cloud en tant que service, un logiciel
en tant que service. Cette complexité est dépassée. Méthode traditionnelle de
sécurité du réseau de base
périmétrique, car il n'existe aucun paramètre unique ou facilement identifiable
pour l'entreprise. Sécurité du réseau de base périmétrique. C'est également insuffisant
car une fois que l'attaquant, c'
est-à-dire le périmètre,
comme je l'ai dit, votre mouvement latéral est
pratiquement arrêté. Vous pouvez à peu près vous
déplacer et essayer de trouver. Et si vous êtes un bon
hacker, vous ne pourrez pas les alarmes
de sécurité, d'accord ? Bien sûr. Voici donc
le paysage actuel,
c'est le nombre de camions dont vous disposez votre réseau interne et
vous aurez des utilisateurs distants. Les services cloud, vous masquez les
services d'infrastructure, vous avez le BYOD, ce a
essentiellement accru le travail à distance. Jetons un coup d'
œil à ces tendances. Vous avez
intensifié le travail à distance grâce au compromis écologique entre les équipes distribuées
à distance. Vous avez besoin d'un modèle
de sécurité
capable de s'adapter à différents
environnements, n'est-ce pas ? Et cela permet de protéger les données quel que soit l'endroit où se trouve
l'utilisateur. Et bien sûr, vous
avez l'option cloud. Les entreprises adoptent donc de
plus
en plus le cloud et le
périmètre traditionnel disparaît. La confiance zéro fournira donc
un cadre pour protéger les données et les applications dans le cloud quel que soit votre emplacement. Cependant, de nombreuses organisations
autorisent les entreprises à apporter leurs propres appareils
personnels pour le travail. Et bien entendu, cela entraîne
des risques de sécurité supplémentaires. De plus, la confiance zéro
contribuera à atténuer ce risque en appliquant des politiques
et des politiques de sécurité. Et un contrôle d'accès basé sur l'appareil et les contextes de l'utilisateur. Et bien entendu, les
menaces internes le sont, toutes
ne
proviennent pas de l'extérieur. Les menaces internes peuvent représenter
un risque important. Et la méthode Zero Trust permet de
minimiser la distance en appliquant le principe du moindre privilège
d'accès au réseau. Sur l'architecture elle-même. Les utilisateurs n'ont accès qu'
aux ressources dont ils ont besoin. Au sein même du réseau. privilèges de location sont généralement au niveau
de la base de données, de l'application ou du serveur, mais pas au sein de
l'architecture réseau elle-même. Et de nombreux
commentaires réglementaires sont également publiés. Ils disent que vous avez besoin de ce type de modèles. Et nous en reparlerons
plus en détail dans la prochaine leçon. Et bien entendu, avec une meilleure visibilité et un meilleur contrôle au sein de ce réseau, il devient très
difficile d'avoir cette visibilité. Zero Trust
vous offre cette
visibilité sur le comportement des utilisateurs
et leur posture générale. Et cela vous permet d'en obtenir plus, de détecter et répondre plus efficacement aux
menaces de sécurité. D'accord ? C'est donc de cela que je
voulais parler. La confiance zéro sera une solution bien connue
pour sécuriser votre
infrastructure et vos données dans le cadre des
transformations numériques modernes d'aujourd'hui, n'est-ce pas ? Tous ces défis
qui se profilent à l'horizon sont vous devez sécuriser les
télétravailleurs, les rançongiciels
hybrides dans le cloud et Dieu sait ce que toutes
ces choses peuvent apporter. La confiance zéro peut
vous aider à l'atténuer. D'accord. Pourquoi le périmètre est très simple, vous êtes
peut-être en train de dire non, non, j'ai plusieurs sous-réseaux
et tout le reste, n'est-ce pas ? Et même si le
modèle périmétrique est toujours très bon, je ne dis pas qu'il a disparu. C'est de loin le modèle le plus
populaire. Le bébé s'y fie
est imparfait, écrit attaques
complexes et des réseaux de week-end
semblables à des cellules. Et ils se produisent tous les jours, n'est-ce pas ? Comme un ingénieur
social, l'attaquant peut s'adresser à une personne au sein du réseau, y accéder à
distance et commencer à
se déplacer latéralement. Et les
pare-feux périmétriques sont bons, mais ils n'
arrêteront pas ces choses. Et même si vous avez un pare-feu, il y a toujours des
exceptions, n'est-ce pas ? Vous avez des exceptions de pare-feu. Ces exceptions sont
étroitement contrôlées, mais votre développeur Web
peut souhaiter un accès SSH, un accès lecture seule, un accès
à la production. Ou peut-être que les utilisateurs
de votre entreprise ont besoin d'y accéder, de
facturer la base de données
pour exécuter certaines requêtes
, de même que facturer la base de données
pour exécuter certaines requêtes data
scientists spécialisés dans l'apprentissage automatique peuvent avoir besoin d'y accéder. Et que se passe-t-il, vous pouvez configurer ces exceptions de
pare-feu, autorisant le trafic depuis
cette adresse IP individuelle vers le serveur en question, n'est-ce pas ? Que se passe-t-il ? Donc, plus
on crée d'exceptions, plus
on crée de voies, n'est-ce pas ? Ce sont des
exceptions très statiques, comme la source et destination, qui autorisent
cette adresse IP, n'est-ce pas ? Alors, que se passe-t-il si vous vous
dites : « Comment l'appelles-tu ? » Un attaquant et
vous voulez Trump essaierait de compromettre
cet environnement. Vous pourriez essayer d'attaquer directement
la couche d'application, n'est-ce pas ? Et une fois sur place,
vous aurez peut-être, raison de ces ports de pare-feu
ouverts, un chemin direct. Ou tu es peut-être plus intelligent. Vous pourriez simplement faire appel à un ingénieur social pour que les personnes qui y ont accès,
comme le diagramme oculaire, comme l'administrateur de la base de données, leur
donnent un lien malveillant, leur
envoient des e-mails de phishing. Et l'un d'entre eux est peut-être assez
crédule pour
cliquer sur le lien, permettant ainsi à l'attaquant
d'installer un logiciel malveillant. logiciel malveillant fournira alors à
l'attaquant une session sur la machine nulle
compromise des employés. Maintenant, vous pourriez dire non, non, non, l'accès est très restreint. D'accord. L'accès est donc restreint. Mais il pourrait être capable de se déplacer
latéralement au sein ce serveur de production jusqu'à ce qu'il voie quelqu'un qu'il peut
compromettre, n'est-ce pas ? Alors, vous l'
examinez attentivement, les gars. Vous voyez qu'il est très évident que ce
modèle de périmètre de réseau n'est pas suffisant. Il est très
facile de contourner les malwares, attaques
zero-day et les pare-feux. Les pare-feux que vous avez entre les sous-réseaux sont les zones. Ils n'envisagent rien de plus. Peut-être qu'ils vont à la source et destination et prennent
ces décisions. Et bien, les paramètres vous
apportent tout de même de la valeur en matière de sécurité
réseau, vous ne pouvez pas
vous fier à eux comme
principal contrôle des normes de sécurité de votre
réseau. La première série
sera donc la suivante : que faites-vous maintenant ? Alors, que peux-tu faire maintenant ? Parce que c'est tous ces problèmes qui venaient
de leur confiance, laquelle les utilisateurs accordent du poids. C'est donc là qu'intervient la
confiance zéro et
permet de mettre fin à ce
type d'attaques, ce type de mouvements
latéraux
en mettant en œuvre plusieurs
principes et contrôles clés. Et nous parlerons du fait que c'est en grande
partie un moindre privilège. Dans le cadre de l'utilisation du
réseau, vous
n'aurez qu'un accès de
niveau minimum. Ainsi, même si un
boss attaquant peut faire des compromis, cela limitera vraiment sa
capacité à se déplacer latéralement. Parce que l'accès à
un compte ou à un compte ne donne pas automatiquement accès à d'autres ressources sensibles. Et nous en
reparlerons plus en détail, mais que l'on appelle la
microsegmentation. Dans une architecture Zero Trust, Netflix est
divisé en segments les plus
petits, chacun
doté de son propre ensemble de contrôles d' accès et de politiques de
sécurité. cette segmentation, il est très difficile pour un attaquant de se déplacer latéralement au sein
du réseau, car Ramus contourne de multiples
barrières de sécurité, n'est-ce pas ? Et vous avez des contextes
plutôt que des contrôles. Zero Trust prendra en
compte de nombreux contextes. Que les utilisateurs
viennent de quel rôle il joue, quelle est sa destination
et tout ça, n'est-ce pas ? Voilà, c'est ce dont je voulais
vous parler. Quels sont donc les principaux
points à retenir de cette leçon ? Le
périmètre électrique traditionnel ne suffit pas. Et les tendances modernes modifient façon dont les utilisateurs
accèdent aux réseaux. Et les attaquants peuvent facilement compromettre le podomètre
et le déplacer latéralement, se déplacer de l'intérieur vers
d'autres réseaux, n'est-ce pas ? Et c'est là qu'
intervient la confiance zéro, non linéaire. Dans la prochaine leçon, nous parlerons confiance zéro et de l'histoire de la promotion. Le
modèle Zero Trust évolue. Cela n'est pas venu dans le
vide, n'est-ce pas ? Il n'est pas
apparu soudainement de nulle part. Il y a eu
une évolution et une
importance croissante de ce modèle. C'est ce dont nous allons parler. J'espère que vous l'avez compris maintenant, ma confiance zéro est si importante. Passons donc à
la leçon suivante. Merci
3. Zero Trust - Un bref historique: Bonjour à tous, bienvenue
à cette leçon. Maintenant, dans la leçon précédente nous avons parlé de la
nécessité de la confiance zéro, n'est-ce pas ? Pourquoi en avez-vous besoin et pourquoi
c'est si important aujourd'hui ?
Dans celui-ci, avant de nous plonger approfondie de la confiance zéro
et de son fonctionnement, je voudrais vous donner
un
bref aperçu de l'histoire et de l'
évolution de la confiance zéro, façon dont ce concept a évolué au
sein des secteurs et de
certains des principaux acteurs, de
certains des événements clés et principaux acteurs
qui
l'ont stimulé. Ainsi, vous pourrez
vraiment apprécier quel point ce modèle a évolué. Bonjour, c'est très important,
c'est maintenant bien fait ? Donc, une chose que je tiens
à préciser à propos de Zero Trust n'est pas
un concept entièrement nouveau, mais il est devenu de plus en plus important ces dernières
années, n'est-ce pas ? Et le terme Zero Trust
a été inventé pour la première fois par John. John peut débugger,
j'espère avoir prononcé ce nom, écrire une formule pour
un service d'analyse de ce type
en 2010, n'est-ce pas ? Mais les principes fondamentaux
de Zero Trust, tels que nous avons parlé moindre privilège, la segmentation
Netflix. Cela remonte aux meilleures
pratiques de sécurité
antérieures, n'est-ce pas ? Même, pas même la sécurité, les principes et
concepts fondamentaux de Zero Trust. Et ils étaient utilisés depuis
longtemps dans les organisations
militaires et de défense. Vous savez comment segmenter, comment authentifier, surveiller
en permanence. Cependant, ce qui s'est passé
ces dernières années l'adoption généralisée
du cloud computing, augmentation du télétravail et la sophistication
croissante
des cyberattaques. Ils en ont souligné les limites
traditionnelles. Nous avons parlé du modèle
paramétrique, n'est-ce pas ? Et ces développements
ont rendu la confiance zéro plus
pertinente et plus nécessaire dans environnements informatiques complexes d'
aujourd'hui, n'est-ce pas ? Les environnements informatiques sont
de plus en plus complexes. Vous avez donc besoin d'un modèle qui puisse réellement s'adapter aux changements. En conséquence, le concept
Zero Trust a évolué au cours de
la dernière décennie. De nouvelles technologies sont apparues et des méthodologies ont été développées pour aider les organisations à mettre en œuvre une
architecture Zero Trust. Et les principes fondamentaux sont
restés les mêmes. La mise en œuvre et la
compréhension de la confiance zéro ont mûri, elles ont mûri. Il est devenu de plus en
plus complet. Le moteur était tellement, ce qui est
vraiment génial, honnêtement. Ce n'est pas comme une
norme statique ou un modèle statique. Il ne cesse d'évoluer et Kilby s'
affine de plus en plus au fil du temps, n'est-ce pas ? Ainsi, lorsque vous évoquez l'
histoire de la confiance zéro en 2010, nous avons parlé de
Forrester Analysts, John, lorsqu'il a introduit
le terme Zero Trust. À cela s'ajoute un article très
influent, peu centré
sur
l'introduction du modèle Zero Trust de sécurité de l'
information. Écrivez. Ce document contient des idées qui
font l'objet de discussions sur les industries depuis
de nombreuses années, n'est-ce pas ? Et c'est à nous
de documenter ce document. Il décrivait l'abandon d' un périmètre névralgique
au profit
d'une approche qui exigeait comprendre et de
comprendre et de
respecter les éléments du réseau avant qu'ils puissent obtenir un certain niveau de
confiance et d'accès. Ce
modèle a donc évolué au fil du temps, mais nous pouvons
le retracer jusqu'en 2010. Honnêtement, à vrai dire, Van, ce qui est assez incroyable.
La jambe a été si longue. Cela fait presque 13 ans, plus d'une décennie maintenant. Mais c'est à peu près
tout, comme vous pouvez le dire, l'histoire a commencé et la
conversation autour de Zero Trust. C'est donc comme si
c'était la première fois
que tout a commencé. C'est toujours un article incroyable. Et à cette époque, bien entendu, Google est également devenue son initiative
interne « Beyond Copy ». Je le lie également ici,
qui a été implémenté en tant que version
de Zero Trust pour les employés. Et elle a mis en place des éléments fondamentaux de
confiance zéro qui ont effectivement été supprimés,
tels que les
limites du réseau d'entreprise et l'
influence très,
très forte de Google sur le secteur. Ils ont publié une série
d'articles documentant l'ensemble de cette mise en œuvre
interne révolutionnaire, n'est-ce pas ? L'objectif principal de Beyond Corpse était de permettre un accès sécurisé aux ressources
et aux applications de
Google sans recourir à
ces VPN traditionnels. Notre
segmentation du réseau s'
est plutôt concentrée, comme nous en avons
parlé plus tôt, sur la vérification de l'identité de
l'utilisateur, du niveau de sécurité de l'appareil et du contexte d'
accès avant de lui accorder accès au sein d'un réseau. Cela a inspiré de très nombreuses entreprises à adopter un modèle zéro confiance
similaire. La sécurité et certaines
des technologies sous-jacentes
développées pour Beyond Cop. Ils ont été
mis à disposition dans le cadre des offres de
sécurité basées sur le cloud de
Google. Dans le cloud. Google Workspace, Google Cloud Platform,
etc. C'était donc une autre
étape importante qui a débuté. Un autre événement
important s'est produit, qui ressemble toujours à Initiative, savoir le National
Institute of Standards and Technology. Ils ont publié une
publication spéciale en 2020, non ? L'architecture Zero Trust. C'était une
publication spéciale publiée par eux en 2020, je suppose. Et ce document
fournit essentiellement des directives et bonnes
pratiques pour la conception
et la mise en œuvre d'architectures
zero-trust. C'est ce que je
vais utiliser comme base. Je veux vraiment que vous compreniez la publication sur l'
architecture zero-trust
du National Institute of Standards and Technology. Parce que tout d'abord, c'est un document gratuit
et absolument incroyable. Cela explique très profondément
ce que vous devez faire. Il vise également à aider les entreprises à mieux comprendre les
principes du Zero Trust. Quels sont les éléments clés ? Comment les appliquer pour améliorer
votre posture en matière de cybersécurité. Et certaines des principales
zones qui se sont rétablies. Nous reviendrons plus en détail sur les principes et concepts du
Zero Trust. Le document explique les
principes fondamentaux de la confiance zéro, tels que le principe du moindre privilège, segmentation
Netflix,
la surveillance
continue et les composants de
l'architecture Zero Trust. La publication
fournit une vue d'ensemble
des principaux composants d'une architecture Zero Trust,
tels que les moteurs de politiques, les administrateurs de
politiques, les sources de
données, les modèles de menace et les scénarios. La section aborde différents modèles et
scénarios de
menace qui peuvent
être traités
en mettant en œuvre une architecture
Zero Trust. Il donne également des
détails sur les modèles
de déploiement. Le document présente donc les différents types
de déploiements. Comme je l'ai dit, Zero Trust
n'est pas une solution universelle. Chaque entreprise est
différente, n'est-ce pas ? Chaque entreprise peut avoir un modèle différent et
il explique en détail comment implémenter confiance zéro dans différents
types d'architectures. Vous pouvez disposer d'un cloud unique, d'un multicloud ou d'un environnement
hybride. Vous avez peut-être une entreprise avec des succursales distinctes, n'est-ce pas ? Mais en résumé,
nist SP 800 à 078, c'est un guide très complet
et excellent pour les entreprises qui souhaitent adopter Zero Trust et créer
un
environnement plus robuste, adaptatif et sécurisé. Et la meilleure chose
à ce sujet est la gratuité. Ce n'est pas quelque chose que vous
devez payer pour une paire de rendu ou payer quelqu'un qui est totalement gratuit, tout le
monde peut y accéder. Et c'est que le document lui-même peut parfois être un
peu complexe, c'est
pourquoi
j'ai fait en sorte que ce cours aide les gens à comprendre
de A à Z. C'est donc ce que j'essaie de
faire pour vraiment vous assurer que
Zero Trust
et Javier Beach l'ont fait. Et juste pour vous donner une idée de l'importance de
cette publication, si nous avions un
décret de la Maison Blanche,
le décret 14028, il s'intitulerait Améliorer la cybersécurité du
pays. Il a été signé par le président
Joe Biden le 24 mai, je pense à Metro 2021. tout récent décret avait donc Le tout récent décret avait donc pour but de
renforcer la posture
de cybersécurité des États-Unis en remédiant aux
diverses lacunes et vulnérabilités cyberdéfenses de
l'entreprise. Il a été publié en
réponse à de nombreux
cyberincidents très médiatisés. Et ils ont vraiment
compris qu'il fallait une
approche plus robuste et mieux coordonnée en matière de cybersécurité. Et ils voulaient moderniser la cybersécurité du gouvernement. L'ordonnance obligeait les agences
fédérales à adopter technologies de sécurité
avancées
et des facteurs lexicologiques, à
passer au cloud et,
bien sûr , à mettre en œuvre une
architecture Zero Trust. Ils l'ont donc
spécifiquement mentionné, adhéré et cela a été utilisé comme étape obligatoire pour la mise en œuvre de Zero
Trust. Ils ont également parlé
d'autres sujets tels que la sécurité de la
chaîne d'approvisionnement en logiciels car nous avons été confrontés à des
attaques telles que des logiciels fournissant un journal pour J et
toutes ces autres choses. Quelle est la commande ? Nous dirigeons essentiellement
le développement de nouvelles normes visant à sécuriser la chaîne d'approvisionnement des logiciels
et à y remédier. En outre, ils ont
également parlé mise en place d'une main-d'œuvre nationale en
cybersécurité. Vous avez des personnes plus qualifiées, mais juste pour vous donner une idée, mais il s'agit d'un
décret 14028 très strict. Tu peux y accéder. Il s'agit d'un
effort très complet visant à renforcer la du pays
en matière de cybersécurité et à faire face à l'évolution du paysage des
menaces. Il met l'accent sur
la
collaboration entre les secteurs public et privé et sur la manière moderniser votre infrastructure de
sécurité des services et d'améliorer la
capacité du pays à prévenir, détecter et répondre
aux cybermenaces. Le point sur lequel nous nous concentrons, bien entendu, est celui-ci, c'est-à-dire l'ordre
dans lequel il est
spécifiquement mentionné, qui est de suivre le rythme dynamique et de
plus en plus sophistiquée d'
aujourd'hui. Je suis donc entré dans
l'environnement. Ils ont déclaré que le gouvernement fédéral devait adopter les meilleures pratiques en matière de sécurité et progresser vers une
architecture Zero Trust. Et comment faites-vous cela ? Là-bas ? L'essentiel est qu'ils souhaitent que les agences adhèrent
aux normes NIST 800 à 07, étape requise pour la mise en œuvre du
Zero Trust. Donc, juste pour vous montrer à quel point Zero Trust est devenu important. C'est juste pour
vous donner un aperçu de la façon dont la confiance zéro a commencé à partir d'un rapport
Forrester, puis à Google et au-delà, puis à
la publication de Dieu. Et maintenant, bien sûr, nous en
aurons de plus en plus à sortir. Bien sûr, non ? C'est donc ce dont je voulais
parler à propos des gars
dans cette leçon. Quels sont les principaux points à retenir ? Le concept Zero Trust n'est pas nouveau. Il ne provient pas d'un aspirateur. Il n'est pas apparu soudainement. Et elle est motivée par l'évolution du paysage, car elle change. Et les gouvernements qui l'
adoptent et les agences d'audit
pourraient faire de même, est-ce pas, grâce à cela
et à d'autres meilleures pratiques. Alors maintenant, j'espère que vous avez apprécié
l'ensemble du contexte. C'était une très brève leçon d'
histoire. Nous allons maintenant aborder,
dans la leçon suivante, les avantages et
les
inconvénients de la confiance zéro. Je ne veux pas continuer à
dire que la confiance zéro est incroyable et qu'il n'
y a aucun inconvénient. Sachez que, comme tout,
il y a des avantages et des inconvénients. Nous en avons donc parlé dans
la leçon suivante. Merci.
4. Avantages et inconvénients de Zéro Trust: OK, bienvenue à cette leçon. Maintenant, dans cette leçon particulière, je veux aborder la question de confiance zéro et quels en
sont les avantages et les inconvénients ? Parce que je ne veux pas que ce soit un cours dans lequel
je vais simplement expliquer à quel point Zero Trust est
un nouveau concept génial , comme tout le monde. Ils présentent des avantages
et des inconvénients. Et je veux
aussi prendre
en compte les inconvénients et les
avantages, bien sûr, n'est-ce pas ? Quels sont les défis ? Quelles sont
nos attentes réalistes ? Parce que beaucoup de gens pensent que la confiance zéro
est comme un interrupteur. Vous pouvez simplement cliquer dessus et
tout est sécurisé. Et encore une fois, vous pouvez revenir
en arrière si vous ne l'aimez pas. Non, ça ne marche pas comme ça. C'est donc très, très,
j'ai vu beaucoup de personnes
s'attendre à ce que Zero Trust ait,
mais qui ne sont pas en
mesure de le mettre en œuvre. Et puis, ils
y reviennent et vous devez démarrer des
projets zero-trust en gardant à l'esprit des attentes
appropriées. C'est donc tout le but
de cette leçon particulière. Alors de quoi est-ce que je parle ici ? Maintenant, je pense que nous avons
compris le taux de confiance zéro. J'espère que vous l'
avez compris. Tout d'abord, c'est un
état d'esprit ou une discipline, mais il faut
comprendre, non ? Nous avons parlé de ce qui
n'est pas le cas dans la diapositive suivante, mais c'est un état d'esprit. Comme je l'ai dit, il s'agit d'un
ensemble de principes évolutifs qui font passer vos différences d'une approche statique à basée sur le réseau,
tout en mettant l'accent sur les utilisateurs, les actifs et les ressources, n'est-ce pas ? Cela suppose qu'il n'
y a pas de confiance implicite. Personne n'est confié par
défaut aux utilisateurs et les comptes évaluent leurs comptes
uniquement en fonction de l'endroit où ils se trouvent. Et peu importe
où tu te trouves. possédiez ordinateur portable
d'entreprise Que vous possédiez un ordinateur portable
d'entreprise
ou un
ordinateur portable personnel, n' est-ce pas ? Et comme l'authentification
et l'autorisation, si vous êtes un
utilisateur sur un appareil et qu'elles soient effectuées avant l'établissement
d'une session. C'est une réponse à
des tendances telles que le
travail à distance , le BYOD, les
actifs basés sur le cloud, n'est-ce pas ? Ce n'est donc qu'un résumé de
ce dont nous avons parlé. L'emplacement du réseau de charge
n'a plus d'importance. Votre réseau, l'appareil que vous
possédez n'ont plus d'importance. Et il ne s'agit pas d'une architecture
unique, mais d'un ensemble de principes qui évoluent au fil du temps. Et je vous ai montré l'
historique et la façon dont vous devez procéder à une
mise en œuvre progressive
pour réellement en tirer des avantages. Maintenant, revenons
à ce que ce n'est pas. Et c'est très, très
important parce que les gens ont souvent cette hypothèse erronée
sur la confiance zéro. Donc, ce qu'est Zero Trust, ce n'
est pas, tout d'abord, qu'il ne s'agit pas d'un produit
destiné à plaire à qui que ce
soit, à un fournisseur qui vient vous voir pour vous dire « achetez, achetez un produit à
1 000 000 dollars ». Et une fois que vous l'aurez
activé, vous sécurité
Zero Trust complètement fausse. Cela ne fonctionne pas comme ça, cela vous
aidera à implémenter
zéro tos. Absolument. Absolument. Il existe de nombreux produits conçus
dans l'optique de Zero Trust, mais il n'existe pas de produit
magique contenant un outil pour
uriner. Ensuite, vous serez
comme certifié Zero Trust. Et beaucoup de personnes ne savent pas que de nombreux outils informatiques
et de sécurité, par
exemple, prennent déjà en
charge la technologie Zero Trust. Il suffit de
les configurer d'une manière particulière, non ? Vous devez les regarder sous l'angle
de la confiance zéro. Mais l'identité est au second
plan et la question de savoir s'ils peuvent appliquer des
politiques contextuelles. Comme de nombreux
fournisseurs révisent produits pour les adapter aux spécifications Zero
Trust. Comme je l'ai dit, il s'agit d'un changement
fondamental dans la façon dont vous abordez la sécurité de l'
information. Le secteur évolue donc et c'est comme s'il fallait
vraiment y réfléchir. Donc, une autre chose n'est pas
une certification, s'il vous
plaît, vous devez comprendre
qu'il n'y a pas de certification. Cela peut sortir et
vous pouvez l'implémenter,
mais ce n'est pas comme PCI, DSS, ISO. Vous pouvez dire que je sais que je suis
certifié Zero Trust, s'il vous plaît. Voici mon certificat. Non, ça ne marche pas comme ça. Comme je l'ai dit, il s'agit d'un ensemble de principes
évolutifs. Donc, deux choses, tu
dois être très mal à l'aise. Ce n'est pas un produit, ce
n'est pas une certification. Autre chose très,
très importante ce n'est pas une solution miracle, ce n'est pas une solution magique à tous les
défis de cybersécurité. Je vous en prie. Très, très important, les gars, ce n'est pas une solution magique que vous pouvez simplement implémenter
et ensuite dire, d'accord, une certification non nulle et tout
n'a pas
été résolu. Non, ça va
certainement t'aider. Il va
utiliser la sécurité, n'est-ce pas ? Mais vous devez
comprendre qu'il ne s'agit pas d'une tâche
ponctuelle, ni d'une solution unique et universelle
que vous pouvez simplement acheter, installer et tout
est terminé, n'est-ce pas ? Une autre chose dont j'ai déjà
parlé, bien
sûr, n'est pas statique. Elle ne cesse d'évoluer, l'
industrie continue d'évoluer. Vous êtes des taxons en train de sortir. Et sur cette base, c'est la beauté de la confiance zéro, n'est-ce pas ? De plus en plus d'améliorations
doivent donc être apportées. Ces fuseaux horaires sont déterminants. Souvenez-vous donc de cette affaire, si importante, qu'il ne s'agit
pas d'une technologie, d'un
produit ou d'un service unique que vous pouvez simplement mettre en œuvre et
oublier, n'est-ce pas ? Ce n'est pas le cas, et ce
n'est pas une tâche ponctuelle. Gardez donc ces choses
à l'esprit. Très, très importantes, s'il vous plaît,
avant de commencer, si vous avez ces choses à l'esprit lorsque vous étudiez Zero Trust, croyez-moi, vous
serez déçus. Et vous allez dire : « Hé mec,
pourquoi ai-je implémenté cela ? Je devrais y retourner parce que tu n'as pas commencé avec le
bon objectif en tête. Cela permet donc de définir les
attentes de manière réaliste. Maintenant, quels en sont les avantages ? Les avantages sont en fait
énormes. Donc, tout d'abord, une
sécurité accrue, oui, absolument. Cela aidera votre
organisation à mieux arrêter
et à
limiter les incidents de sécurité. Contrairement à
vos modèles de sécurité basés sur le périmètre qui sont aujourd'hui très inefficaces, vous pouvez vraiment mieux comprendre
votre architecture de sécurité car elle fournit
une approche plus structurée de la
mise en œuvre de la cybersécurité. Et un avantage secondaire. Cela permet également de mieux comprendre actifs et les
ressources
de votre entreprise , car pour
mettre en œuvre la confiance zéro, comme nous le verrons plus tard,
vous aurez besoin d'une visibilité sur vous aurez besoin d' votre environnement. Ce que tu as, ce que
tu n'as pas, d'accord ? Et cela vous donne une
excellente
visibilité sur le réseau de l'entreprise. Vous savez quels sont les utilisateurs,
appareils et services
autorisés et cela vous donne une meilleure idée de
la situation. Et plus tard, sur cette
colline ou quelque chose comme ça. Et en particulier en tant que
main-d'œuvre appartenant à un groupe hybride, modèles de travail
impie, la confiance zéro peut permettre aux travailleurs d'
accéder en toute sécurité au
réseau et aux ressources de l'entreprise, qu'ils
soient sur site ou hors site. Cette nouvelle façon de
faire comble de nombreuses lacunes. Dans le
module précédent. Nous avons parlé de mouvements latéraux
des attaquants. Donc, si un attaquant, ce soit à l'intérieur ou à l'
extérieur, parvient à pénétrer
à l'intérieur, il sera continuellement confronté à diverses
vérifications que nous
verrons lorsque nous parlerons du NIST
plus en détail. Il il sera continuellement
confronté à diverses
vérifications que nous
verrons lorsque nous parlerons du NIST
plus en détail. Il
s'agira de freins
et contrepoids qui empêcheront d'
obtenir un accès plus devra
se
réauthentifier améliorer son identité
constamment pour chaque ressource. D'accord ? Ainsi, étant donné que la confiance zéro utilise des entités d'analyse
comportementale alors que votre modèle
traditionnel
basé sur un pare-feu ,
alors que votre modèle
traditionnel
basé sur un pare-feu ou un modèle de contrôle d'accès n'utilise
qu'un ensemble d'
informations d'identification, n'est-ce pas ? agit donc de paramètres utilisateur tels que l'heure de la journée, le
modèle d'accès, emplacement, la taille du transfert de données et de nombreuses autres données. Il n'est pas évalué,
mais Zero Trust évalue pour
déterminer si l'entité qui tente d'accéder le
fait de manière sécurisée
et acceptable. Si quelqu'un, un appareil
ou un utilisateur
essaie d' y accéder,
nous
ne le faisons généralement pas à d'autres moments de la journée. Ils ne fonctionnent pas. Ces
comportements déclencheront une alerte et
modifieront éventuellement la politique. Cela vous donne donc une excellente prise de décision
basée sur les risques et vous permet de la mettre
en œuvre correctement. Vous pouvez donc supprimer complètement le périmètre
externe. Et les télétravailleurs n'ont pas besoin
de se connecter à un accès VPN. Ils peuvent simplement avoir accès uniquement aux
ressources requises. Et vous pouvez même supprimer complètement
le VPN. Bien que cela se
fasse généralement d'après ce que j'ai vu dans les environnements cloud et où le Zero Trust
est devenu beaucoup plus mature. D'accord. Cela peut donc être fait. Je dis juste de
ne pas le faire, de ne pas le
faire du premier coup. Mais une fois que vous avez
mis en œuvre la méthode Zero Trust et que vous continuez
à l'améliorer, vous pouvez réellement le
faire. OK, vraiment désolée. Et, bien entendu, quels
sont les défis à relever ? La confiance zéro a
donc ses défis. Ce n'est pas comme je l'ai dit, c'est quelque chose
d'unique. Il s'agit d'une rupture radicale
par rapport à l'architecture traditionnelle. Cela a donc un
coût et un effort. Cependant, je veux dire que cela
prend et prend un certain temps pour que vos administrateurs
de sécurité et votre équipe
de sécurité s'y adaptent. La
mise en œuvre effective et nécessite généralement un investissement
important. Vous devrez peut-être
acheter de nouvelles commandes, formation et des frais d'assistance. L'intégration d'une
architecture Zero Trust est complexe. Et sa maintenance peut également s'
avérer complexe. Si vous ne savez pas ce que
vous faites, c'est parce qu'il s' agit d'un
modèle complètement différent de grognement d'accès. Et bien d'autres endroits où vous
devez effectuer une surveillance. Nous devrons implémenter
vos contrôles. Avantages. Je vous ai déjà
parlé des avantages
qui pourraient compenser les difficultés et la complexité. De plus,
l' analyse
comportementale prend un certain temps pour la mettre en œuvre, et elle n'est pas facile à diviser. Et bien entendu, lorsque vous modifiez l'architecture et qu'il s'agit d'un changement architectural
important, cela permet de trouver un équilibre
entre
le maintien de l'activité et traduction vers une
nouvelle architecture. Vous devez donc le faire, nous en
reparlerons plus tard lorsque vous
parlerez de mise en œuvre. Le passage à une
architecture Zero Trust. Cela nécessite une planification minutieuse, un contrôle des
changements,
beaucoup de temps et d'efforts. Et comme je l'ai dit, les avantages ne sont pas
immédiatement apparents. Prenez un peu de temps et vous
pourrez en retirer les avantages. Soyez donc réalistes, pas plus
que les défis. Notez les avantages,
connaissez les inconvénients
afin de savoir dans
quoi vous vous engagez. S'il vous plaît, ne vous
contentez pas de vous contenter du battage médiatique. Oui, Zero Trust va tout
résoudre. Permettez-moi de sauter
le pas et commencer aveuglément à
mettre en œuvre la confiance zéro. Comme ça. Le projet échouera et ils auront en fait
plus de difficultés plus tard. OK, nous sommes donc arrivés à la fin de cette leçon qui explique quels sont les principaux points à retenir. Plus important encore, Zero
Trust est un état d'esprit. Ce n'est pas un produit, ce
n'est pas une certification. Cela comporte des avantages,
des inconvénients et des défis. Les avantages, nous en prendrons
toujours un, nous serons plus que les
inconvénients. Absolument. À condition que vous l'
ayez correctement implémenté. Et comme je l'ai dit, Zero Trust doit être
traité comme un projet. Vous devez investir du temps, l'argent,
des ressources. Nous devons nous assurer que
ce que vous essayez mettre en œuvre est clair dès
le départ : vous bénéficiez soutien de la
direction,
vous pouvez faire toutes ces choses. Absolument. Vous allez voir les avantages de la
confiance zéro apparaître, n'est-ce pas ? Maintenant. J'espère que vous avez acquis une compréhension
de haut niveau. Dans la prochaine leçon, nous allons maintenant aborder d'
autres principes fondamentaux comment calcule-t-on réellement
la confiance ? Ensuite, nous allons passer à la nouvelle norme et
aux études de cas. Bon, maintenant j'espère que vous
avez une meilleure base maintenant. Passons maintenant à un
examen plus approfondi. Merci les gars et je
vous verrai dans la prochaine leçon.
5. Principes fondamentaux de Zero Trust: Bonjour, mes amis. OK, c'est donc une leçon
très, très importante. Et à ce sujet, nous allons
faire une analyse plus approfondie. Et nous allons examiner
les principes fondamentaux
de Zero Trust et savoir comment les électrons
calculent-ils réellement le transport ? D'où vient la
question de la confiance ? Nous avons donc déjà compris le drapeau
zero-trust. Il s'agit d'un cadre de sécurité. Vous supposez que rien ne l'est, qu'aucun utilisateur, appareil ou système n'est
intrinsèquement fiable, n'est-ce pas ? n'y a pas de confiance implicite peu importe où vous vous
trouvez à l'intérieur ou à l'extérieur. Et cela se distingue par certains principes
fondamentaux, n'est-ce pas ? Nous allons donc en
parler et nous
allons parler de confiance. Ainsi, au lieu de suivre votre méthode
statique comme vous le faites actuellement, la
confiance zéro est une façon de décider de la
confiance, de savoir confiance zéro est une façon de décider de la
confiance, à
qui on fait confiance et qui ne l'est pas. Et vous pouvez voir comment il examine
en permanence ces facteurs. Et il modifie en fait ses politiques et ses
autorisations en temps réel. Il est donc capable d'établir ces sessions de confiance de manière dynamique. Les décisions d'accès sont donc prises
au cas par cas. Ce n'est pas comme si vous donniez
simplement à un utilisateur l'
accès à
la matrice et à l'
autorisation symétrique basée sur les rôles , donc basée sur les fichiers, et c'est tout. Non, il peut réellement examiner de
manière dynamique, et c'
est ainsi que réside la différence
entre le modèle Zero Trust
et les autres modèles. Jetons donc un coup d'œil à ce dont
nous parlons ici. J'ai donc parlé du
taux de confiance zéro et des principes. La confiance zéro repose donc sur
certains principes fondamentaux. Tels sont les
objectifs idéaux à atteindre. Comme je vous l'ai déjà dit, ce n'est pas comme si vous
claquiez des doigts et que tout à coup tous les principes du Zero Trust allaient être mis en œuvre. Non, ça ne marche pas
comme ça, non ? Il vous fournit donc un
ensemble d'idées et concepts conçus pour le
mettre en œuvre, n'est-ce pas ? Et une fois que vous l'aurez
fait, vous pourrez dire : d'accord, nous avons
maintenant cette maturité en matière de confiance zéro et nous
allons en parler. Ce sont donc les
objectifs idéaux à atteindre. Et encore une chose qui
est très importante, les gars, c'est que nous allons
parler du NIST et d'autres choses que les noms
voient parfois ces principes arrière-plan, ils
restent les mêmes. Mais les concepts,
seuls les noms changent, mais les concepts
resteront les mêmes. Ne vous y trompez donc pas, car il n'y a pas de liste de favoris standard. Nous avons certainement
certaines choses du NIST et d'autres
choses d'autres. J'ai essayé de les
résumer tous en un seul endroit pour vous faciliter la tâche. C'est donc de cela que nous allons
parler maintenant de ce que sont les principes du
Zero Trust. Il s'agit donc d'un
modèle récent issu du Forum économique
mondial, qui est un
modèle de confiance zéro en matière de cybersécurité. Et on lui donne
certains principes, c'est vrai, établis
sans confiance par défaut. Garantissez la visibilité. Faites preuve de confiance pour une vérification dynamique et
continue. Utilisez le moins de privilèges possible, garantissez la meilleure expérience possible à
l'utilisateur final. Donc, un principe que vous
verrez toujours est qu'il ne faut jamais se fier, toujours vérifier
le principe le plus courant. Mais c'est basé sur une
liste plus large de principes, n'est-ce pas ? Et d'habitude, ils
le prennent dans le Nist. L'Institut national des
normes et de la technologie est la publication spéciale
SP 800 à 07. Et chaque organisation
peut photographier, analyser chacun de
ces principes et examiner ce qu'il est possible de mettre
en œuvre dans ce qu'elle est. Mais ce sont là quelques-uns des principes les
plus courants dont
nous avons parlé chaque fois que nous
parlons de la
mise en œuvre de la confiance zéro. Lorsque nous parlons de tout
vérifier
explicitement, alors que tout
vérifier
explicitement, alors rien ne vaut
l'absence de confiance par défaut, vous devez toujours
authentifier et autoriser les utilisateurs
avant de leur accorder accès, quel que soit leur emplacement
ou ce qui a été
fait précédemment, quel que soit leur niveau
de ou ce qui a été
fait précédemment, confiance
antérieur, n'est-ce pas ? Pour ce faire, vous
pouvez appliquer accès
MFA avec le moindre privilège. Et vous supposez une violation, c'est toujours comme si vous supposiez que vous
opérez en
supposant que votre réseau a déjà été compromis. Et cet état d'esprit encourage
à adopter des mesures de sécurité proactives même s'il n'y a aucun signe visible
de violation. Et c'était quelque chose
comme le moindre privilège. C'est déjà là, non ? De nombreuses organisations l'ont donc
déjà appliquée, c' est-à-dire que vous limitez l'accès des utilisateurs
et des systèmes au niveau minimum d'autorisations nécessaires à l'exécution de la tâche. Cela vous aidera à réduire
les dommages potentiels causés
par des informations d'identification compromises. Mais vous voulez vous assurer
que ce n'est pas le cas des utilisateurs la productivité n'est pas
compromise en même temps. Il y a une chose qui est bloquée et qui est très importante, cette microsegmentation,
dont j'ai parlé, qui est très importante. La microsegmentation signifie que
vous divisez le réseau en segments isolés
plus petits pour limiter vos
mouvements latéraux, n'est-ce pas ? En fait, je me rends compte que
c'est peut-être moindre privilège, mais oui, je pense qu'il est
plus important d'en discuter séparément. Mais grâce à la segmentation Microsoft, vous
compartimentez vos ressources. Ainsi, ce
qui se passe en raison de la capacité de cet attaquant à se déplacer d'une partie
du réseau à une autre est
considérablement réduit. Et vous l'avez fait, nous avons parlé de confiance absolue avec une
vérification dynamique et continue, n'est-ce pas ? Cela entre dans le cadre de la
surveillance et de l'analyse continues. Ce qui se passe,
c'est que les utilisateurs sont régulièrement surveillés et analysés. C'est le comportement de Tim pour répondre
aux menaces de sécurité potentielles. Le moteur Zero
Trust collecte et
analyse en permanence des données pour l'aider, notamment pour répondre aux alertes. Et d'habitude, comment fonctionne-t-il ? Il s'intègre à vos outils de sécurité
d'autre jambe, solution
SIM et à votre authentification
unique. C'est donc une
façon holistique de le faire, n'est-ce pas ? Et donc, en gros, ce sont les différents
modèles qui existent. En suivant ces principes
fondamentaux, vous pouvez réellement mettre en œuvre le
zero-trust dans son intégralité et réduire le risque
de failles de sécurité. Et vous pouvez protéger vos données
sensibles, qui sont là. J'ai donc pris, j'ai
pris la liberté de prendre ces principes et simplifier les choses
comme ça, n'est-ce pas ? Ce sont donc les
principes dont nous avons également parlé plus tôt, à savoir
que le réseau est
toujours considéré comme hostile. Oui, en supposant que
cela contrevient déjà l'idée des menaces externes et
internes. Il n'y a donc aucune
confiance implicite accordée à qui que ce soit. Parce qu'en gros, tout
peut être compromis, non ? Le fait que vous soyez
avocat n'est pas suffisant pour
décider de faire confiance. Et chaque utilisateur de l'appareil
et chaque flux
réseau doivent être authentifiés
et autorisés. Peu importe, que ce soit
dans le cloud ou sur site. Et des choses comme ça. Et les politiques doivent être dynamiques et le calculer à partir du
plus grand nombre de sources possible. Ils sont donc là. Et bien sûr, il une chose qui n'est pas mentionnée
sous le nom de microsegmentation, et je pense qu'elle se trouve dans la notion de moindre privilège pour l'utilisateur. Mais ce concept doit
également être mort. Mais comme je l'ai dit, Zero Trust n'
est pas une architecture unique. Il s'agit d'un ensemble de principes
directeurs qui peuvent évoluer au fil du temps. OK, c'est donc un voyage. Ce n'est pas comme au premier jour. Tous ces
principes seront mis en œuvre, n'est-ce pas ? s'agit donc d'une réalité, Il s'agit donc d'une réalité,
ce dont nous avons parlé pour
parler de l'approche normale
par rapport à une approche de confiance zéro. Il en est ainsi. Nous avons dit
que Zero Trust constitue une rupture très significative
par rapport à votre sécurité
symétrique traditionnelle. La sécurité réseau traditionnelle
repose sur la confiance, mais sur la vérification. Cela suppose que les utilisateurs de votre
périmètre sont sécurité et vous
exposera à des acteurs internes
malveillants qui
ont volé des informations d'
identification légitimes,
ou peut-être à des attaquants qui informations d'
identification légitimes, se sont comportés
par ingénierie sociale en pêchant et en s'
emparant des comptes de quelqu'un,
n' par ingénierie sociale en pêchant et en s'
emparant est-ce pas ? Et ce qui se passe, c'est
qu'avec ces comptes compromis, ils ont un large accès
au réseau. Ce modèle est donc devenu quasiment obsolète une fois que le cloud est arrivé, une fois que les moqueries à distance sont apparues,
comme en 2020, vous pouvez le
sauver Valley. Ce modèle ne
fonctionne vraiment plus. C'est donc de cela que nous
parlons avec Zero Trust. Ne faites jamais confiance, vérifiez toujours. Une confiance zéro suppose qu'il n'
y a pas de confiance inhérente et nécessite une vérification
et une autorisation continues , n'est-ce pas ? Alors qu'avec le précédent, cela permettait un certain
niveau de confiance, non ? Cela dépend vraiment de la manière dont
vous implémentez le zero-trust, de vos
besoins spécifiques et de tout le reste. Mais en résumé, nous en avons parlé à maintes reprises rien n'est intrinsèquement digne de confiance, que
ce soit à l'intérieur
ou à l'extérieur, n'est-ce pas ? Parce que vous supposez qu'
une brèche existe déjà. C'est donc très, très important. Ensuite, vous expliquez, vous mettez en œuvre les principes
Zero Trust moindre privilège, la microsegmentation et la surveillance
continue. Mais comment s'y prendre, n'est-ce pas ? Alors, comment en arriver là ? Nous
voyons qu'il ne faut jamais faire confiance, toujours vérifier et
comment et ensuite comment
donner cette confiance, d'accord ? Comment savons-nous que
quelque chose est sécurisé ? Voilà, c'est ainsi que
le départ se produit. La gestion de la confiance est donc peut-être l'aspect le plus difficile de la mise en œuvre d'un choix de
confiance zéro. Comme même dans le cadre de
vos indicateurs habituels, vous pouvez choisir les personnes
religieuses autorisées à accéder au réseau
sur les
appareils. C'est un
processus qui prend beaucoup de temps, n'est-ce pas ? Et vous mettez constamment à jour
vos autorisations ce qui affecte directement
le niveau de sécurité. D'habitude, soyons réalistes. La procédure habituelle est
laissée à la charge des ingénieurs de
sécurité et de ingénieurs de
sécurité et l'équipe de
gestion des identités et des accès. Le cloud peut avoir des politiques
gérées. Vous savez, si vous
implémentez quelque chose dans AWS, il se peut que des politiques soient gérées. Mais ces politiques ne
fournissent qu'une isolation très basique, comme celle d'un administrateur superutilisateur. Et
en raison de la difficulté de les définir ou de les maintenir, les demandes de modification de ces politiques
sont généralement des indicateurs qui suscitent
une certaine résistance. Et vous ne savez pas quel en sera
l'impact, n'est-ce pas ? Cela pousse donc généralement les administrateurs à
maintenir ces politiques, non à les modifier, et ils sont submergés par de
plus en plus de demandes. Il s'agit donc d'un problème courant. Les politiques ne sont pas vraiment
suffisamment dynamiques pour répondre aux
menaces qui se présentent. Les organisations matures auront un certain poids en matière d'audit. Vous effectuez peut-être une certification
trimestrielle, mais à quelle fréquence
allez-vous le faire ? C'est tellement fastidieux de le faire. Vous savez combien, pour un humain, vous pourriez avoir des milliers
et des milliers de polices. Quels dommages
un administrateur malhonnête pourrait-il causer sur
un réseau avant qu'un audit ne soit
découvert, et les atténuer, n'est-ce pas ? serait donc plus utile de penser à manger cela et de repenser
l'ensemble de la relation de confiance. Reconnaître que la
confiance dans un réseau est en train de changer et que cela dépend de vos actions passées et
actuelles, n'est-ce pas ? C'est ainsi que nous
commençons à nous éloigner de cette ancienne méthode et à adopter
une approche de confiance zéro. Il s'agit donc d'une nouvelle méthode. Au lieu de définir des décisions politiques
binaires que vous donnez à des utilisateurs spécifiques, Zero Trust Network
surveillera en permanence les actions
d'un acteur sur un réseau et disposera
d'un score de risque
continuellement mis à jour. Ce code peut ensuite être utilisé pour définir la politique du
réseau en fonction de
la gravité de
votre confiance, n'est-ce pas ? Ainsi, dans une architecture zéro confiance, confiance n'est pas calculée
comme une seule métrique, comme un score unique, mais il existe
une combinaison de facteurs et nous examinerons ceux qui contribuent à la
prise de décision. Ensuite, vous
décidez si vous l' autorisez ou non, n'est-ce pas ? Et cela peut prendre plusieurs formes : identité des
utilisateurs et des appareils,
contextes, comportements. Mais le
Zero Trust
examine tous ces éléments et peut déterminer
le niveau d'accès. Il y a beaucoup de choses
qui peuvent entrer en jeu. Votre identité d'utilisateur, n'est-ce pas ? Qui est l'utilisateur,
s'il utilise
une authentification forte telle que le
MFA ou l'identité de l'appareil. Qu'il s'agisse d'un appareil gestion ou d'un appareil personnel. Quel est le niveau de sécurité, quel est le contexte au
niveau de l'application des correctifs ? Quel est le rôle de l'utilisateur
au sein de l'organisation, le lieu qui entre
en ligne de compte. Cela provient du comportement d'un
réseau Wi-Fi public ou d'un VPN. Peut-être que le comportement de l'utilisateur
provient de l'historique. Cela peut présenter
des anomalies et les risques
peuvent donc être modifiés, n'est-ce pas ? Ainsi, lorsque vous pourriez avoir besoin de
suivre l'évaluation des risques, d'évaluer le score de risque
et de déterminer l'accès à votre
subvention, et de déterminer l'accès à votre quel en est
l'impact potentiel. Donc, ce dont je
parle au cas par cas. C'est le
moteur zero-trust qui examine
cette question et comment serait-il mis en œuvre dans la
pratique ? Regardons donc l'
aspect pratique de cela. C'est donc à cela que ressemblerait fondamentalement
un intérêt nul dans
Gen à un
très, très haut niveau. Il s'agirait d'obtenir
des données pour l'utilisateur, l'appareil, à partir de
votre solution SIM. Et il existe un moteur
qui calcule
un score de risque, puis autorise ou l'interdit en
tenant compte de ces facteurs. Utilisateur, appareil, tel que je suis continuellement et adapte,
évalue, interrompt
les autorisations. En temps réel,
l'architecture Zero Trust peut ensuite établir la confiance de manière dynamique, comme je l'ai dit, l'accès aux enfants se faisant au cas par cas. Et pour s'assurer
que les utilisateurs et
les appareils bénéficient du
niveau de confiance approprié, n'est-ce pas ? Prenons donc un exemple. se peut qu'un utilisateur
consulte le calendrier Il se peut qu'un utilisateur
consulte le calendrier
à partir d'un
appareil personnel, un calendrier professionnel, ce qui peut vous
donner un score de faible risque. Mais si le même utilisateur
a essayé de modifier les paramètres
du système à
partir d'un appareil personnel , cela vous donnera un score de risque
beaucoup plus élevé. Et cela serait refusé
par le drapeau Zero Trust en général adressé à
l'équipe de sécurité. Ainsi, même dans cet exemple simple, vous pouvez voir les
avantages d'un score. Vous pouvez prendre des décisions très
intelligentes. Et des éléments tels que les politiques scolaires
peuvent affecter le résultat, comme aquarelles ou les demandes
basées sur un nombre variable, éléments tels que l'historique de l'activité, cela peut améliorer considérablement sécurité de
votre réseau, ce n'
est rien comparé
aux politiques statiques précédentes que nous leur avons expliquées. Ainsi, les sessions qui
ont été améliorées approuvées par le moteur
Zero Trust plus fiables que
celles qui ne l'ont pas fait. Vous pouvez ainsi commencer à vous fier moins à votre
authentification basée sur l'utilisateur. Vous pouvez maintenant voir à quel point les
ingénieurs Zero Trust
vous ont fait preuve d'intelligence pour l'implémenter correctement, n'est-ce pas ? Et comment cela se passe-t-il ? Disons que j'ai
donné plus de détails. Il existe généralement un concept de
confiance zéro entre un plan de données et un
plan de contrôle. La distinction, ce
concept de plan de données
et de plan de contrôle, qui n'
est pas nouveau
pour Zero Trust, tient donc concept de plan de données
et de plan de contrôle, n'
est pas nouveau
pour Zero Trust, tient à la sécurité
du réseau et à l'architecture
réseau. Mais l'idée de base est qu'
un périphérique réseau ou un utilisateur possède deux domaines logiques. Il y a une nette différence
entre les deux. Le plan de données est
généralement le domaine DOM, qui gère
alors le trafic. Et généralement, s'il est conçu pour gérer des taux de
trafic élevés, sa logique est simple. Il ne s'agit généralement pas de prendre des décisions
intelligentes, d'accord ? Le plan de contrôle, vous pouvez
le considérer comme le cerveau
du réseau. Il s'agit de la couche à laquelle les administrateurs
système appliquent la configuration. Et c'est là que les
décisions politiques sont prises. Donc, généralement, le plan de contrôle n'
est pas utilisé pour
gérer le trafic, d'accord ? Et le plan de données,
c'est le plan de données. C'est le travail du plan de données. donc d'un réseau Zero Trust Il s'agit donc d'un réseau Zero Trust qui définit une séparation claire entre le
plan de contrôle et le plan de données. Et Data Plane est généralement composé de toutes les applications, pare-feu et de routeurs proxy qui traitent
directement
l'ensemble du réseau, n'est-ce pas ? Et c'est qu'ils sont utilisés pour
gérer toutes les connexions. Ils doivent rapidement déterminer si le trafic doit
être autorisé ou non. D'accord ? C'est donc ici qu'interviendra l'avion de
contrôle. Le plan de données est donc
l'endroit où le trafic est géré
et le mécanisme. Le plan de contrôle
est utilisé pour prendre les décisions et les décisions
politiques. Et c'est généralement là que fonctionne
votre moteur zero-trust. Et comment le plan de contrôle, gros le plan de contrôle va prendre
les décisions ou modifier les
politiques et les
transmettre au plan de données. OK, donc il va dire « cliquez,
appliquez cette politique, appliquez cette politique,
restreignez cet utilisateur parce qu' il a un score de risque plus élevé », alors autorisez cet utilisateur parce qu'il a
le score de risque le plus faible. Alors, comment s'y prend-il ? Mais cela peut se faire de différentes manières. Je veux dire, le mécanisme par
lequel le plan de contrôle influence les modifications du plan de
données est très important car le plan de données est souvent le
point d'entrée des attaquants. Et l'interface entre celui-ci et le plan de contrôle doit être
très sûre, très claire. Parce que si cela est compromis, l'ensemble de
votre
moteur Zero Trust est compromis. demandes d'écriture entre
le plan de données et le plan de contrôle
doivent être cryptées authentifiées
à l'aide
d'une PKI non publique pour garantir la fiabilité du
système. C'est donc très, très critique. C'est comme la phase utilisateur
et noyau entre les
systèmes d'exploitation, n'est-ce pas ? Il est très, très isolé pour empêcher quiconque d'y accéder. Tout cela est essentiellement le fonctionnement du réseau Zero
Trust. Le plan de contrôle est très, très critique, car c' est là que la confiance
est accordée. En raison du
contrôle approfondi d'un comportement infixe, la sécurité des plans de contrôle est essentielle, tout comme la
fiabilité. Et généralement, quelqu'un de
très, très privilégié doit
être là pour y accéder. Et la confiance est garantie. Ce qu'il a appelé le plan de contrôle est celui qui
prend les décisions en fonction du plan de données. Et n'oubliez pas que quelles que soient les décisions
politiques qu'il prend, elles sont temporaires, n'est-ce pas ? Les politiques sont en train de changer. C'est dynamique. Vous pouvez donc généralement le faire deux jetons ou des
certificats à vie, mais c'est ainsi que fonctionne généralement un système
zero-trust. Ainsi, lorsque le
plan de contrôle accorde un jeton à un utilisateur du plan de données indiquant que c'est de courte durée, ce
n'est pas comme si c'était permanent. C'est ainsi que, dans la pratique, vous donnez accès à un moteur
zero-trust. Vous avez le plan de contrôle, qui ne fait pas
partie du moteur Zero Trust et qui
applique des politiques de manière dynamique au plan de données. Et
les politiques du plan de données sont généralement courte durée et le plan de
contrôle des données doit être très, très sécurisé pour
garantir que les attaques
ne puissent pas le renverser, qu'il
ne puisse pas y accéder. Désolée, les gars, cela a pris
un peu plus de temps, mais c'est là que
nous approfondissons le fonctionnement des
ingénieurs Zero Trust. Et maintenant, dans la leçon suivante, nous allons
examiner la confiance zéro du vue
du NIST, non pas en examinant vos
concepts de base. Donc, ce dont nous avons
parlé, nous avons
parlé des principes Zero Trust, ne
sont pas gravés dans le marbre. Nous faisons évoluer notre taux en permanence. Et les noms peuvent
être différents, mais ce sont les concepts dont
nous devons parler. Et nous abandonnons les politiques
statiques au profit d'une approche basée sur la
confiance. Et cette
approche est bien meilleure que les politiques statiques. Comme tu as
parlé de Zero Trust. La confiance n'est pas un score métrique
unique, elle dépend continuellement d'une
combinaison de facteurs. Il s'agit d'un processus
décisionnel intelligent pour accorder ou refuser l'accès. Et cela peut être l'identité, les
contextes et le comportement de votre utilisateur et de votre
appareil. Toutes ces choses
arrivent. Et en
évaluant continuellement ces facteurs, l'architecture
Zero Trust permet de prendre
des décisions
dynamiques au cas par cas. Il est très important que vous connaissiez le concept de plan de contrôle et de plan de
données. Ils sont essentiels
à la compréhension. N'oubliez pas que le plan de contrôle est le cerveau du moteur
Zero Trust, où tous les accès
sont authentifiés et autorisés et où les
décisions sont prises. Et le plan de données est essentiellement la partie du
trafic du réseau DOM où les décisions politiques sont mises
en œuvre et appliquées. J'espère, ce gars, que cela vous permettra
de mieux comprendre la confiance zéro, comment cela fonctionne et comment
tout fonctionne. Dans la leçon suivante, nous
allons parler norme NIST et de
la
façon dont elle est à peu près la
norme industrielle de facto et de la manière dont ces concepts sont mis en œuvre plus
en détail, les gars. D'accord, merci et je
vous verrai dans la section suivante.
6. NIST Standard - aperçu: Bonjour, mes amis. À présent, bienvenue dans cette
leçon dans laquelle nous
allons approfondir la nouvelle norme. Je pense que c'est de loin la leçon la plus importante de ce cours. J'ai
donc besoin de toute votre
attention, s'il vous plaît. Et en fait, si vous voulez comprendre la confiance zéro en détail, c'est sur
cette leçon
que vous devez vous concentrer le plus. Maintenant, juste pour récapituler,
nous avons parlé la
façon dont l'
approche Zero Trust différencie les taux. Nous avons abordé des sujets tels que l'approche basée sur la confiance dans la leçon précédente
et nous avons expliqué pourquoi c'est une approche
tellement meilleure
que de
se contenter de politiques statiques prenant des décisions
binaires, oui ou non. Et nous avons constaté que dans notre architecture
Zero
Trust, la confiance n'est pas calculée comme une métrique ou un
carré. Ce n'est pas oui-non. Au lieu de cela, la confiance est
établie grâce à une combinaison de facteurs qui contribuent au processus de
prise de décision
lors de l'octroi ou du refus du taux d'accès. Et c'est ce dont nous
allons parler, comment l'implémenter en détail. Parce que si je vous demandais, accord, allez-y et implémentez
une architecture Zero Trust, comment adopteriez-vous les
concepts dont nous avons
parlé et les implémenteriez-vous réellement c'est
ce dont nous allons
parler, d'accord ? Nous savons donc que nous en sommes maintenant à
zéro, le concept est là. Et qu'en est-il de l'architecture
Zero Trust ? Beaucoup de gens
confondent
Zero Trust et
architecture Zero Trust. L'architecture Zero Trust
est donc le véritable plan. Ensuite, le plan de
cybersécurité de
l'entreprise
utilise les concepts Zero Trust
et les applique pour les
mettre en œuvre au sein du réseau. D'accord ? C'est ainsi que vous allez
le mettre en œuvre. Et lorsqu'une entreprise décide d'
adopter la stratégie de confiance zéro comme stratégie de base et de
générer un
plan d'architecture
zéro, zéro confiance. Ces principes. Vous allez maintenant
le déployer et comment le faisons-nous ? C'est donc là qu'intervient la norme
NIST. C'est de loin la norme qui ressemble
le plus à la norme industrielle de facto. Donc, nous allons parler
de la manière d'implémenter réellement
ces composants. D'accord ? Donc, oui, c'est ce dont
j'ai parlé plus tôt, qu'il ne faut pas
confondre les concepts d'architecture
Zero Trust
et de Zero Trust. Zero Trust est un concept qui a une portée très large. Ce sont les principes et l'architecture est la façon dont
vous les implémentez. C'est ainsi que vous
allez réellement
appliquer ces normes, les
appliquant
au sein de votre réseau. Supposons que vous disposiez d'un nouvel environnement
existant et que vous
souhaitiez implémenter la confiance zéro. C'est ainsi que vous
allez réellement l'implémenter. Alors, comment s'y prendre ? Supposons donc que la bascule vous
vienne aujourd'hui, ou que le responsable de la
cybersécurité vous dise : Je veux que vous alliez de l'avant et notre environnement soit conforme
aux principes Zero Trust ». Comment vas-tu t'
y prendre ? Où regardes-tu ? Par exemple, par où commencez-vous ? Et c'est le
défi auquel j'ai également été confrontée Comme je l'ai dit au
début du cours, il y a beaucoup de
documentation de très haut niveau,
rien de détaillé ou qui concerne davantage les produits. Par ce produit,
achetez ce produit. Vous n'entrez pas vraiment dans les
détails de la mise en œuvre. C'est là que la
norme entre en jeu. 80207, Institut national des
normes et de la technologie de
Nestlé. Comme une
organisation bien connue qui établit des
normes très détaillées. La plupart des entreprises, si vous souhaitez implémenter le zero-trust,
c'est la norme. Il s'agit de la norme
complète la plus neutre vis-à-vis des fournisseurs, non pas pour
une entité gouvernementale, mais pour n'importe quelle entreprise. Il reprend donc tous les
concepts de Forrester Gartner dont nous avons
parlé de Forrester Gartner dont nous avons
parlé et les met en œuvre. Et il vous montre comment
l'implémenter. Et il montre également comment l'
implémenter dans un
environnement moderne, avec un
télétravail axé sur le cloud dont la plupart des entreprises
ont besoin. Et comme je l'ai dit, c'est indépendant du fournisseur,
ce qui est incroyable. Il ne fait donc la promotion
d'aucun produit. Il peut être utilisé par une
entreprise de toute taille. Le meilleur,
c'est que la ressemblance
standard a été validée et a fait l'objet
de nombreuses validations et contributions de la part de
nombreux experts, de
clients commerciaux, de fournisseurs, agences
gouvernementales et de
parties prenantes. C'est pourquoi il a été testé de manière
si approfondie, et c'est pourquoi de nombreuses entreprises
privées , entreprises
publiques, gouvernements considèrent comme la norme
de facto, que vous
mettiez fin à un
gouvernement ou non. C'est ce dont nous
voulons parler maintenant, vous pouvez y jeter un coup d'œil. L'avantage, c'est que
c'est totalement gratuit, n'est-ce pas ? Au début, il explique ce qu'
est le Zero Trust,
quels en sont les concepts. Mais je veux parler en détail de l'architecture,
car c'est là que
nous voulons nous concentrer sur la manière de l'implémenter réellement. Voyons donc les composants Zero Trust se trouveront dans une architecture Zero Trust. C'est donc de cela que je
veux parler. Vous pouvez donc le voir sur
ce schéma, n'est-ce pas ? Vous avez beaucoup de choses
dans l'environnement, cela peut sembler un
peu confus ici, mais qu'est-ce que c'est ? Mais je veux que vous vous
concentriez sur le milieu, qui est l'une des meilleures
parties du document du NIST. Et il met l'accent sur quelques composants de base nécessaires
à mise en œuvre d'une architecture
Zero Trust appropriée. Il s'agit du point de
décision politique
et du point d'
application de la politique. Vous pouvez
le regarder en plein milieu. Il s'agit du point de décision politique
et du point d'
application de la politique. Avoir ces deux composants, le PDP et le PEP, devant chaque
actif dont vous disposez. Et c'est là que chaque
demande, mon épouse, fait la plus grande
différence entre une architecture Zero Trust
et une architecture normale. C'est ce qui différenciera
votre environnement, qu'il
s'agisse d'une architecture
Zero Trust ou d'une architecture normale. C'est à ce moment que nous
parlons de PDP et de PEP. Cela ne doit pas
nécessairement être une solution. Cela peut être quelque chose
que vous avez construit à la maison. Ce sont comme
des concepts abstraits qui peuvent prendre différentes formes en
fonction des besoins de votre entreprise. Nous en parlerons en détail. Mais quelle que soit la manière dont vous avez mis en œuvre des PDP ou des points de décision
politiques, sont des éléments qui
évaluent la posture. De quelqu'un qui fait de l'
acoustique quelque chose le sujet et l'objet. Ensuite, il prend la décision d'
autoriser ou de refuser en fonction
de nombreux facteurs. Nous allons examiner en détail autre algorithme de confiance, n'est-ce pas ? Et le suivant est le PEP, le PEP, le point d'
application des politiques. Ces autres composants
qui sont responsables de l' ouverture et de la fermeture de la
connexion à la ressource. Le PEP prend donc les choses en main, passe à l'action, et
le PDP le fait. Un PDP dit «
Autorisez-le », il l'autorisera. Le PDP dit de l'
interdire, ça ralentira. D'accord ? C'est donc l' une des choses critiques. Je pense que c'est l'élément le
plus critique d'une architecture Zero Trust. Désormais, les PDP et les PEP
peuvent être consolidés, ils peuvent être distribués. Le PEP peut être comme un agent sur votre ordinateur ou votre ordinateur portable, n'est-ce pas ? Il peut également s'agir d'une passerelle, comme un proxy ou un pare-feu. Mais dans tous les cas, quelles que soient les fonctionnalités que vous avez
mises en œuvre (PDP, NPP ,
elles représentent la
capacité à laquelle, comme
l'architecture Zero Trust, est appliquée. Pdp, souvenez-vous que c'
est ainsi que vous prenez la décision d'
autoriser ou de refuser
en fonction de la confiance. Et le PEP est la façon dont vous
mettez en œuvre cette décision. Cela permet une interdiction
et examinons-la
plus en détail. Je ne
veux pas te submerger. La première chose est donc le sujet. Le sujet, c'est comme si vous vouliez
accéder à quelque chose ainsi
défini par le nist. Cela peut être un utilisateur, cela peut être une application, cela peut être un appareil
comme un ordinateur portable. Et il peut s'agir demande d'accès à une ressource
d'entreprise en
ce moment, qu'il s'agisse d'une application, d'une charge de travail liée à un
document de données, mais cela est sous le contrôle
du système Zero Trust. Je vais donc me référer à
nous en tant que ressource, d'accord ? Voici donc comment il
va y accéder. Le sujet va donc dire,
hé, j'ai besoin d'accéder
à cette ressource. Cette ressource est contrôlée par le
système Zero Trust. Alors, que se passe-t-il ? D'accord ? C'est alors, comme je l'ai
dit, le Zero Trust. Vous supposez toujours que le sujet se trouve sur un réseau
non fiable, est-ce pas ? Tu ne te fies à rien. C'est sur un système non fiable, le sujet est intéressé. Le PEP intervient donc au niveau de l'application des
politiques. C'est ce qui contrôle l'accès des sujets
à la ressource. Ce n'est pas le cas, le PEP, c'est comme vous pouviez le considérer
comme un appareil stupide. Il ne stocke ni ne prend
aucune décision politique. Il n'en sait rien. C'est la partie du PDP, qui est le point de
décision politique. Maintenant, examinons le point
de décision politique. Le point de décision politique
est une entité logique, n'est-ce pas ? Cela va
donner des décisions et se compose de quelque chose comme un moteur de politiques et un administrateur
de politiques. Et en général, nous n'avons pas besoin d'
entrer dans les détails, mais juste vous
donner une vue d'ensemble, le moteur des politiques est
responsable de la décision d'
accorder ou de refuser l'accès. Ça prend beaucoup d'
informations provenant d'autres sources. Nous allons
parler de la carte SIM et de votre politique d'accès aux données ou de l'authentification unique pour
vos informations sur les menaces. Et il utilise un algorithme fiable pour décider si la décision
sera autorisée ou non. Le moteur de politiques
prend un grand nombre de ces
décisions politiques, puis les
transmet à l'administrateur des
politiques. Écrivez, l'
administrateur des politiques est chargé de communiquer au PE le point d'application de la
politique,
par exemple si la connexion doit être établie ou non . OK. Je n'aime pas parler trop
en détail de
l'
administrateur des politiques du moteur de politiques simplement pour me souvenir du concept de point de décision
politique. Et en général, cela suffit. Honnêtement, c'est parce que
je pense que parfois les gens sont
confus à ce sujet. N'oubliez pas que c'est le point de
décision politique
qui a pris la décision et le point d'application de la
politique, nous mettrons en œuvre cette décision. Et il se situe entre le sujet et la ressource de l'
entreprise, et il va
appliquer ces décisions. Et c'est ainsi que nous mettons en œuvre une
architecture Zero Trust. D'accord ? Que signifient, si vous vous en souvenez, nous avons parlé du
plan de contrôle et du plan de données. N'oubliez pas que le sujet communique avec la ressource
via le plan de données. Et le plan de données est
distinct du plan de contrôle. Ensuite, cela indique également
que le PDB et le PEP doivent
communiquer entre eux. Des honneurs comme un réseau
hors bande Woody Call. Le plan de données est utilisé pour le
trafic de votre application, d'accord ? C'est ce que vous êtes
utilisé pour affecter les applications. Le plan de contrôle est l'endroit où
toutes les décisions critiques sont prises et il
doit être complètement séparé. Personne ne devrait
pouvoir y accéder. À part les personnes
très, très spécifiques, désolées, spécifiquement
autorisées. N'oubliez pas que le plan de données est la couche DOM qui gère le
trafic sur le réseau, d'accord ? Et il est généralement
capable de gérer des taux de trafic
très, très élevés. Et en général, c'est comme si c'était piloté par le
matériel. Et personne n'a appelé. Vous pouvez le considérer
comme un appareil stupide
lorsqu'ils
démarrent simplement la couche DOM alors que seul le trafic circule dans
le plan de contrôle Cela peut être le cas, vous pouvez le
considérer comme le cerveau du réseau. C'est là que s'appuie le PDP,
n'est-ce pas ? Et c'est là que les
configurations sont
appliquées et que les décisions politiques
sont prises. Mais souvenez-vous de ce dont j'ai
parlé plus tôt dans la leçon
précédente. Le
plan de contrôle étant très critique,
il n'est pas conçu pour gérer des taux de trafic
élevés, mais il communique avec le plan de données et le point d'application des
politiques. C'est pourquoi il doit
être hautement sécurisé. Personne ne devrait
pouvoir le subvertir. Si quelqu'un en est capable, attaquant peut
accéder au plan de contrôle, alors il pourra
changer les décisions et leur faire modifier
l'algorithme, n'est-ce pas ? C'est donc là que le réseau
Zero Trust définit une séparation claire entre le
plan de contrôle et un plan de données. N'oubliez pas que le plan de données
est l'endroit où votre réseau est composé de toutes les applications, pare-feux, proxies,
routeurs, n'est-ce pas ? Cela ne fait pas partie de
toutes les connexions. Et vous devez décider si
les catholiques doivent être autorisés à participer à tout ce qui se
fait sur l'avion de contrôle. J'espère que cela vous donne une idée. Qu'est-ce que sa mort ? Maintenant, voici le système de
soutien. Ce sont les
éléments supplémentaires qui se trouvent à l'
extérieur du système, comme le MDP. Regardons-le depuis la gauche. Mais ils font logiquement partie de tout
système de confiance zéro, c'est-à-dire qu'ils aident le point de
décision politique à prendre la décision, car
votre algorithme de confiance, nous parlerons également de
l'algorithme. L'algorithme de confiance utilise les données de tous
ces systèmes pour prendre la décision au zoo et influence la manière dont les
décisions politiques sont prises. C'est parce qu'il
prend des informations provenant de tous ces autres systèmes
et prend une décision. D'accord, examinons donc la documentation de
gauche à droite pour indiquer
que vous avez le système
CDM, à droite,
qui est un système de diagnostic
et d'atténuation continus. Cela permet de recueillir des informations sur
l'
état actuel du SAS d'entreprise et d'appliquer ces mises à jour à configuration et aux
composants logiciels De nombreuses entreprises possèdent
ces systèmes, n'est-ce pas ? En gros, il fournit au PDP des informations
sur l'actif, par exemple s'il exécute le système
d'exploitation approprié. Une fois l'intégrité
du logiciel qui
s'exécute dessus, peut-être y a-t-il des
systèmes non approuvés, n'est-ce pas ? Là où se trouvent des
vulnérabilités. Cela aidera le
PDP à savoir si l'appareil est
sécurisé ou non. L'autre est similaire au système de conformité de
l'industrie. Cela garantit que l'
entreprise est conforme tous les
régimes réglementaires liés à la norme PCI DSS, aux benchmarks
CIS, etc. Viennent ensuite les flux de
renseignements sur les menaces. Le fil d'information sur les menaces. Je pense que
vous en êtes tous conscients. Cela fournit des informations provenant de sources
internes et externes. Ils aideront le moteur de
politique qui prend cette
décision, ou il
peut s'agir d'un tiers, cela peut être open source. Il peut s'agir de plusieurs
services qui collectent des données provenant de sources internes ou
externes et
qui permettent vous informer
des nouvelles attaques de vous informer
des nouvelles attaques
et vulnérabilités présentes, peut-être des failles logicielles, du silicium d'alimenter
l'algorithme de confiance. Ensuite, il y a les charges d'activité. Désormais, les journaux d'activité
du réseau et du système. Cette entreprise, comme celle-ci, regroupe tous les
journaux d'activité existants, n'est-ce pas ? Et il fournit des commentaires
en temps réel. Cela peut également être combiné avec
la même solution, mais il
ne doit pas nécessairement être séparé. Qu'y a-t-il d'autre maintenant,
nous le déplaçons vers la droite, la politique d'accès aux données. Ce sont les règles et politiques concernant l'accès aux ressources de l'
entreprise, n'est-ce pas ? Maintenant, cela peut être
généré dynamiquement par le PDP, mais c'est généralement
un point de départ. Il examine qui est
autorisé à accéder, qui n'est pas autorisé, puis il peut l'affiner. Mais c'est comme
un point de départ. Vous avez peut-être un PTA, un PTA, je pense que vous
savez déjà que c'est comme les certificats
émis par l'entreprise. Et généralement un système de confiance zéro. Il fournit ces
certificats à cet effet. Établissez la session. Comme nous l'avons dit,
tout ce qui
peut être accessible est très
court, limité dans le temps. Ce n'est pas comme si le moteur zero-trust vous donnait accès, vous
l'auriez pour toujours. Je sais que cela peut être limité dans le temps. Elle est parfois mise en œuvre
par le biais de certificats. Et peu importe ce qui est. La prochaine étape
est la gestion des identifiants. Il peut s'agir d'une authentification unique. Cela peut être la façon dont vous gérez
tous vos
comptes utilisateurs sous forme d'octo d'
authentification unique ,
peu importe ce qu'ils s'y trouvent. Mais ce système contient des informations sur
l'utilisateur, n'est-ce pas ? Nom, adresse e-mail,
qu'y a-t-il d'autre ? Attributs d'accès aux rôles. Quel est votre niveau de risque ? C'est donc généralement là que vous trouvez les informations
sur l'utilisateur, n'est-ce pas ? D'où ça vient. Enfin, la
solution SIM est solide. Sim est l'endroit où il collecte les informations
de sécurité. Je pense que la plupart d'entre vous savent
déjà ce qu'est l'ISAM. Il s'agit des
événements de sécurité qui se produisent. Toutes ces informations
alimentent donc le système
Zero Trust. Et je sais que cela peut devenir
un peu accablant. Je veux donc
vous montrer d'une manière simple, c'est
ce que je veux que
vous regardiez, n'est-ce pas ? C'est l'utilisateur qui va accéder
à une ressource. Le PEP se trouve entre les deux. Et il va demander au
PDP headway d'autoriser l'accès et le PDP
aux
informations pédagogiques provenant de la carte SIM,
du GRC, de la gestion des
appareils mobiles (SSO), tous ces composants dont
nous avons parlé. Et le PDP se trouve sur le plan de contrôle tandis que le PEP se trouve sur le plan de
données, n'est-ce pas ? Et la communication
entre les deux doit
être très, très sécurisée. Mais ces deux composants
sont réellement
nécessaires pour établir une
véritable architecture Zero Trust. Et il doit se trouver devant les actifs
de l'entreprise. Toutes les demandes doivent
passer par cette voie. Le p, p peut être un pare-feu,
un proxy, quelque chose comme ça, un agent. Mais ce sont là les
deux capacités. Vous pouvez maintenant l'
implémenter comme vous le souhaitez. Mais ce sont les, c'
est ainsi que vous
devez réellement l'implémenter et lui
donner un sens. Maintenant, j'espère que cela vous a été
utile et que vous avez compris comment
vous allez réellement implémenter dans l'architecture
zero-trust. Maintenant, nous avons également parlé de l'algorithme de
confiance, non ? Jetons donc un coup d'œil à
l'algorithme de confiance. J'en ai parlé plus tôt, de
la façon dont le moteur zero-trust décide si quelque chose
ne doit rien autoriser. C'est donc le cas. L'algorithme de confiance est le
processus utilisé par le PDP pour finalement accorder ou refuser
l'accès à une ressource. Il prend des entrées provenant de
plusieurs sources. L'étape est dirigée vers
la base de données des politiques. Il faudra des informations
sur la demande d'accès,
la base de données
et l'historique des sujets, la base de données des actifs, etc. Commençons donc en haut à
droite, demande d'accès. C'est la véritable demande qui
vient du sujet.
Hé, j'ai besoin d'y
accéder, n'est-ce pas ? Mais ensuite, ces informations deviendront du type : quelle
est la version du système d'exploitation ? Quel est le logiciel
utilisé, n'est-ce pas ? La jambe est votre
quiz sur la liste noire, sur liste
blanche, à droite, puis il pourrait s'agir de la base de données
thématiques. C'est qui ce type ? Pourquoi demande-t-il
l'accès à la ressource ? Oh, qu'est-ce qui se passe ? Cette personne est-elle même autorisée
à avoir cet accès ou non ? Vous pouvez probablement l'obtenir
grâce, à ce que je vois, votre écriture avec authentification unique. Toutes les demandes d'accès
qui
s'y trouvent seront capturées ici. Cet argument avec
la base de données d'actifs. Il s'agit de la base de données
qui contient l'état des
ressources de l'entreprise, telles
que le BYOD, et les autres appareils
qui s'y trouvent. OK, la prochaine étape concerne
les commentaires très sociaux. Il s'agit de l'ensemble des politiques. Et ils définissent les
politiques minimales requises pour accéder à ces ressources. Enfin, nous avons parlé des renseignements sur les menaces, n'est-ce pas ? renseignements sur les menaces ou les domaines
externes et internes qui y sont utilisés. Vous pouvez donc voir à quel point
cet algorithme de cluster est puissant quel point il
est différent de votre standard. Comme les choses « oui-non » que
tu te laisses juste accepter. Le chronomètre y
accède
car son nom figure sur les
listes de contrôle d'accès. Si c'est là. OK, veuillez autoriser la connaissance. Même si c'est autorisé, vous aurez encore bien d'autres
choses à examiner. C'est pourquoi c'est la véritable beauté d'une architecture
Zero Trust. C'est ainsi que le NIST
définit les normes. Nous allons maintenant examiner plus
en détail dans les prochaines sections les différents
types de déploiements. Et ça en parle, mais maintenant j'espère que vous comprenez
mieux, les gars. Ainsi, la publication spéciale du NIST, 800 to 07, est une norme
neutre pour les fournisseurs en matière de Zero Trust. Passé. Il explique comment vous
implémentez réellement une architecture Zero Trust avec les concepts
dont nous avons parlé plus tôt Il a fait l'objet d'
une validation approfondie et de contributions de la part de
nombreux clients commerciaux, fournisseurs, agences
gouvernementales et
parties prenantes. Et elle est considérée comme la
norme de facto pour les gouvernements et les entreprises
privées. Il détaille l'architecture Zero
Trust et, en particulier, les concepts du point de décision politique , du
PDP, et des
points d'
application des politiques qui doivent figurer
devant chaque ressource. Et ceux-ci peuvent être mis en
œuvre comme vous le souhaitez. Mais n'oubliez pas que
seuls les détails
de dureté doivent être
mis en œuvre de cette manière. Ne le considérez donc pas comme un
produit, considérez-le comme B. Ce sont les principes
qui doivent être présents dans tout pour
être appliqué, n'est-ce pas ? Et c'est ainsi que vous
implémentez et commencez à implémenter une architecture
Zero Trust appropriée. J'espère donc que vous comprenez maintenant mieux comment architecture
zero-trust
est réellement
mise en œuvre dans la pratique. Et nous allons l'examiner plus
en détail dans les études de cas. Dans la prochaine
leçon, je vais
parler des approches du
NIST,
des différentes variantes
et des scénarios. J'espère donc cela a
duré un peu longtemps, mais je voulais vraiment
approfondir les concepts spécifiques. Dans la leçon suivante, examinons
les différentes approches,
variations et normes. D'accord, merci les gars et je vous
verrai dans la prochaine leçon.
7. Scénarios NIST - 1: Bonjour les amis, bienvenue
à cette leçon. Dans cette leçon, vous
allez aborder les approches, les variations et les scénarios de
confiance zéro, puis du
NIST . Maintenant, j'espère que vous l'avez
compris, nous sommes allés un
peu plus loin dans confiance zéro et en particulier du NIST. Comment nous avons parlé des concepts
du PDP et
du PEP et de la
façon dont les choses fonctionnent fondamentalement. J'espère donc que vous savez maintenant que confiance zéro, en tant qu'
ensemble de principes, peut se manifester dans de nombreux types d'
architecture, n'est-ce pas ? Lorsque vous commencez à le mettre
en œuvre, il existe de très
nombreuses manières différentes, car c'est la raison pour laquelle ils l'ont
élevé, n'est-ce pas ? C'est l'un des grands atouts du Zero Trust, car il place l'organisme chargé de
décider de la manière dont vous en œuvre ces principes
de
confiance zéro entre vos mains
l'organisme chargé de
décider de la manière dont vous mettez
en œuvre ces principes
de
confiance zéro, n'est-ce pas ? L'architecte ou
l'administrateur. Vous pouvez également évaluer et
hiérarchiser la manière dont vous
mettez en œuvre ces principes d'une manière
qui convient à votre entreprise. Mais en même temps, étant donné que le niveau est si élevé, les différents types de
variations peuvent survenir. C'est peut-être la raison pour laquelle cela semble beaucoup moins
clair ici, n'est-ce pas ? Vous ne savez pas comment
l'implémenter et comment réellement implémenter le zero-trust.
Et ces principes. Dans ces cas,
comme le NIST a
permis de comprendre comment
réaliser le PDP et le PEP, comment organiser les composants
techniques car nous serons
uniques, chaque entreprise est différente, n'est-ce pas ? Donc, heureusement que
ce document, il étoffe, je pense trois approches
architecturales différentes et donc des variations
et cinq types de niveaux d'activité, de scénarios. Pour vous montrer comment mettre en œuvre la
confiance zéro en principe, nous allons aborder brièvement
chacun de ces éléments. Et après le cours. Ensuite, nous allons
faire une étude
de cas appropriée sur une atteinte à la confiance zéro. Ainsi, vous
commencerez à avoir plus de clarté sur fonctionnement de Zero Trust et sur la
manière dont vous pouvez le mettre en œuvre. Alors allons-y. Tout d'abord, les approches
Zero Trust
qui figurent actuellement dans
le document sont haut niveau au niveau de
l'entreprise approches
architecturales de haut niveau au niveau de
l'entreprise. Voici comment vous aimeriez
réfléchir à votre stratégie globale
Zero Trust. Ils ont donc
évoqué trois méthodes amélioration de
l'
identité, de la gouvernance, microsegmentation, l'infrastructure
réseau et des paramètres de conception
logicielle. Jetons donc un coup d'
œil à chacun d'eux. Désormais, une
gouvernance des identités améliorée dans cette approche
ou stratégie de confiance zéro. En d'autres termes, l'essentiel est sur votre identité
d'utilisateur, l'accent est mis. Comme si vous pensiez à
d'autres choses, comme la
posture et le comportement de votre appareil. Mais ce ne sont pas les
principaux critères. La décision
politique
dépendra principalement des
autorisations et de l'identité. Donc,
comme un signe unique la plupart de votre
approche de confiance zéro sera mauvaise. Il s'agit donc d'une
politique centralisée avec un seul ou un petit nombre de services
de
fourniture d'identité contrôleront tout. Vous pouvez donc penser que
cela s'inspire de ce qu'il a appelé la focalisation sur l'identité telle
qu'elle est dans cette approche, dans cette stratégie Zero Trust. L'autre est la
microsegmentation. Je suis sûr que vous en
avez entendu parler. Il s'agit d'une
pratique de sécurité réseau qui crée des zones
sécurisées au sein des centres de données ou des environnements cloud. Ils divisent
ce segment de la charge de travail en groupes intelligents et vous les sécurisez individuellement. La microsegmentation
est un sujet très, très important
et je vais m'y
attarder plus en profondeur sous peu. Mais si vous l'implémentez correctement, cela jette les bases d'
un modèle de confiance zéro dans lequel seul le trafic
autorisé de manière explicite peut
passer d' un
paramètre à l'autre que vous définissez. Et les applications critiques
peuvent vraiment donner l'impression que vous mettiez en œuvre un système de confiance zéro
au sein du réseau. Dans cette approche, vous utilisez
essentiellement des éléments tels les routeurs et le pare-feu comme points d'application des
politiques , le PEP et la gestion des composants que vous pouvez considérer comme un rôle PDP. Il s'agit donc d'une approche plus
décentralisée, car les segments du réseau peuvent
être plus petits et constituer un atout important, mais la prise de décision
est divisée ici, ce qui permet des relations plus décentes. dernier concerne l'infrastructure
réseau et les paramètres de conception logicielle. Cela implique également
l'utilisation de votre réseau et infrastructure
réseau
pour appliquer politiques similaires à celles de la
microsegmentation. Mais ici, vous
parlez davantage de
la configuration dynamique du réseau pour autoriser ou
interdire les connexions approuvées. J'en ai vu plus sur l'identité et la microsegmentation. Je vais être honnête.
Infrastructures réseau, périmètres de conception de
logiciels. Je ne l'ai pas vu, juste
mon expérience personnelle, mais il n'est pas nécessaire que ce
soit l'une des trois. Vous pouvez utiliser une combinaison. Comme je l'ai dit, c'est exactement
comme les conseils qui en découlent. Vous pouvez utiliser une combinaison de microsegmentation et d'infrastructure
réseau, ou une combinaison d'identité et microsegmentation
entièrement à votre guise. Mais ce dont je veux
parler, c'est de la microsegmentation. Parce que, comme je l'ai dit, c'est un sujet
très, très important, surtout lorsque vous
envisagez de mettre en œuvre la
confiance zéro, n'est-ce pas ? Alors pourquoi avons-nous besoin de
la microsegmentation ? Ainsi, lorsque nous parlons dispositifs de sécurité
réseau
tels que les pare-feux réseau, généralement le trafic d'inspection
, c'est-à-dire le trafic client-serveur
qui provoque
le périmètre de sécurité
et qui s'arrête, comme
si c'est-à-dire le trafic client-serveur
qui provoque le périmètre de sécurité
et qui s'arrête, comme trafic autorisé s'arrête par actifs du
trafic situés à
l'intérieur du périmètre, comme nous avons
parlé de la prostate, ce qui signifie que le
trafic est-ouest charge de travail, la charge de travail. Donc, dans ce concept, le trafic
entre serveurs peut passer sans inspection. Et pour la plupart des entreprises, trafic
est-ouest
constitue la majeure partie du trafic du centre de données et
du cloud, n'est-ce pas ? Et focalisé sur le périmètre. Comme vous l'aurez compris, votre pare-feu n'
aura pas de
visibilité sur votre trafic est-ouest. De ce fait, les acteurs
malveillants peuvent
se déplacer latéralement, comme nous avons parlé de mouvement
latéral, n'est-ce pas ? Le réseau TAC
rebelle donc les voies entre
les charges de travail et la question de savoir si
vous pouvez les autoriser ou non. Et généralement, au sein
des segments du sous-réseau, vous pouvez parcourir des enquêtes capables d'envoyer un
ping à un autre
serveur. Ici, microsegmentation entre
en jeu et crée une isolation. Et il permet vraiment de
déterminer
en profondeur si deux points de terminaison n'ont pas
accès l'un à l'autre. Il s'agit en fait d'une application
du principe le moins privilégié dont nous avons
parlé pour contenir les
mouvements latéraux et les violations de données. D'accord ? Voilà à quoi ça va
ressembler, non ? Parce que vous êtes
peut-être en train de dire, hé, je sais, je suis au courant de ça. C'est pourquoi nous avons une segmentation
du réseau. Nous mettons en œuvre des sous-réseaux et segmentation du
réseau.
Lorsque nous en avons parlé, c'est comme une pratique segmenter ou à isoler et transformer en sous-réseaux plus petits. Ou des sous-réseaux empêchent les attaquants de se
déplacer. Même chose, mouvement latéral. Du point de vue de la sécurité. exemple, comment
appelle-t-on Par exemple, comment
appelle-t-on la segmentation du réseau, qui
peut permettre d'atteindre cinq points ou de perdre deux doigts. Maintenant, l'inconvénient de cette approche se situe généralement
au sein du sous-réseau. Encore une fois, tu peux voyager, non ? C'est pourquoi, s'il te plaît,
ne te méprends pas. Je ne dis pas que la création d'un
sous-réseau ne devrait pas exister, mais vous devriez
compléter cela par une stratégie de segmentation et de
microsegmentation zéro-trust. Alors, souvenez-vous que lorsque vous le faites, pourquoi les gens
divisent-ils
généralement les choses en sous-réseaux ? L'une des questions est
la performance, n'est-ce pas ? Lorsque vous divisez eLance en sous-réseaux
plus petits, cela réduit la portée
des paquets et augmente les performances
ainsi que la sécurité. Vous pouvez appliquer des listes de contrôle
d'accès au réseau, des zones
V pour isoler les machines. Ainsi, en cas
de violation de données, ils empêcheront toujours la menace
de se propager à
d'autres réseaux. D'accord ? Mais en plus de cela, il y a la
microsegmentation, n'est-ce pas ? Soyons honnêtes, segmentation ne correspond
parfois pas architecture
du réseau. La réorganisation du réseau ou la
reconfiguration des lignes et des
sous-réseaux pour répondre à la segmentation des commentaires sont très difficiles
et prennent beaucoup de temps. La microsegmentation
intervient donc ici et se concentre sur le trafic
est-ouest. Et il est généralement mis en œuvre à l'aide
de solutions de sécurité logicielles telles qu'un agent ou une solution de
pare-feu hyperbola. Il est également capable d'appliquer politiques
de sécurité au niveau du serveur
individuel, au niveau
de
l'application plutôt qu'au niveau du réseau. Alors, à quoi cela ressemblerait-il ?
Voici à quoi ressemblera votre réseau grâce à
la microsegmentation. Vos pare-feux traditionnels
peuvent donc se trouver à de nombreux endroits. Vous n'avez pas besoin de les supprimer pour activer les différences mineures. Mais la microsegmentation
limitera et limitera les communications indésirables entre les charges de travail et le trafic
est-ouest. C'est très important, en particulier dans le Cloud où vous avez
une rotation continue. Vous avez des
clusters Kubernetes qui démarrent. Et vous ne pouvez pas leur
attribuer des adresses IP, des plages d'adresses
IP, n'est-ce pas ? La microsegmentation
sera très utile. Cela permet de remédier aux
attaques réseau où l'attaquant à l'intérieur du périmètre
et, comment appelle-t-on, cela limitera réellement la
violation de l'attaque. Et ce modèle, ce
n'est pas pour rien que je
m' intéresse à ce modèle, car il est de plus
en plus populaire. D'accord ? Il y a donc eu une
microsegmentation récente et la confiance zéro est si souvent mentionnée de
pair, n'est-ce pas ? Et la meilleure chose à ce sujet, que vous n'avez pas besoin de réorganiser l'architecture. Votre équipe de sécurité
peut isoler les charges de travail afin de limiter l'
effet des mouvements latéraux. Et généralement, vous pouvez le
faire par l'intermédiaire d'un agent. Il existe de nombreux produits. Ils utilisent un
agent logiciel et la charge et ce, dans un premier temps, de manière
isolée, n'est-ce pas ? Ils peuvent tirer parti du pare-feu hôte
intégré ou y installer leurs
anciens contrôles. Vous pouvez également avoir une
microsegmentation
basée sur le réseau qui s'appuie peut-être sur
votre pare-feu, votre réseau défini par logiciel. Et pour l'utiliser,
cela dépend vraiment. Tout ce que tu peux avoir. Si
vous êtes dans le cloud, vous pouvez utiliser vos
fonctionnalités cloud natives telles qu'AWS, groupes
de sécurité et tous les
pare-feux. Ces choses sont donc là. Maintenant. J'espère que vous avez compris
les avantages microsegmentation, c'est la microsegmentation, c'est pourquoi je suis entré dans les détails ici. Cela réduit la
surface fiscale, non ? Parce que cela limitera
le rayon d'explosion même s'ils
traversaient le sous-réseau. Cela vous permettra, et cela vous permettra également d'isoler
le réseau.
Cela vous aidera vraiment à le
peaufiner et, mieux encore,
cela vous donnera une meilleure
visibilité sur vos
environnements de cloud hybride, n'est-ce pas ? Et comme le trafic
sera surveillé, le trafic est-ouest sera
également surveillé ici. Parce que l'attaquant, s'il
essaie de se déplacer d'est en ouest, la microsegmentation
s'arrête également. La circulation est-ouest est
toujours considérée comme un angle mort. La microsegmentation vous permet de contrôler cet angle mort à cet endroit. Et vous pouvez créer
une sorte d'alerte de sécurité, qui alertera l'administrateur
système en
cas de tentative de violation de
la microsegmentation , n'est-ce pas ? Vous bénéficierez ainsi d'une meilleure
visibilité sur vos charges de travail hybrides et sur vos environnements de sécurité. Et bien sûr, diviser le
réseau en zones de sécurité. Cela peut être un
peu difficile. Vous avez besoin d'un administrateur réseau ayant une bonne connaissance
de votre réseau. Et tu as besoin d'un gars qui connaît
le réseau sur le bout des doigts. C'est donc un défi, mais
les avantages sont nombreux. Il s'agissait des stratégies
de haut niveau. Maintenant, voyons
ce que cela nous apprend. Il nous indique également les variations
diploïdes. Il s'agit de la plus petite échelle. Modèles de pieds pour la mise en place de composants
individuels. Lorsque nous avons parlé du PEP, du
point d'application des politiques, du PDP. Nist vous indique également
comment le déployer. Vous pouvez l'examiner à partir de
l'agent de l'appareil ou la passerelle en fonction de
laquelle vous placez des agents
similaires sur les machines
individuelles. Ou peut-être pouvez-vous le
regarder depuis l'enclave. Ce modèle de déploiement
ressemble à ce que vous appelez. Il est similaire à l'
appareil et à l'agent, mais il protégera le manque
de ressources, pas seulement les
appareils individuels, n'est-ce pas ? D'accord. Qu'y a-t-il d'autre ? Vous pouvez consulter le portail
de ressources. Le portail de ressources est qu'il n'existe qu'un seul système de signalisation qui
agit comme point d'
application des politiques. Et j'ai tout le
trafic qui doit
passer par là et c'est quelque chose qui
contrôle tout. Enfin, il y a le sandboxing des
applications des appareils, qui porte davantage sur la
virtualisation. Jetons donc un coup d'œil à ce dont
nous parlons ici. Ça ira mieux. C'est donc
ce dont parle le NIST. La première, qui
est l'agent de l'appareil ou la base de passerelle
dans
ce modèle, que allez-vous faire, comment allez-vous
implémenter la confiance zéro ? Vous vous souvenez de ce que nous avons
parlé de confiance zéro, n'est-ce pas ? Architecture. Vous avez un
plan de contrôle et un plan de données, et vous avez comme un point d'application des
politiques. Alors, de quoi parlons-nous ici dans
ce style de déploiement, le point d'application des politiques, qui
est divisé en deux agents. L'un du côté demandeur. Donc celui du côté des ressources, qui
communique entre eux
au moment de la demande.
Alors, que va-t-il se passer ? L'agent du système
demandeur acheminera la
demande vers la passerelle. Et la passerelle côté
ressources, ce que vous allez
faire, communiquera avec
le PDP, le moteur de politiques et l'administrateur des politiques pour vérifier que l'
algorithme Kruskal sera activé. Et généralement, ce genre de chose fonctionne bien dans
le cadre de la
microsegmentation, n'est-ce pas ? Alors, comment cela fonctionnerait-il ? Prenons un exemple. Vous avez peut-être un utilisateur qui possède
un ordinateur portable fourni par une entreprise, n'est-ce pas ? Et vous souhaitez vous connecter à
une application à cet endroit. Alors, que va-t-il se passer ? L'agent
local va intervenir. Cette
demande sera transmise à l'administrateur de la
politique. Le moteur de politiques fonctionnera comme s'il pouvait être dans le cloud,
il pourrait être sur site. Ensuite, ce qui
se passera, c'est que le moteur de politique évaluera cette demande si
elle est autorisée, puis la politique administrative Il existe maintenant un
canal de communication, il sera ouvert
entre l'appareil, l'ordinateur portable et la passerelle afin que le trafic puisse se produire. Et cela
indiquera la clé de session IPE, sorte que temporairement
le trafic obtiendra taux d'
ouverture et qu'une
session cryptée sera mise en place. Une fois que c'est fait, ce
trafic sera
interrompu par l'administrateur
de la politique. Peut-être qu'un
délai d'expiration de session se produira, peut-être que la
réauthentification ne sera pas possible. Mais c'est ainsi que fonctionnera un agent de périphérique ou un
modèle basé sur une passerelle. Qu'en est-il du vase Enclave ? Maintenant, enclave, c'
est très similaire. Si vous le regardez du point de vue
du diagramme. Très similaire, sauf
que la passerelle protège une ressource,
comme un groupe de ressources, pas une seule, n'est-ce pas ? Et on peut dire que c'est comme un
petit compromis, un peu d'administrateurs. Parce que les ressources sont là, parce qu'un acteur ou une personne autorisée à entrer
dans l'enclave peut
accéder à toutes les
ressources qui s'y trouvent, n'est-ce pas ? Alors pourquoi voudrions-nous le faire ? Donc, en gros, cela est généralement utilisé pour les systèmes dans lesquels vous ne
pouvez pas appliquer ces
approches granulaires, n'est-ce pas ? Je veux dire, vous l'avez peut-être fait,
prenons un exemple. Vous possédez peut-être un ordinateur portable, mais celui-ci souhaite y accéder, comme
une application existante ou un centre de données sur site auquel ces agents
individuels ne peuvent pas servir de passerelles. Ensuite, vous ajouteriez ce
genre de choses avec une passerelle qui vous permettra
d'y accéder. N'oubliez pas qu'en ce
qui concerne les applications existantes, vous ne pouvez
généralement pas y intégrer ce type d'
architecture Zero Trust. Cet inconvénient, comme je l'ai dit, c'est la porte d'entrée, n'est-ce pas ? Parce qu'il s'agit d'un
ensemble de ressources, vous ne
les protégez
donc pas individuellement, comme dans la précédente, n'est-ce pas ? Ce n'est peut-être pas aussi
efficace que le principe du moindre privilège, mais cela peut constituer un bon compromis lorsque vous avez une application
existante. Les anciens protocoles existent. Qu'y a-t-il d'autre ?
L'autre est donc le portail de ressources. Il s'agit donc d'une
approche très décentralisée dans laquelle vous avez un seul système faisant
office de PEP, de passerelle, de portail pour tous les actifs ou peut-être
un grand groupe d'entre eux. Vous pouvez donc flexibilité, car
vous n'avez pas besoin d'agents, tous les actifs du client, n'est-ce pas ? Mais cela limite également votre
visibilité et votre
contrôle sur la posture et les actions des utilisateurs par rapport aux
deux approches précédentes, n'est-ce pas ? Donc,
comme je l'ai dit, l'avantage est que vous n'avez pas à implémenter d'
agents, ils sont là. Et cela peut être utile pour les politiques
BYOD ou pour les cas où les entreprises
collaborent avec des partenaires. Vous n'avez donc pas à vous assurer que chaque appareil dispose du
même agent, n'est-ce pas ? Cependant, le problème
est bien sûr que vous n'obtiendrez que des informations limitées à partir des appareils car vous
n'avez pas d'agent. Le modèle ne peut scanner et analyser qu'une fois connecté
au portail PEP, n'est-ce pas ? Et il se peut qu'il ne soit pas en mesure
de les surveiller en permanence pour détecter des éléments tels que des logiciels malveillants ou des
vulnérabilités non corrigées, n'est-ce pas ? Rappelez-vous donc que la principale
différence ici est qu'il n'y a pas d'agent, l'agent
local est là. Vous n'obtenez pas la pleine
visibilité lorsque vous le pouvez. Vous êtes donc peut-être en train de
corriger d'autres contrôles, pour peut-être atténuer ce problème. Mais en général, les actifs
sont invisibles pour l'entreprise jusqu'à ce qu'ils
se connectent au portail. Alors, gardez cela à l'esprit. Mais souvenez-vous, car le portail devient ici aussi un point
de défaillance unique. Vous devez donc vous assurer que
personne ne peut le commettre par DDoS, personne ne doit être en
mesure de le compromettre. D'accord. Qu'y a-t-il d'autre ? Nous avons donc parlé de
ces trois approches. Le dernier est un sandbox d'
applications. Ça a l'air, c'
est assez simple. En gros. Nous utilisons ici
la virtualisation, telle que des machines virtuelles
ou des conteneurs, pour isoler l'application de
la ressource sur laquelle elle s'exécute. Type de modèle de déploiement de la
passerelle d'agent. Donc,
tout le monde ici fonctionne sur des compartiments, comme s'il
s'agissait de machines virtuelles, de conteneurs. Mais c'est comme dans l'exemple dont
vous parlez. Cela peut donc être un
appétit fiable et il s'agit communiquer avec le PEP pour demander l'accès à des ressources, mais pour tout
le reste du bac à sable, le PEP refusera, n'est-ce pas ? Cela peut donc se faire sur le cloud et cela peut être comme sur site. Le principal avantage
de cette variante est que les applications
individuelles
sont
segmentées par rapport au reste de l'actif. Si l'actif ne peut pas
être analysé pour détecter des vulnérabilités ou d'autres éléments, les applications sandbox le
protégeront contre une attaque ici. Bien entendu, l'inconvénient, c'est que vous devez
gérer toutes les applications
sandbox
et
que vous n'avez peut-être pas une visibilité
complète sur une visibilité
complète sur les autres
actifs, n'est-ce pas ? Vous devez vous
assurer que toutes les applications de
sandbox sont sécurisées. Voici donc quelques-unes des variantes,
les gars,
juste pour revenir en arrière. Oui, ils sont
basés sur les appareils et vous avez une base enclavée, vous avez un sandbox basé sur
les ressources et les applications. Voici donc les différentes
variantes et cela a donné lieu, oubliez pas que vous n'êtes pas
limité à elles. Vous recherchez peut-être, mais elles sont basées sur les meilleures pratiques et les normes
de l'industrie en vigueur. En dehors de cela, nous avons également
les scénarios de confiance zéro, et j'en parlerai plus en détail dans la prochaine leçon car cette leçon est
déjà assez longue, je ne veux pas vous submerger
avec trop d'informations. Je vous verrai donc dans
la prochaine leçon. Nous allons poursuivre avec
les scénarios de confiance zéro. OK, les gars. Merci. Et je vais voir dans la prochaine leçon.
8. Scénarios NIST - 2: Bonjour les gars, Bienvenue dans
cette suite de la leçon précédente. Et maintenant, nous
allons en parler, il a parlé des variations
diploïdes, n'est-ce pas ? Nous avons parlé des architectures
de haut niveau. Maintenant, nous allons
parler de scénarios. Ces scénarios sont donc
comme des exemples stratégiques
au niveau commercial, des
exemples d'entreprises spécifiques. Et ils vous aideront à comprendre ce que
signifie la confiance zéro en termes pratiques, exemple lorsque vous les mettez
en œuvre. Nous pouvons donc
parler du fait que vous êtes peut-être un siège social
avec des succursales. Vous n'avez qu'une seule installation
principale et vous devez accéder à des
installations secondaires ou à des équipements distants. Alors, comment implémenter la confiance zéro dans une
telle architecture ? Où placeriez-vous ce qu'il a appelé le PDP. Pdp tout ce que vous pourriez avoir
d'une entreprise
multicloud à cloud. Comment
accepteriez-vous cela ? Peut-être que vous avez
maintenant accès à des sous-traitants pour chômeurs. Peut-être que la collaboration se déroule dans
plusieurs zones, n'est-ce pas ? Tu l'as peut-être fait. Parce que pendant un moment, les organisations
féminines ont besoin d'accéder à des sources
spécifiques qui contrôlent une autre
organisation partenaire, n'est-ce pas ? Mais le partenaire ne doit
faire aucune confiance. Alors, comment l'
implémenteriez-vous ? Tout ce que vous pourriez avoir, une
entreprise avec des services publics destinés aux clients. Vous devez donc donner l'accès aux utilisateurs et échapper
totalement au contrôle
de l'entreprise. Il y a donc de très
nombreux exemples. Jetons un coup d'œil à quelques-uns
d'entre eux pour entrer dans les détails. Jetons donc un coup d'œil à la première, qui
est une entreprise
dotée d' installations satellites. N'importe quel environnement d'entreprise. Je veux dire, peu importe ce que c'est, quel type d'architecture vous pouvez appliquer aux principes Zero Trust. La plupart des entreprises
ont
déjà un aspect de confiance zéro, n' est-ce pas ? Mais ils sont en voie de
mise en œuvre en mettant
en œuvre les meilleures pratiques. Si vous allez
mentir lorsque nous
parlons de
scénarios de déploiement et de cas d'utilisation. Donc, pendant beaucoup de temps, vous
pouvez facilement créer des fiducies
secrètes. technologie Zero Trust est donc généralement conçue pour les organisations
géographiquement dispersées . Vous avez des utilisateurs distants
pour que tout le monde puisse en bénéficier. Mais
examinons l'exemple
de leur premier exemple ici, qui est Enterprise, quelles installations
satellites. Il s'agit du scénario le plus
courant. Vous avez un siège
social et vous y avez plusieurs sites
géographiquement dispersés. Et ils ne sont pas comme
s'ils n'étaient peut-être pas rejoints par le réseau
physique de l'entreprise, n'est-ce pas ? Il se peut que vous
veniez par Internet. Et les employés travaillant sur des
sites distants ne
disposent peut-être pas des réseaux locaux complets de l'
entreprise, mais il l'est tout de même, ils doivent
accéder aux ressources de l'entreprise. Alors, comment feriez-vous ? Peut-être
êtes-vous connecté au MPLS et à toutes ces connexions. Et comment implémenteriez-vous la
confiance zéro, n'est-ce pas ? Vous pourriez avoir des employés qui
télétravaillent, travaillent à distance. Ils ont peut-être
amené mes propres appareils. Et des employés dans. Votre entreprise souhaitera peut-être
donner accès à ces ressources telles que le calendrier des employés et les e-mails. Mais vous ne le faites pas, ils
ne veulent pas que des utilisateurs distants accèdent à
des ressources sensibles comme, je ne sais pas, la base de données des ressources humaines ou
quelque chose comme ça, n'est-ce pas ? Donc, dans ce cas, le point d'
application des politiques ou le PDP. Pdp, en particulier, vous pouvez mettre dans le
service cloud, n'est-ce pas ? cause du Cloud, parce
que de nombreux
utilisateurs distants y accèdent, n'est-ce pas ? Le cloud aurait vraiment du
sens ici. Les utilisateurs distants
n'auraient pas à dépendre de l'infrastructure de l'entreprise
pour accéder aux ressources. Vous pouvez donc affecter un agent aux actifs de
vos utilisateurs finaux, n'est-ce pas ? De cette façon. Comme vous ne voulez pas inscrire le point de décision politique concernant ici
le point de décision politique concernant
le PDP sur le réseau
local de l'entreprise, ce ne serait pas une bonne
idée, honnêtement parlant. C'était donc le premier exemple. Pourquoi pouvez-vous avoir une entreprise multicloud
à cloud ? Cela devient très, très
courant lorsque la confiance zéro est associée utilisation de
plusieurs fournisseurs de cloud, n'est-ce pas ? Environnement multicloud. Et dans ce cas,
l'entreprise dispose peut-être d'un réseau local, mais vous faites peut-être appel à deux fournisseurs de services cloud ou plus pour héberger des applications
ou vos données. Et parfois, l'application est hébergée sur un service
Cloud distinct de
la source de données. Les données se trouvent ailleurs. L'application
peut donc être hébergée chez fournisseur central et
les sources de données chez un autre
fournisseur de cloud. J'ai déjà vu ça. J'ai vu des applications utilisant peut-être que vous avez l'application et que la base de données se trouve dans MongoDB Cloud,
une chose complètement distincte. C'est donc très, très
possible là-bas. Souvenez-vous donc de ce que dit
Zero Trust,
selon Zero Trust
a déclaré qu'il ne
devrait y avoir aucune différence entre les actifs
de
votre entreprise et les actifs de
votre entreprise, comme s'il s'agissait de vos actifs personnels qui
appartiennent à quelqu'un, peut-être ceux qui appartenaient au
fournisseur, n'est-ce pas ? Vous devez toujours
appliquer la méthode Zero Trust. Dans un environnement multicloud
, le Zero Trust
serait donc de
placer le PEP,
le point d'application des politiques, au
point
d'accès chaque application, de
chaque fournisseur de cloud. Il peut donc s'agir de services situés dans le cloud ou
d'un troisième fournisseur de cloud. Et le client aurait souhaité qu' un agent local soit
installé pour accéder
au PEP, de cette façon, l'
entreprise peut toujours accéder aux ressources
gérées
hébergées en dehors de l'entreprise. Et le seul
défi réside dans
le fait que les différents
fournisseurs de cloud peuvent avoir des méthodes
différentes pour
implémenter les fonctionnalités. Ainsi, en tant qu'architecte d'entreprise, si vous
mettez en œuvre une architecture Zero Trust, vous devez
savoir comment
implémenter une
architecture Zero Trust avec chaque fournisseur de cloud. Chacune d'entre elles peut
avoir une méthode différente, mais comme dans ce cas, la meilleure utilisation de
Canary serait d'
installer
une sorte de
Canary serait d'
installer
une sorte d'agent sur votre actif, qui contrôlerait
l'accès ici. OK, qu'y a-t-il d'autre ?
Un autre scénario courant est celui d'une
entreprise qui peut avoir visiteurs
sur site, des
prestataires de services sous contrat et ont besoin d'un accès limité aux ressources de
l'entreprise, n'est-ce pas ? Vous avez donc peut-être vos propres services d'applications
dentaires, bases de données, et ils peuvent être sous-traités à d'autres fournisseurs de
services. Ils peuvent être sur place pour
fournir des services, n'est-ce pas ? Ils ont toujours besoin d'une connectivité
réseau et vous autoriseriez cette
cellule ici, le Zero Trust. Comme s'il fallait fournir un accès tout en empêchant l'accès
à autre chose, n'est-ce pas ? Alors, comment t'y prendrais-tu ? Donc, dans ce cas, visiteurs peuvent
avoir
des accès similaires,
peut-être avoir accès à
Internet, mais ils ne peuvent pas accéder aux ressources de l'
entreprise. Tu ne veux pas qu'ils
s'amusent, n'est-ce pas ? Donc, dans ce cas, les points d'
application des politiques ou le PDP peuvent être hébergés
sur le réseau ou
dans le cloud, n'est-ce pas ? Encore une fois, les
actifs de votre entreprise peuvent faire l'objet d'un agent
installé pour
accéder aux ressources auxquelles le portail
et le PDP
garantiraient que les actifs qui
n'ont pas besoin d'installer d'agents aient pas accès
aux ressources locales, mais qu'ils peuvent y accéder comme les
autres ressources intermédiaires. Encore une fois, il ne s'agit que
d'un guide à partir de là. Comme je l'ai dit, vous pourriez
avoir un commentaire
complètement différent et vouloir l'
installer différemment. Et le dernier
dont nous
allons parler, c'est le quatrième cas d'utilisation. Nous ne faisons que
collaborer entre entreprises. Qu'est-ce que cela signifie ? Peut-être que vous avez un projet et que vous avez des
employés d'
une entreprise, une entreprise a raison. Il peut donc y avoir différentes
agences ou, comme une agence privée, accéder à
une entreprise publique. Ils ont peut-être la base de données, mais vous souhaitez autoriser l'accès aux employés
depuis la BI
d'entreprise, n'est-ce pas ? Ainsi, l'entreprise peut diffuser
une configuration telle que des comptes pour les employés de l'
entreprise, accéder au B2 et refuser l'accès à
toutes les ressources. Mais cela peut devenir très
difficile à gérer, non ? Il serait donc plus
logique que vous puissiez les établir
pour créer une identité locale,
fournir une connexion unique, n'est-ce pas ? fournir une connexion unique, n'est-ce pas Et le PEP le peut, le
plan d'application des politiques peut-il entrer
en vigueur lorsque la
gouvernance des identités est mise en place ? Cela peut donc être similaire
à l'exemple
du cas d'utilisation lorsque
nous avons parlé du panneau unique sur son bureau. Cela peut se trouver dans le cloud, comme Azure AD Okta ou
quelque chose comme ça. Vous pouvez donc toujours ajouter
vos autres règles qui sont là comme des boules de feu et un accès. Mais en inscrivant la décision politique lors de
l'authentification unique, vous pouvez réellement disposer d'un contrôle
centralisé sans avoir à
le faire. Parce que, dans ce cas,
il peut être difficile d' installer des agents parce que vous ne les contrôlez pas, n'est-ce pas ? ce cas, l'authentification unique ou un fournisseur d'
identité basé sur le cloud pourraient constituer un cas d'utilisation
viable plus vertical. J'espère que vous avez
compris qu'il meurt. Cela peut être une très grande quantité
d'informations à prendre en compte. Mais n'oubliez pas que ce ne
sont que des conseils du NIST, tant que vous
comprenez les principes, vous n'avez pas besoin de
les suivre aveuglément. Vous pouvez y intégrer votre propre
architecture. Alors, quels sont les principaux
points à retenir, les gars ? Cela fournit
différentes variantes et scénarios par rapport à la confiance zéro. Il est utilisé à titre indicatif. La microsegmentation est
très, très importante. Il s'agit de l'un des principes
et outils les plus
importants que vous puissiez utiliser pour mettre
en œuvre la confiance zéro. Et vous devriez
vraiment évaluer votre environnement et c'est
ce dont j'ai déjà parlé. Évaluez également votre environnement
pour déterminer le modèle qui fonctionne le mieux. Et regardez attentivement et ne
suivez pas aveuglément n'importe quel document. Regardez ce qu'
est votre appartement, comment vous pouvez le mettre en œuvre. J'espère donc que cela vous a été utile, les gars. Nous avons étudié en profondeur le document et
la manière
de le mettre en œuvre. Nous allons encore réaliser d'autres études de
cas. Mais je voudrais d'abord parler menaces
qui pèsent sur la confiance zéro. Nous avons donc parlé de confiance zéro. Mais quels sont les risques ? sont les menaces
qui peuvent survenir
lors de la
mise en œuvre de la confiance zéro. Et j'y reviendrai plus en détail dans la section suivante. Merci
, je vous y verrai.
9. Menaces pour zéro Trust: Bonjour, mes amis. Bienvenue dans cette
leçon. Nous avons maintenant abordé le document sur disque
et avons abordé de nombreux détails. Nous avons parlé de
l'architecture. Avant de
passer aux études de cas, je voudrais aborder un point très important, à savoir les
menaces
qui pèsent sur la confiance zéro. Oui. Cela semble donc un
peu drôle, car l'objectif de Zero Trust
est de mettre en place des
contrôles de sécurité, n'est-ce pas ? Mettez en place un
modèle de sécurité qui renforce sécurité de
votre environnement. Mais le zero-trust lui-même attire certains touristes dont
vous devez être au courant. Et ce sera
toujours le cas. Aucune entreprise
au monde ne peut éliminer
complètement les risques
de cybersécurité. Vous pouvez donc mettre des
commandes, non ? Lorsque vous
investissez ce que vous appelez de l'argent dans
une architecture Zero Trust, vous devez, comme il l'a appelé, réduire votre risque global. Cependant, certains types sont l'axe de confiance zéro à
ciblage unique et arbitraire. C'est ainsi que fonctionne la cybersécurité, comme si vous exerciez un certain contrôle. Les attaquants se
mettront à jour eux-mêmes. Et il en va de
même pour Internet,
le cloud computing,
l'apprentissage automatique. Chaque fois qu'une nouvelle technologie
ou un nouveau concept apparaît, les attaquants s'adaptent et
le ciblent. L'objectif de
cette section est donc d'
examiner les menaces qui pèsent sur la confiance zéro et la manière dont elles peuvent être atténuées. Vous devez donc en
être conscient. OK, jetons donc un coup d'
œil à la première chose. C'est comme le
haut niveau, un exemple très simpliste d'un environnement Zero
Trust, n'est-ce pas ? L'utilisateur n'est pas fiable. Il accède à la ressource. Le
point d'application de la politique est oxydant. Le point de décision politique est que le PDP obtient des informations sur le plan de contrôle à partir toutes les autres métadonnées de la gestion des
appareils mobiles SIM GRC, attribue à ce niveau et autorise les
utilisateurs à y accéder. Donc,
l'architecture Zero Trust, le
PDP, les autres composants clés de l' ensemble
de l'entreprise, n'est-ce pas ? L'intérêt de l'architecture
Zero Trust est qu'aucune communication entre les ressources de
l'entreprise ne
peut avoir lieu à moins
qu'elle ne soit approuvée et configurée
par le PEP dans le PDP. Cela signifie donc également que ces composants doivent être correctement configurés
et entretenus, n'est-ce pas ? Et tu dois t'
assurer que personne ne
peut y accéder. Personne ne devrait être en mesure d'apporter des
modifications approuvées susceptibles
de le perturber, n'est-ce pas ? Et comme il l'a appelé, si un attaquant est
capable de trouver un chemin qui
ne serait pas approuvé, si un attaquant est
capable de trouver
un chemin qui
ne serait pas approuvé,
peut-être un appareil à trois ou un appareil
personnel que vous pouvez contourner pour prendre
des décisions, n'est-ce pas ? Il n'a pas contourné
le processus et n'y a pas
accédé directement. Vous devrez donc peut-être vous assurer
que le PDP et le PP sont correctement configurés
et surveillés et que
toute tentative visant à les contourner est correctement plane, n'est-ce pas ? Vous pouvez mettre
des règles d'alerte et vous devez vous assurer
que si quelqu'un, un et vous devez vous assurer
que si quelqu'un, un initié malveillant, a accès
au PDP et au PP,
il modifie
la configuration. Ils doivent être enregistrés
et audités. Il s'agit d'une attaque très simple qui contourne le
processus de décision Zero Trust soit en trouvant le
processus de décision Zero Trust soit en trouvant
un chemin que vous ne connaissez
pas soit en modifiant la
configuration, rétrogradant l'algorithme de confiance au sein du processus Zero Trust. D'accord ? Qu'y a-t-il d'autre dans l'architecture
Zero Trust ? Rappelez-vous, nous avons dit
que le PDP est un élément clé, n'est-ce pas ? Parce qu'ils ne le peuvent
pas, aucune ressource et aucun
sujet ne peuvent se
connecter les uns aux autres sans
l'autorisation du PDP et sa configuration.
Nous sommes le PEP. Donc, si un attaquant se rend compte
que je ne peux pas y accéder, je vais m'
assurer que personne n'
y accède et que cela perturbe ou refuse
l'accès au PEP ou au PDP. Peut-être qu'il le nierait, qu'il l'attaquerait par déni de service ou qu'il le détournerait. Il peut s'agir essentiellement de
l'ensemble des opérations de l'entreprise, n'est-ce pas ? Parce que tous les accès
sont limités. Mais je vais arriver ici et partir. C'est. Les entreprises peuvent
atténuer ce risque
en plaçant le PDP dans un environnement
cloud correctement sécurisé, ou en le répliquant sur
plusieurs sites, n'est-ce pas ? Cela atténuera le risque, mais ne sera pas complètement éliminé,
car vous pouvez être victime d' attaques DDOS
massives contre des fournisseurs de services
Internet,
contre le cloud. Il est donc possible que l'attaquant
bloque le trafic vers le PEP PWD fee pour la plupart des comptes utilisateurs
d'une entreprise. Peut-être pouvez-vous couper l'accès à une succursale entière ou à un seul site distant, n'est-ce pas ? Dans ce cas seuls quelques sous-ensembles d'
utilisateurs seront affectés. Mais cela a quand même un
impact, n'est-ce pas ? Et c'est honnête, mais ce risque existe également pour
tous vos VPN d' accès à distance Cela n'est pas propre à une architecture
Zero Trust. Et ce qui pourrait également se produire c'est que si votre PDP réside
dans le cloud, le fournisseur de
services cloud pourrait être confronté à des perturbations.
Cela arrive, n'est-ce pas ? Même avec des
fournisseurs de services majeurs tels que Google AWS Infrastructure
as a Service, une et
AWS Infrastructure
as a Service, une erreur opérationnelle
pourrait se produire empêcher le PDP de
quitter Axis et l'ensemble de l'entreprise
pourrait être bloquée l'ensemble de l'entreprise
pourrait être bloquée si le PDP devenait
inaccessible, n'est-ce pas ? Et une autre
chose pourrait se produire, peut-être que le PDP n'est pas en mesure d'accéder
aux ressources, il n'est
donc pas en mesure d'
accorder cet accès. Il n'est pas en mesure de configurer le
chemin de communication dont nous avons parlé. Cela peut se produire en raison
d'un impact sur les performances, peut-être d'une attaque DDoS,
peut-être d'une mauvaise configuration. Les perturbations du réseau se
produisent, n'est-ce pas ? Mais n'oubliez pas que cela peut
se produire et que l' ensemble des ressources de l'
entreprise ne
pourrait pas être accessible. Alors gardez cela à l'esprit, les gars. C'est une autre
paire d'événements. Qu'y a-t-il d'autre ? Identifiants volés. Alors de quoi je parle ici ? Correctement mis en œuvre ? Zero Trust et vos politiques. Ils réduisent considérablement le
risque qu'un attaquant y accède
et lance
une attaque
interne par mouvement latéral,
car vous ne permettez pas de faire une attaque
interne par mouvement latéral, car vous ne permettez pas confiance
implicitement à qui que ce soit, n'est-ce pas ? Parce que, mais que
se passerait-il si un attaquant était en mesure de compromettre
un compte existant ? Et comme s'il essayait d'
accéder à une ressource, elle n'est pas
correctement mise en œuvre. L'architecture Zero Trust
devrait empêcher un compte compromis d'
accéder à des ressources en dehors de son accès normal,
n'est-ce pas ? Le compte le serait
donc, mais qu'est-ce que cela signifie ? Cela signifie que l'attaquant sera ce
qu'il s'
intéresse aux choses auxquelles il
utilise des accès anormaux. En utilisant l'
ingénierie sociale par hameçonnage, de multiples manières, il peut accéder
au compte et essayer d'
accéder à des éléments
auxquels il
accède normalement, par exemple des comptes d'
administrateur d'entreprise Ils peuvent être utiles pour
nous attaquer et essayer d'accéder à
ces données sensibles. Vous êtes peut-être en train de mettre en œuvre l'
authentification multifacteur pour réduire les risques. Mais n'oubliez pas que si un attaquant possède des informations d'identification
compromises, vous pourrez peut-être accéder à des
ressources peu appréciées. Peut-être le calendrier de l'entreprise, le calendrier présente peu de risques. Dans ce cas, l'architecture
Zero Trust pourrait autoriser cet accès. D'accord ? Parce que, comme je
l'ai dit, l'architecture zero-trust
réduit les risques et empêche tout transfert latéral de comptes
compromis . Mais s'ils ne sont pas autorisés à
y accéder, cela l'arrêtera. Hein ? Mais si c'est le cas, peut-être qu'il
accède normalement à ce que nous avons vu et que le niveau de risque
est plus faible, n'est-ce pas ? Donc, dans ce cas, algorithme
Petrosal pourrait
détecter, disons, d'accord, il est capable de le faire, parce que c'est quelque chose
auquel il
accède habituellement et que le niveau de risque
n'est pas élevé. Gardez donc cela à l'esprit. C'est encore une fois, c'est
tout à fait possible. Et bien sûr, au fur et à mesure
que votre
environnement évoluera, que vos
politiques de confiance zéro arriveront à maturité, vous allez
renforcer de plus en plus l'algorithme de confiance, n'est-ce pas ? Parce que la façon dont le moteur Zero
Trust s'y prend,
il apprendra et deviendra plus
intelligent au fil du temps. Mais encore une fois, il s'agit
d'une attaque possible. D'accord, quelles sont les menaces ? Le FBI est-il également là ? La visibilité sur le réseau. N'oubliez pas que pour que Zero
Trust soit efficace, il doit examiner toutes les informations
auxquelles ils ont droit. Il doit capter la majeure partie
du trafic pour pouvoir
voir ce qui se passe. Mais parfois, tout
le trafic provient peut-être d'appareils
personnels, n'est-ce pas ? Ou peut-être qu'il provient de partenaires, ou peut-être de
services applicatifs qui
ne sont pas pris en charge, le moteur Zero Trust ne
sera pas en mesure d' inspecter et d'examiner
l'activité, n'est-ce pas ? Et c'est quelque chose
que l'attaquant pourrait être en mesure d'utiliser. Cela ne signifie pas que
vous êtes complètement aveugle, mais il se peut qu'il s'agisse de données auxquelles
vous n'êtes pas en mesure d'accéder. Dans ce cas, le moteur
Zero Trust pourrait examiner la source
et les métadonnées. Les adresses source et de
destination concernant le
trafic crypté et leur utilisation
pour détecter qu' il s'agit peut-être d'un logiciel malveillant
ou d'un attaquant. Dans de nouveaux cas, les gens utilisent
l'intelligence
artificielle basée sur l'apprentissage automatique qui peut accumuler des données au fil du temps. Mais n'oubliez pas la visibilité
sur le réseau. C'est parfois un problème Hormis le manque d' informations sur les
systèmes et les réseaux, qu'est-ce que cela signifie ? Eh bien, souvenez-vous, pour que les fiducies
secrètes fonctionnent, elles doivent obtenir
autant d'informations, n'est-ce pas ? Vous devez collecter des données sur les politiques
d'accès ou SEM, ce qu'il a appelé le
Single Sign-On. Maintenant, cela doit être
stocké quelque part. Et cela peut, étant donné une information plus sombre sur
les comptes les plus précieux à compromettre, le taux de ceux qui ont le plus d'accès
aux informations. Vous devez donc vous assurer que
chaque fois que le moteur
Zero Trust stocke ces informations celles-ci sont difficiles et que l'infrastructure
sous-jacente doit être
renforcée pour
empêcher tout
accès et toute tentative d'accès non autorisés . Ces
ressources étant vitales pour sécurité et pour l'écosystème
Zero Trust, elles doivent être soumises aux politiques les plus
restrictives et vous devriez pouvoir
y accéder, peut-être pour gestion des
identités privilégiées de
mon PIM et depuis un serveur Jump. Encore une fois, c'est une chose à laquelle
vous devez réfléchir. Recours à
des formats de données
et à des solutions propriétaires .
C'est un extrait. Qu'est-ce que cela signifie ? Eh bien,
l'architecture Zero Trust repose sur plusieurs sources de
données différentes, n'est-ce pas ? Nous avons parlé de, euh, pour prendre des décisions en matière d'accès, peut-être à propos du sujet, quel actif est utilisé
dans le domaine du renseignement externe ? Et comment appelle-t-on ? Ces
actifs étaient souvent utilisés pour stocker et
traiter ces informations. Ils n'ont pas de norme ouverte
commune la manière d'interagir
et de déduire des informations. Cela pourrait entraîner une
dépendance vis-à-vis du fournisseur. Peut-être êtes-vous enfermé dans un
produit Zero Trust en particulier, un fournisseur
Zero Trust en particulier. Et si ce fournisseur a
peut-être arrêté le support. Et comment appelle-t-on,
cela ne donne pas accès au format de données
fourni. Vous pourriez avoir de sérieux problèmes. Vous devrez peut-être envisager
de remplacer des actifs, de suivre un long programme de
transition, de traduire les politiques. Donc, comme nous en avons
parlé plus tôt, cela n'est pas propre à l'architecture
Zero Trust. Mais parce que vous n'avez pas
confiance, l'architecture dépend
fortement des informations. Et parfois,
les fournisseurs de services peuvent avoir un impact sur
les fonctions de base, n'est-ce pas ? Vous devez donc évaluer les différents fournisseurs de services et vous
assurer que ce risque existe. Assurez-vous de ne pas être enfermé. Vous disposez de cette gestion des risques liés à la
chaîne d'approvisionnement en plus d'autres
SLA et services. D'accord. Quelle est la dernière
chose à faire ? La dernière est utilisation d'une entité non personnelle est NP dans l'administration Zero Trust.
Qu'est-ce que cela signifie ? En gros, vous avez des éléments
tels que des comptes de service, l'intelligence
artificielle
et d'autres
agents logiciels qui sont déployés pour gérer les problèmes
de sécurité, n'est-ce pas ? Et ces composants
devront interagir avec le moteur
Zero Trust, le PDP et le PEP, au lieu qu'un être humain
interagisse avec eux. C'est donc ainsi que
ces composants
s'authentifient selon le principe Zero Trust car il s'agit d'une
opération automatisée, n'est-ce pas ? Ce n'est pas un être humain
qui y accède. Et bien sûr, vous pouvez, vous pouvez comprendre le
problème. Et si quelqu'un compromet ce compte de service ou compromet ce système ? Parce que l'architecture Zero
Trust ne lui donne
peut-être pas la même valeur, elle ne la valorise
peut-être pas comme
elle évalue un être humain. Cela pourrait nous amener à prendre des décisions incorrectes en matière de
risques. Et l'attaquant pourrait tromper l'
architecture Zero Trust en lui
faisant croire qu'
il s'agit d'un système EA, d'un
compte de service, à ce moment-là. Comme c'est le cas, il aura une barre plus basse pour l'authentification, peut-être simplement une clé d'API
ou un certificat Si cela
est compromis, l'attaquant
pourra interagir avec architecture Zero Trust
ou
le moteur Zero Trust en réfléchissant, en lui
faisant croire qu'il s'agit
d'une entité non personnelle. N'oubliez donc pas que c'est quelque chose que vous devez évaluer
au cas par cas. Regardez quelles sont
les mesures d'authentification disponibles. Quelles sont les métadonnées que vous pouvez donner à l'
architecture Zero Trust ? OK les gars, donc j'espère que c'était Cela vous a été instructif
et je vous ai fait comprendre qu'
il existe des menaces, toutes sortes d'
architectures Zero Trust. Je ne veux pas
vous brosser un tableau optimiste selon l'architecture
Zero Trust
sera complètement incroyable et qu'il n'y aura
aucun camion. Cela vous donne donc un résultat
réaliste. Dans la leçon suivante, nous allons
parler d'une étude de cas. Nous allons voir comment implémenter confiance zéro, peut-être dans un réseau,
et comment cela fonctionnerait. OK, merci. Je verrai dans la prochaine leçon.
10. Étude de cas 1: Bonjour les amis, bienvenue à cette leçon dans laquelle nous allons
enfin réaliser
une étude de cas réelle proposant la mise en œuvre d'une
architecture Zero Trust. Donc, juste un bref récapitulatif. Nous avons dépassé le zéro confiance, nous avons surmonté cela, une
histoire de Zero Trust. Nous avons parlé des concepts,
des principes qui
existent, n'est-ce pas ? Nous avons parlé d'une étude
approfondie de la norme NIST. Nous avons parlé des
menaces qui existent, des différents déploiements et des
variations qui existent. Essayons maintenant de voir comment cela serait réellement mis en œuvre
à un très haut niveau. D'accord ? Souvenez-vous donc de
ce dont nous avons parlé, Zero Trust à un niveau élevé. C'est une philosophie, non ? Il peut prendre en charge nombreux types d'architectures, de très nombreux types de produits
commerciaux, d'accord ? N'oubliez donc pas qu'il n'existe pas d'architecture
unique et que chaque organisation doit examiner ses
propres exigences, ce qu'elle souhaite, puis développer la bonne approche pour mettre
en œuvre une approche zéro confiance, n'est-ce pas ? Étant donné qu'il existe de
nombreuses méthodes de mise en œuvre et que chaque entreprise en
a une différente, n'est-ce pas ? Il n'est pas possible de créer une architecture
Zero Trust universelle. Mais ce que je vais faire, c'est
vous présenter une architecture d'entreprise
de
très, très haut niveau, n'est-ce pas ? Ensuite, nous allons
créer une
architecture simplifiée ,
semblable à celle de la confiance zéro. Et nous allons voir comment
le mettre en œuvre. Quelles sont les choses que nous
allons, nous allons, nous allons mettre dans les
composants, n'est-ce pas ? J'ai essayé de faire en sorte
que ce soit un niveau élevé, mais qu'il soit représentatif d' une entreprise réelle qui
pourrait avoir un nouveau commentaire. Il se peut que ce ne soit pas aussi détaillé parce que si
je le fais dans les détails, cela ne s'appliquera pas
à tout le monde, n'est-ce pas ? Mais ce que je veux
montrer, c'
est
que, comme cette étude de cas en particulier, elle comportera
des éléments communs à de très nombreuses entreprises, n'est-ce pas ? Ensuite, montrez comment
vous procéderiez pour implémenter des
composants Zero Trust dans ce modèle. Alors souviens-toi de ce dont j'ai parlé. Zero Trust n'est pas une approche
universelle. n'existe pas de solution magique qui convienne à tout le monde, n'est-ce pas ? Et ce n'est pas non plus une solution
de cybersécurité. Ce n'est pas un produit. J'
en ai déjà parlé. Ce n'est pas quelque chose que vous pouvez simplement implémenter, puis
activer et maintenant vous êtes certifié
Zero Trust. Ça ne marche pas
comme ça, non ? Ainsi, en ce qui concerne les principes Zero
Trust, ils peuvent vous fournir
des conseils sur la manière d' atténuer
et de gérer
en permanence cette baisse. Tant d'entreprises,
c'est comme un voyage. Si
de nombreuses entreprises disposent déjà
d'un très bon taux de sécurité
de base, il peut
que seules quelques
améliorations soient nécessaires pour réussir le
déploiement de la technologie Zero Trust. D'autres peuvent avoir besoin de
créer de nouveaux produits. s'agit d'un mini-besoin de
déployer la nécessité de remplacer les actifs existants pour mettre en œuvre concepts tels que le Zero Trust. Donc, peu importe où
vous commencez,
labo, souvenez-vous de ce que je vous ai dit, Zero Trust prend du temps. Il peut s'agir d'un projet
pluriannuel, multidomaine et multipartite. Elle a ses propres défis dont nous allons parler. Donc je veux juste que tu
sois très réaliste. Tous ceux qui vous disent que
Zero Trust est très facile à mettre en œuvre, il suffit de mettre en œuvre mon
produit et boum, vous allez vous plaindre
du Zero Trust. C'est complètement faux.
Ça ne marche pas comme ça. D'accord. Prenons donc
une entreprise fictive. Nous avons donc une entreprise, appelons-la XYZ, n'est-ce pas ? Et ils ont mis en œuvre cadre de cybersécurité
mature au fil du temps, n'est-ce pas ? Ce n'est donc pas comme une entreprise qui n'a
pas de contrôles de sécurité. Ils ont des contrôles de sécurité. Et nous devons examiner quels sont
ces contrôles de sécurité. Et ce qui s'
est passé, c'est que la bascule s' inquiète pour les utilisateurs distants. utilisation du cloud
est de plus en plus importante. De plus en plus. Les gens se
connectent via Internet. Et comme il est sous
pression pour mettre en œuvre le BYOD, il est également sous pression pour mettre
en œuvre l'accès aux partenaires. Il a donc fait des recherches sur
le Zero Trust il l'aime bien et
il vient de vous le demander, alors peut-être que vous êtes le responsable de la
cybersécurité là-bas. Et il va parfaitement bien. Je veux que vous mettiez en œuvre un cadre de
confiance zéro et utilisiez le cadre
du NIST comme guide des meilleurs facteurs. Alors, comment t'y prendrais-tu ? Jetons donc un coup d'
œil à cette entreprise. C'est donc cette entreprise, non ? Donc,
cette entreprise
a peut-être attrapé ou elle a peut-être aussi
plusieurs succursales, n'est-ce pas ? Et comme ils ont des charges de travail au sein de leur réseau
interne, vous pouvez constater qu'ils ont des boules de feu, serveurs
qui accèdent à bases de données, c'est-à-dire qu'il s'agit
du réseau interne. Sur le côté gauche, vous pouvez
voir qu'ils ont une zone démilitarisée, n'est-ce pas ? Ainsi, les utilisateurs distants peuvent se connecter via un VPN, puis accéder
au réseau interne. Les clients entrent
par le pare-feu et accèdent à un serveur Web à partir
duquel ils entrent. Ils proposent également une
infrastructure en tant que service. Ils utilisent un cloud qui
pourrait être connecté
à un VPN, n'est-ce pas ? Du point de vue de la sécurité, ils disposent d'une connexion unique. Ils n'ont pas de solution SIM et ils ont des administrateurs au sein
du réseau interne, n'est-ce pas ? Et ils y accèdent
via la solution PIM, les serveurs internes
pour l'accès des administrateurs. Vous pouvez donc constater que, comme
la plupart des entreprises, celle-ci dispose
de divers mécanismes de contrôle d'accès et de
réseau et d'un écosystème de composants de
sécurité. Nous voulons donc maintenant examiner,
réfléchir à la confiance zéro, à la
mise en œuvre de la confiance zéro. Vous pouvez donc voir que ce n'est pas comme une entreprise qui
n'a aucune sécurité. Ils y ont mis en place
des mesures de sécurité. Ils disposent de pare-feux,
d'une segmentation, d'un système de paiement,
d'un SIEM à connexion unique. Ils ont donc les bonnes pratiques
suivantes. Mais aujourd'hui, en raison des pressions liées
à la mise en œuvre d'un plus grand
nombre de BYOD, le télétravail, tel qu'un
mode de travail hybride, permet de répondre
aux besoins de plus en plus d'entreprises susceptibles de se lancer. Vous souhaitez examiner la
mise en œuvre de la confiance zéro ici. Bref examen rapide. Souvenez-vous de ce dont nous avons parlé. Il s'agit du
déploiement le plus simple d'un système zero-trust. Vous voulez avoir des concepts et des idées
similaires à ceux de la confiance zéro. C'est la Venise qui le définit. Vous voulez donc appeler, utiliser ces composants, n'est-ce pas ? Vous voulez avoir un PDP, qui est un point de
décision politique qui prend entrées de plusieurs sources
pour chaque algorithme de cluster. Et cela se trouve
dans un plan de contrôle, qui est un plan
de contrôle sécurisé. Vous avez peut-être un plan de données. L'utilisateur souhaite donc accéder
à une ressource. Il doit passer par un point d'application des politiques
avant de pouvoir accéder à quoi que ce soit. Ensuite, le PEP
communiquera avec
le PDP et lui dira : «
Hé, est-ce que ce type a
suffisamment confiance pour y accéder, n'est-ce pas ? Et ce qu'
il a appelé doit appliquer ces principes Zero
Trust, n'est-ce pas ? C'est donc ce que nous voulons examiner et déployer. Donc, l'une des principales choses
à prendre en compte, c'est peut-être que vous débutez maintenant. Vous allez vous
demander où placer le PDP, où dois-je placer le point d'
application de la politique ? Microsegments V2,
dois-je les microsegmenter ? Hein ? Ce sont les premières questions auxquelles vous devriez réfléchir. Je ne vais pas le faire, nous allons examiner l'évolution de la
feuille de route. Ensuite, vous mettez en œuvre des
hétérotrophes et obtenez un soutien de gestion. Je ne veux pas que tu en aies trop. Je veux que vous réfléchissiez à
l'architecture dès maintenant. Supposons que vous avez le budget. En supposant que vous ayez déjà reçu le soutien total de la
direction, n'est-ce pas ? Vous n'avez donc pas à vous
soucier de ces choses ici. Nous voulons donc en parler maintenant. En bas à
gauche, vous pouvez voir
les symboles du PDP
et
du PEP en bas à gauche , n'est-ce pas ? Donc, la première chose
à
laquelle nous voulons réfléchir est de savoir où placer un PDP ici, qui est à
peu près au cœur du système Zero Trust Honors. Et en réalité, comme pour toute entreprise qui a mis
en œuvre la méthode Zero Trust, le PDP sera probablement un produit commercial
ou système technique
différent
que vous connectez à la catégorie des API, des processus
métier. Ça peut être n'importe quoi,
ça peut être un produit. Cela peut être votre propre
déploiement interne, n'est-ce pas ? Zero tos ne vous lie à aucun type de
produit ou de technologie
spécifique . Mais si c'était
moi, je le faisais. Vous pouvez donc regarder à proximité du SSO. C'est là que je
déploierais le PDP. Si vous vous souvenez,
au début, lorsque nous avons parlé de stratégies de
confiance zéro, nous avons parlé d'un
modèle de gouvernance des
identités centralisé , n'est-ce pas ? Zero Trust est donc très centré sur
l'identité à mon avis. Et votre PDP doit
entretenir une relation de
confiance très étroite avec
le fournisseur d'identité et le fournisseur SSO. C'est peut-être déjà le cas, c'est peut-être
autre chose, non ? Mais le PDP doit être
déployé ici et reconfiguré pour qu'il puisse
récupérer les données
du SSO directement ou indirectement. Vous pouvez peut-être le configurer. C'est peut-être un produit.
Vous pouvez le configurer à l' d'un compte de service
pour effectuer des appels d'API. Et en configurant le PDP lorsque des hommes font des
certificats, n'est-ce pas ? Cela vous indique donc que vous pouvez l'
utiliser comme gouvernance des identités. Personnellement,
je le ferais
parce que s'il s'agit d'une authentification
unique, tout sera
authentifié ici, n'est-ce pas ? Et ce serait le
meilleur moyen d'y accéder. Et peut-être qu'
à partir de là, il peut également le
connecter à la solution
SIM. Mais ce serait, à mon avis, la meilleure façon de
déployer le PDP ici. Maintenant, nous avons parlé au PDP. Qu'en est-il du point d'
application de la politique, qui est essentiellement
l'endroit à partir duquel les accès seront
contrôlés, n'est-ce pas ? Donc, à mon avis, vous pouvez
voir que je le déploierais à proximité du VPN et des fibres
du pare-feu interne également. Et au niveau du Cloud. Mon point de vue est favorable à un système de confiance zéro
efficace. Pour un modèle Zero Trust efficace, vous devez
déployer des PEP gérés de manière centralisée par l'écosystème,
mais que gérés de manière centralisée par l'écosystème, vous pouvez distribuer au
sein de l'écosystème, n'est-ce pas ? Et le PDP doit contrôler comportement du
PEP par rapport aux
politiques que je vous ai expliquées, qui sont dynamiques et
adaptées au contexte, et qui sont appliquées
dans l'ensemble de l'environnement. Ces PEP peuvent être de
différents types. Ils n'ont pas besoin d'être
un produit ou quelque chose comme ça. Vous pouvez peut-être
utiliser le
pare-feu existant ou le VPN existant. Et nous allons en
parler, non ? Peut-être, par exemple le PEP de la DMZ au niveau du pare-feu qui ne
peut autoriser et authentifier les utilisateurs qu'une fois que le PDP l'a
authentifié et dit, accord, ces gars-là sont autorisés en
fonction des autorisations, donnez-les lui par le PDP. Et le PDP va
examiner les différentes sources, le SSO, la carte SIM, et vous allez également examiner
ces mécanismes. De même, le réseau interne veut disparaître et il
va le reprendre L'
infrastructure cloud va interroger à nouveau le SSO. Voici donc les domaines dans lesquels je déploierais le PEP
et comment fonctionnerait-il ? Quel que soit le cas, le PEP est la question de savoir comment l'
appliqueriez-vous réellement dans la pratique ? Donc, à un haut niveau, désolée, toutes mes excuses. Une chose que j'ai le plus oubliée à
propos de la microsegmentation, bien
sûr, c'est que je l'ai oubliée. Donc, si vous pouvez regarder les serveurs
internes maintenant, vos abonnés sont-ils,
sont-ils excellents pour
regarder le trafic nord-sud, n'est-ce pas ? Nous en avons parlé tout à l'heure. Vous devez disposer d'une
microsegmentation pour restreindre la communication entre les flux de travail,
le trafic est-ouest. J'ai oublié de
mentionner ces politiques. Donc oui, j'
implémenterais certainement la microsegmentation
au niveau du serveur, n'est-ce pas ? Parce que cela résoudrait les attaques si l'attaquant était
capable de pénétrer le périmètre et d'essayer de compromettre ses
déplacements latéraux. La microsegmentation est donc un excellent moyen de mettre
en œuvre le Zero Trust, dont j'ai parlé plus tôt. Et vous n'auriez pas besoin
de réorganiser l'architecture, n'est-ce pas ? Vous pourriez probablement utiliser un
logiciel, un agent logiciel, une
sorte de
pare-feu existant basé sur un agent pour implémenter
la microsegmentation. C'est donc ce que je
ferais. Maintenant que vous avez déployé le
PDP, le PEP, et qu'il s'agit d'une forme de
microsegmentation, comment fonctionnerait-il dans la réalité ? C'est ce que ça
fonctionnerait, non ? Donc, en supposant que certains gars soient là, il essaie de s'authentifier et d'accéder à chaque
source, n'est-ce pas ? Le corps a donc appelé l'endroit où
il allait se rendre au PEP, le PEP l'
a envoyé au PDP. Hé, ce type accède aux
ressources qu'il a autorisées. Désormais, le PDP interrogerait ou effectuerait un appel d'API à la
solution SIM, au SSO. La solution SIM
aurait probablement tout ce qu'il faut. Il examinerait toutes
les informations contextuelles. Cela permettrait donc d'obtenir toutes ces informations
du système SIM. Peut-être que cela permettrait d'obtenir le niveau de
menace global sur le réseau. Quel est le niveau de risque
associé à John pour cet utilisateur ? Et la politique, le système Zero
Trust et l'évaluation ces attributs
et de leur utilisation sur
la base de l'algorithme de confiance
peuvent prendre une décision. Peut-être que ça dit que,
hé , ce niveau est un
peu moyen en ce moment. Peut-être faut-il
appliquer le MFA, non ? Ou peut-être que le niveau de risque est élevé, désolé, vous ne pouvez pas y accéder. Il examinerait, évaluerait
leur niveau de risque, puis attribuerait
une politique à ces utilisateurs renverrait au PEP. Ensuite, le PEP autoriserait ou interdirait l'
accès si ce n'était pas le cas, peut-être qu'un disque était faible, il
autoriserait simplement l'accès. Si c'était moyen, vous diriez :
désolé, vous devez appliquer le MFA. Si le niveau était élevé, la politique serait
désolée, d'interdire l'accès. C'est donc en haut niveau. En théorie, c'
est ainsi que cela fonctionnerait. Bien sûr, ce n'est jamais aussi
simple dans la vraie vie, non ? Donc,
si vous revenez au schéma,
nous avons probablement étudié le déploiement de PEP Peut-être pourrions-nous utiliser un
pare-feu comme PEP, le VPN comme PEP, les
outils cloud natifs comme PEP. Mais ce que je n'ai jamais vu n'a été aussi simple, ce qu'il faudrait pour à savoir
ce qu'il faudrait pour qu'
un outil serve de point d'
application des politiques. C'est donc très important. quoi ressemble un composant
de sécurité de PEP pour
Zero Trust White, c'est peut-être que vous avez un vieux pare-feu. Peux-tu le considérer comme un PP ? Vous avez peut-être un
ancien composant VPN. Pouvez-vous le considérer
comme un VPPP, n'est-ce pas ? C'est donc là que se trouverait la
réponse. Cela dépend de
ce que l'outil peut faire. Cet outil fait office de pare-feu. Le VPN a-t-il la
capacité d'appliquer PPE, tels que
les politiques centrées sur l'identité et
sensibles au contexte ? Est-ce qu'il peut le faire ? Peut-il dire, hé, si
le niveau de risque est faible, s'il existe un MFA aussi
moyen à appliquer ? Si le niveau de risque est
élevé, l'option « Non autorisé » indique Puis-je appliquer ces politiques dynamiques ? Peut-il
modifier automatiquement ses politiques en fonction de ce que dit le PDP,
n'est-ce pas ? Peut-il
communiquer en toute sécurité avec le PDP ? Peut-être vous souvenez-vous de
ce que nous avons dit ce qui est contrôlable et
doit être sécurisé, n'est-ce pas ? plupart du temps, vos fibres
traditionnelles ne
seront peut-être pas en mesure de répondre à ces exigences
ou de répondre aux commentaires si elles
ne possèdent pas cette intelligence, n'est-ce pas ? Et vous devez le faire, car le PEP doit être configuré
dynamiquement par le PDP et être capable d' ajuster ses politiques de manière
automatisée, n'est-ce pas ? Il s'agit d'une fonctionnalité clé pour
mettre en œuvre la confiance zéro. Et c'est l'une des choses
fondamentales que vous devez être capable
de faire dans Zero Trust. Nous avons pu appliquer des politiques sensibles à l'identité et au contexte. Le PB doit être en mesure de recevoir des mises à jour
continues de la
PDB et d'
appliquer automatiquement les politiques en temps réel sans qu'aucun être
humain n'entre pour le configurer. C'est honnêtement la seule
façon d'obtenir la nature dynamique
réactive aux colorants d'une confiance zéro, même à
petite échelle, n'est-ce pas ? Peut-être que votre pare-feu ne sera
peut-être pas en mesure de le faire et que Humide devra
le remplacer, n'est-ce pas ? Peut-être, mais peut-être que le pare-feu est un pare-feu de nouvelle génération. Il dispose d'une automatisation de
la sécurité des réseaux de renseignement. Vous pourriez donc peut-être le
considérer comme un PEP. C'est donc ici que j'ai
parlé nécessité d'examiner
votre architecture, décider de ce qui doit être remplacé,
de ce qui doit être
mis en œuvre, n'est-ce pas ? C'est donc très important, les gars. Gardez cela à l'esprit, s'il vous plaît. Qu'est-ce qui fait réellement un PEP qu'il
soit exécutoire ou non ? Et dans les
prochaines leçons, je
vais montrer ce qui se passe si vous ne
pouvez pas appliquer tous
ces mécanismes ? Quelles sont les solutions
disponibles dans
le cadre de la confiance zéro dans
ce cadre ? Il est donc très, très
important de garder ces choses à l'esprit. C'est donc ce
dont nous avons parlé plus tôt. C'est ainsi qu'une confiance zéro, je mettrais en œuvre la confiance zéro, mais comme je l'ai dit, il n'y a pas de
manière correcte ou incorrecte de l'implémenter. Je suis désolée. Quoi ? si j'étais méchante
en le révisant, je dirais que j'ai
commis deux erreurs. Si c'était moi, je
dirais que je n'ai pas segmenté en dehors de la
microsegmentation des services. Je n'ai implémenté microsegmentation qu'au niveau
de la base de données. Vous pouvez voir que je ne l'ai pas fait au niveau du serveur,
ce que j'aurais dû faire. Et peut-être qu'en est-il de la
microsegmentation de l'
infrastructure en tant que service au niveau du cloud ? C'est quelque chose qui
aurait dû être évalué. Donc, comme je l'ai dit, même en y
regardant maintenant, je peux voir les domaines dans lesquels
je pourrais
avoir besoin d' améliorations, n'est-ce pas ? Nous y avons donc
déployé des PEP. Et bien sûr, il
faudra l'examiner. Je n'ai pas ajouté le code PIN
pour les administrateurs j'ai oublié de parler, vous devrez également y avoir un
PP, n'est-ce pas ? Et si je le mets là. C'est donc à nouveau là qu'interviendrait
le PEP. Peut-être que les paiements sont
en mesure de le faire, peut-être aurez-vous besoin d' support de renseignement
supplémentaire de la part du fournisseur. Mais c'est à un niveau élevé. C'est ainsi que vous
devrez penser lorsque vous appliquerez la
confiance zéro. J'espère donc que cela vous a donné une idée et que cela vous a amené à l'état d'esprit
zéro confiance, les gars. Nous allons l'
examiner plus en détail dans l'étude de cas et je
veux que vous le fassiez. Je ne vais pas t'
aider tant que ça. Je vais juste vous donner un scénario
de haut niveau. Mais souvenez-vous, quels sont
les principaux points à retenir de cette
leçon, les gars étaient importants. Il n'existe pas d'approche
universelle. Vous pouvez voir que chaque approche
est différente, n'est-ce pas ? Zéro. La confiance est une
philosophie qui peut s'adapter à
de nombreuses solutions différentes, de
nombreux modèles et
à différents produits. Vous devez comprendre
votre architecture. Très, très important. Si vous ne connaissez pas
votre architecture, vous ne
pourrez pas implémenter Zero Trust ou vous
proposerez des produits sans le savoir,
l'utilisateur peut complètement les
contourner parce que
vous ne l'utilisateur peut complètement les
contourner parce que connaissiez pas
le chemin du réseau, n'est-ce pas ? N'optez pas pour une approche
Big Bang. Par exemple, si vous revenez
au schéma, si vous commencez simplement
à implémenter toutes ces choses en même temps, vous allez avoir
une panne massive. Les gens ne
pourront pas y accéder. Prenez votre temps, vous pouvez d'abord le mettre en œuvre
au niveau du vice-président, puis
proposer, peut-être d'abord au niveau de l'
infrastructure, le PEP et le PDP, n'est-ce pas ? Je l'ai fait au fil du temps. Ne mettez pas de politiques qui
bloquent quoi que ce soit, n'appliquez pas de politiques
qui peuvent bloquer lentement, lentement, j'itère au fil du temps. C'est donc très important. N'oubliez pas que Zero Trust est
suffisamment large pour s'adapter
à de nombreuses approches. Et j'espère que cette étude de cas vous
a été utile. Dans la prochaine, je vais passer revue une autre
étude de cas, mais celle-ci, je veux que vous la fassiez et que vous
partagiez le résultat avec moi. Merci les gars et je
vous verrai dans la prochaine leçon.
11. Étude de cas 2: Bonjour les amis, bienvenue
à cette leçon. Maintenant, souvenez-vous de ce que j'ai dit
à propos de l'étude de cas, n'est-ce pas ? Nous avons donc réalisé une
étude de cas dans laquelle j'ai examiné ce que pourrait faire un client. Ils réorganiseraient l' environnement actuel afin de faire
appliquer les principes de confiance zéro. Maintenant, ce que nous allons faire c'est
examiner une autre étude de cas. Mais cette fois, je
veux que tu le fasses, que tu jettes un œil et que tu
me dises comment tu t'y
prendrais. Dans celui-ci,
nous parlons donc d'un BC habituel qui
se lance comme une application Web
utilisée par les utilisateurs et les agents.
Quelques jours de vacances. Cette application Web simple se connecte à une base de données
et possède un serveur de sauvegarde. Et c'est notre cercle, nous sommes soumis à un recours
souverain et
l'administration est en place. Les administrateurs du système utilisent un serveur Jumps renforcé pour
se connecter au service
via SSH à des fins de maintenance. Et cela se fait uniquement
en interne. Encore une fois, la bascule
s'inquiète cyberattaques et des rançongiciels, qui arrivent à point nommé, mais en se propageant
très rapidement de l'environnement sur site
au cloud, le serveur de sauvegarde, peut-être l' administrateur,
devient soudainement malveillant. Peut-être comme si quelque chose
se passait sur le serveur Web. Toutes ces choses
sont là, n'est-ce pas ? Il
vous a donc demandé de réorganiser l'environnement
en utilisant 02 principes conformément à la nouvelle norme. Donc, si nous y jetons un coup d'œil, ce
n'est qu'un diagramme de haut niveau. la gauche, vous pouvez voir
les utilisateurs et
les agents qui se
connectent via HTTPS à l'application
Web de réservation. Nous avons un administrateur et,
à l'aide d'un serveur de saut, il se connecte via
SSH au serveur Web, à la base de données, à
la base de données de sauvegarde. Grâce à un VPN, nous avons effectué une
sauvegarde
au-dessus du zoo en guise de reprise
après sinistre. Dans cet
environnement particulier,
nous cherchons donc à mettre en œuvre et à appliquer les
principes de confiance zéro, n'est-ce pas ? Je suis donc resté délibérément à un niveau élevé parce que je
veux que vous l'organisiez. N'oubliez pas
qu'ils possèdent déjà de nombreuses entreprises ,
comme dans ce cas, vous pouvez voir qu'
elles
ont un serveur, un VPN, un niveau
de sécurité de base . Ils veulent envisager de faire appliquer les principes de
confiance zéro. Je veux donc que vous
utilisiez les connaissances dont nous avons parlé. Quels en sont les principes ? Comment vous y
prendriez-vous pour l'appliquer ? Par où commencerais-tu à croire ? N'oubliez pas qu'il n'y a pas de bon
ou de mauvais processus ici. Vous voulez vraiment vous
pencher sur les
principes du Zero Trust et sur
la manière de les appliquer. Nous ne l'avons pas fait. Comme. Je veux que vous supposiez que tout ce qu'ils ont
dans leur environnement peut soutenir Eurotransplant. Supposons que nous en
reparlerons plus tard. Mais ici, je veux que vous
réfléchissiez à ce que vous feriez, n'est-ce pas ? Et lorsque nous parlons de ces
autres points, souvenez-vous que nous avons parlé de l'endroit où vous placeriez le point de
décision politique. Cet environnement
contient-il des fibres ? Si ce n'est pas le cas, c'est déjà le , mais supposons
qu'il s'agit de pare-feux. Ils voudraient placer le point de décision
politique Y a-t-il un panneau unique ici ? Si ce n'est pas le cas, vous
devrez peut-être le mettre là, n'est-ce pas ? Où situeriez-vous le point d'application
de la politique ? Il y a comme un Jump Server, auquel les clients peuvent accéder, je
ne pense pas que vous en ayez besoin. C'est via HTTPS, non ? Mais quel que soit le
point d'application des politiques où toutes les connexions se produisent
chaque fois que vous appliquez la microsegmentation
dans cet environnement. Alors, en regardant cet environnement, réfléchissez à ce que vous feriez. Où placeriez-vous
le PDP ? Où nous effectuons des microsegments pour empêcher
tout mouvement latéral. Ils voudraient que vous
mettiez les points d'application de la politique ici, comme nous
l'étions, les cinq seront le vice-président
et ce genre de choses. Et je veux que vous jetiez
un coup d'œil et que vous me le disiez. Alors, comment procéderiez-vous pour
appliquer la confiance zéro ? Je suis délibérément
resté à un niveau élevé. Je ne veux pas entrer dans les détails,
cela devient
donc trop complexe
pour vous, car je me rends compte c'est probablement la première fois que vous
implémentez le Zero Trust. Alors jetez-y un coup d'œil. Ne vous inquiétez pas de
faire des erreurs, tout le monde. Comme je l'ai dit,
Zero Trust est un voyage. Tu t'amélioreras de
plus en plus au fil du temps. Alors jetez un œil et faites-le-moi savoir, partagez
avec moi les résultats. OK les gars, et je
vous verrai dans la section suivante. Dans la section suivante,
nous allons
aborder un sujet important. Et si vous ne pouvez pas soutenir les principes du
Zero Trust, n'est-ce pas ? Et si vous possédez des applications
ou des produits
existants qui ne peuvent pas prendre
en charge le système Zero Trust ? Que faites-vous dans cet
environnement ? D'accord. Merci et je
vous verrai dans la section suivante.
12. Manque de soutien: Bonjour à tous. Dans cette rubrique, nous allons
aborder un sujet très
important, si certains produits contenaient applications que
vous ne pouvez pas prendre en charge ? Je ne peux pas implémenter la confiance zéro,
et c'est un scénario très , très courant,
très pratique. Il est donc possible, mais pas pratique, de mettre
en œuvre la méthode Zero Trust dans l'ensemble de votre environnement. D'accord ? Vous avez donc la possibilité de construire ce que
nous appelons un État mixte. Vous pouvez implémenter la confiance zéro ou même manière,
implémenter la confiance zéro de manière générale. Une partie de votre architecture
sera donc consacrée à la mise en œuvre de la confiance zéro, mais vous devrez tout de même accéder à des systèmes qui ne peuvent pas mettre en œuvre
les principes de confiance zéro, n'est-ce pas ? Il est toujours
recommandé d'
avoir des gyrotrons uniformes, mais nous ne vivons pas dans un monde
parfait, n'est-ce pas ? Vous aurez donc des applications
anciennes ou des fonctionnalités qui
ne
peuvent pas être prises en charge, n'est-ce pas ? Vos services de base
doivent donc être inclus. Mais comme il vous a appelé, certaines applications ne peuvent pas en
bénéficier, non ? C'est là que la
situation entre en jeu. Voyons donc
ce qui pourrait se passer. Ainsi, au cours du voyage que vous souhaitez, si vous vous dirigez vers l'
architecture Zero Trust, vous découvrirez que certaines applications ne
sont pas prises en charge. Ils ne peuvent pas mettre en œuvre les principes de
confiance zéro, n'est-ce pas ? Et ce que vous pouvez faire, c'est envisager plusieurs moyens
d' activer l'accès tout en
bénéficiant des avantages de Zero
Trust pour l'ensemble du système. Comme je l'ai dit, nous appelons
cela un état mixte. Il peut y avoir de nombreuses raisons, n'est-ce pas ? Par exemple, toutes les applications de
services de systèmes ne peuvent pas être intégrées dans
un réseau Zero Trust. Et vous n'êtes pas obligé d' abandonner tout votre projet
Zero Trust, n'est-ce pas ? Parfois,
l'intégration directe n'est pas possible parce que le système est peut-être incompatible avec
les technologies qui permettent la confiance zéro ou
parce qu'il n'est pas adapté. Si vous vous en souvenez, nous avons parlé des pare-feux
antérieurs qui ne
pouvaient pas prendre en charge les politiques
dynamiques. Ils sont peut-être incompatibles
avec un système de confiance zéro. Par exemple, une
application de service système peut être incompatible parce qu'elle ne prend pas charge les moteurs de politiques, n'est-ce pas ? C'est juste un appareil stupide. Il peut prendre en charge des politiques dynamiques ou ne pas prendre en charge méthodes d'authentification
modernes
telles que SAML ou OT, qui sont souvent publiées par
un moteur de politiques, mais par un moteur de confiance zéro. Et ce qui se passe, c'est votre point
d'application de la politique. Il transmet ce document de politique, peut-être qu'un Docker alors qu'un appareil
ne le prend pas en charge, n'est-ce pas ? Peut-être qu'il ne prend pas en charge les protocoles
sécurisés. Que les communications
ne sont pas suffisamment sécurisées, ce qui limite la capacité de connexion. N'oubliez pas que nous avons parlé du fait que lorsque vous vous connectez
au plan de contrôle, celui-ci doit être sécurisé, n'est-ce pas ? Peut-être que ces produits
utilisent des produits obsolètes. Peut-être que les
vulnérabilités logicielles sont là, n'est-ce pas ? Et à cause de cela,
votre confiance diminue ou peut-être la plus courante, je vois qu'il s'agit d'une
ancienne application. Il existe une méthode
d'authentification traditionnelle ou traditionnelle. Leur authentification est donc gérée par
l'application. Il est donc difficile de s'intégrer
à une architecture zero-trust. Alors, que faites-vous maintenant ? Je veux dire, vous ne pouvez pas simplement
abandonner et dire : «
Désolé, nous ne pouvons pas implémenter la
confiance zéro, n'est-ce pas ? Non, ce n'est pas le problème. Donc, si vous vous souvenez, nous avons
parlé tout à l'heure variantes de
déploiement Zero Trust et que nous parlions d'une enclave Ce déploiement est similaire à la mise en place d'une
passerelle, n'est-ce pas ? C'est comme si la passerelle
protégerait une ressource ou un groupe
de ressources, n'est-ce pas ? C'est une sorte de
compromis aux principes du
Zero Trust,
car tout ce qui se trouve dans l'enclave est fiable, car toutes les vérifications ont été
effectuées par la passerelle, n'est-ce pas ? Cela représente donc un moyen de
mettre en œuvre la confiance zéro sur des systèmes qui ne sont pas totalement
compatibles, n'est-ce pas ? Elle n'est pas en mesure de prendre totalement en charge Zero Trust pour
les entreprises qui possèdent des applications
ou des systèmes de contrôle
existants qui ne sont pas entièrement
sous leur contrôle qui ne peuvent pas disposer d'agents
individuels. Des passerelles sont donc en place,
celle-ci pour ce genre de choses. Vous pouvez mettre quelque chose comme une
passerelle et vous pouvez le faire. Mais n'oubliez pas qu'
au sein de la ressource, vous devez vous assurer
que la passerelle est le seul moyen d'
accéder à ces ressources. Et si quelqu'un
contourne, alors oui, vous devriez faire un
compromis sur la confiance zéro lorsque nous parlons de la
menace qui existe. Ce type de
modèle serait donc très approprié
dans un tel environnement, mais comment vous y
prendriez-vous pour l'appliquer ? C'est donc là qu'
intervient la partie
pratique de la mise en œuvre et dit ce que l'
on appelle un proxy zero-trust. Cela peut être quelque chose
que vous possédez déjà. Peut-être que l'un de vos dispositifs de
pare-feu prochaine génération
pourra le prendre en charge. Vous devrez peut-être acheter
un produit, mais oui, un proxy zero-trust
est souvent utilisé pour assurer médiation des connexions dans une architecture
zero-trust. Il
peut parfois être utilisé dans le cadre d'une confiance
totalement secrète, mais il est généralement utilisé dans un état
mixte, où il se trouve entre vos utilisateurs et
les systèmes sont des
applications traditionnelles, n'est-ce pas ? Les clients, l'utilisateur,
se connecteront au proxy. Le proxy
gère ensuite l'accès à l'application
conformément à des politiques de confiance zéro. À l'aide d'une architecture Zero Trust, il permet un
accès sécurisé aux applications qui ne peuvent pas prendre en charge la
technologie Zero Trust. Alors, comment cela a-t-il fonctionné ? Il se compose donc généralement
de deux parties, comme un serveur proxy et
le connecteur proxy. serveur proxy, c'est-à-dire, sera le même point d'application
de la politique. Il contrôle l'
accès aux applications. Il se connecte à l'algorithme
Zero Trust, au modèle Zero Trust et demande quelles sont
les politiques, n'est-ce pas ? Pour prendre des décisions, l'application des
politiques communiquera
avec le moteur des politiques. Donc, une fois que moteur
Zero Trust autorise l'
accès à l'application. Le proxy transfère ensuite le
trafic vers le connecteur proxy, et nous en verrons un schéma. C'est donc là qu'il existe un canal bidirectionnel sécurisé vers le serveur proxy,
généralement via TLS. Et c'est essentiellement ainsi que
vos connecteurs que vous avez déployés
dans l'environnement. Les autres géraient donc les accès aux anciennes
applications, n'est-ce pas ? C'est donc ainsi que vous le
feriez réellement dans une application.
Alors, à quoi cela ressemblerait-il ? Cela ressemblerait à
quelque chose comme ça, non ? Vous pouvez donc voir les utilisateurs se connecter au proxy
zero-trust. Le proxy Zero to X
se connecte à la source. Il se connecte au PDP
où il obtient une politique. Et sur cette base, donc il autorise la verticale, le serveur proxy,
qui prendra la décision. Ainsi, une fois que le
moteur de politiques aura autorisé l'accès, il transmettra le trafic
au connecteur proxy. Je vais donc accéder au pare-feu
, puis au connecteur proxy. Le connecteur proxy dispose généralement
d'un canal sécurisé, généralement TLS, car
vous voulez vous
assurer que tout le trafic est
incorrect, à un débit crypté. Et puis le connecteur, c'est celui qui
donne accès. Les connecteurs doivent donc être déployés dans
une application
à une application endroit où ils peuvent accéder aux applications, n'est-ce pas ? Et ils peuvent également accéder
au proxy zero-trust, vous pouvez le configurer, être connectés
sur une machine séparée. C'est généralement à
vous de décider de la manière dont vous
voulez l'organiser, n'est-ce pas ? Mais ce qui est très important, c'est que
tout le trafic vers cette
application, cette ancienne application, acheminé vers le connecteur proxy
et qu'
il n'existe aucun
raccourci, car vous ne
pouvez pas le contourner en utilisant un autre protocole ou une
autre méthode d'authentification. Parce qu'avec les menaces dont
nous avons parlé plus tôt, vous contourneriez l'architecture
Zero Trust. Vous devez donc configurer
l'application
pour qu'elle n'accepte les connexions
que via le connecteur proxy. Et vous pouvez peut-être appliquer
cela au niveau la couche réseau à l'aide d'un
pare-feu, en utilisant des règles de pare-feu. Ce sont les choses que vous
devez garder à l'esprit. Donc, ce que
vous devez garder à l' esprit lors de la mise en œuvre,
c'est un proxy zero-trust. Donc, une chose que vous
devez vraiment comprendre, la
plupart des solutions
proxy des routeurs sont limitées à un ensemble d'applications de protocoles. Peut-être que certains proxys ne prennent en charge que les protocoles tels que HTTP, HTTPS. Et cela peut
ajouter de la complexité. Lorsque vous avez refusé. Dans certaines applications ou versions antérieures, cela peut poser problème, mais cela pas en charge le débit
du protocole. Et parfois, le
proxy Zero Trust peut ne pas évoluer. Dans des applications qu'il existe tant d'
applications. Vous devrez peut-être créer un
proxy pour une application qui pourrait y
ajouter des coûts, n'est-ce pas ? Et comment appelle-t-on ? Cela peut présenter des complications
avec l'infrastructure sur site. Vous pouvez bénéficier d'une
assistance et d'une maintenance supplémentaires. Et vous voulez
vous assurer que vous devez vérifier comment vous assurer que tout le trafic est acheminé via le proxy
zero-trust. Il n'existe aucun raccourci.
Je n'arrête pas de l'ajouter parce que
c'est
très, très important, car
cela
évitera tout
ingénieur zero-trust, n'est-ce pas ? Vous devez effectuer
davantage de configurations, nouvelles règles de pare-feu. Vous devez donc vous
assurer que le trafic est uniquement limité au proxy. Comme le proxy zero-trust
agit comme un point d'
application des politiques, il s'assure que seul
l'accès y est valide. Il s'agit donc d'une bonne
solution la plupart du temps où vous avez des applications
existantes. Mais assurez-vous simplement que les protocoles
sont pris en charge. Et s'il peut s'adapter au nombre d'applications
de votre environnement. Ne vous contentez pas d'
acheter un proxy zero-trust sans vérifier
ces choses est très facilement
gaspiller de l'argent, n'est-ce pas ? C'est donc de cela que je
voulais parler des gars. Quels sont les principaux points à retenir ? Concrètement, dans
un scénario réel, certains environnements peuvent ne pas être totalement
compatibles avec
les principes Zero Trust. Et les proxys zero-trust
peuvent être utiles dans un tel scénario. Assurez-vous simplement que les protocoles sont pris en charge et qu'ils fonctionnent
dans votre environnement. J'espère que cela vous a été
utile. J'essaie juste de faire en
sorte que ce cours soit
aussi pratique que possible. Je ne veux pas vous en donner
une image optimiste. Tout fonctionnera comme par magie. Sachez que vous ferez face à
un tel artiste et c'est ainsi que vous pourrez faire face à
de telles situations. OK, nous sommes presque arrivés à la fin de ce
cours. Maintenant, nous allons parler de la
feuille de route vers la confiance zéro. heure actuelle, nous nous sommes penchés davantage sur la
mise en œuvre d'architectures, mais sur la manière de considérer le zero-trust
comme un véritable projet. Je veux en parler et
je vous verrai dans la
prochaine leçon, les gars. Merci beaucoup.
13. Implémenter Zero Trust: Bonjour, mes amis. Maintenant, en passant à la
dernière partie de notre cours. Nous allons maintenant
parler mise
en œuvre de
Zero Trust en tant que projet, en tant qu'organisme appelé feuille de route. Par exemple, comment le
considérez-vous réellement comme un projet ? D'accord, j'espère que
vous avez maintenant compris comment
le mettre en œuvre
avec Zero Trust. Quels sont les défis ? Mais comment démarrer, n'est-ce pas ? Quel est le processus ?
Souvenez-vous donc de ce que j'ai déjà dit, à savoir que Zero
Trust est un voyage. C'est un investissement
en temps et en argent. Et vous devez
comprendre vos organisations, notamment les priorités
architecturales. Et ce sera le cas, vous
devez vraiment le justifier en tant que projet stratégique
au sein de votre environnement. Et au début de votre aventure,
vous devez effectuer de très
petits déploiements
et remporter des victoires tactiques pour montrer la valeur ajoutée
, n'est-ce pas ? Et cela vous aidera vraiment à montrer la valeur
de votre zero-trust. Cela créera une dynamique et un
soutien en interne, n'est-ce pas ? Vous devez identifier les gains
tactiques dans le cadre de votre architecture
Zero Trust. Ce faisant, vous
serez en mesure de montrer à la
direction que vous en
retirerez des avantages et qu'elle vous soutiendra
dans ce projet, n'est-ce pas ? Chacune est réussie ou tactique lorsqu'elle vous apportera
de plus en plus de soutien. N'essayez pas d'adopter une approche
Big Bang, qui prendra
environ 18 mois et l'argent sera
comme s'envoler. Le temps va passer. Et ceux qui se demandent : pourquoi est-ce que je perds du temps avec ça ? D'accord ? La confiance zéro commence donc. Cela peut devenir très accablant. Les gens se
demandent peut-être : oh mon Dieu, comment vais-je
mettre cela en œuvre ? Vous devrez donc vraiment considérer zero-trust comme une destination. C'est un voyage, non ? Désolé, ne le considérez
pas comme une destination. Considérez-le comme un voyage
qui doit être
abordé de manière systématique
et revisitée, n'est-ce pas ? Pour suivre cette voie, déployez Zero Trust correctement. Vous devez le faire comme identifier un plan d'action
, puis lui donner une structure. Sinon, vous serez juste
submergé, n'est-ce pas ? Dans. Si vous travaillez dans un environnement
complètement nouveau
via un environnement entièrement
Greenfield, il est possible de créer architecture Zero
Trust à
partir de zéro, n'est-ce pas ? En supposant que l'entreprise d'
interprétation du demandeur connaisse les flux de travail
des services applicatifs, elle peut produire une architecture basée sur les principes Zero Trust. Et cela peut se réduire et dire : «
OK, c'est ce que je
veux mettre en œuvre ». Ces autres choses
que j'ai envie de faire. Mais dans la plupart des cas, il ne s'agit pas d'un
environnement entièrement nouveau, mais d'un environnement existant. Et vous devez appeler la fin de
sa mise en œuvre au sein
d'un environnement
existant où la sécurité est déjà présente. Ensuite, vous devez
commencer à vous demander, d'accord, où dois-je placer les mécanismes
d'authentification ? Où dois-je effectuer une
microsegmentation ? De quel genre de personnes ai-je besoin ? C'est donc là que vous devez vraiment commencer à penser à
Zero Trust en tant que projet. Ne vous contentez pas de
commencer à apporter des modifications. C'est un projet. Cela
doit être budgétisé. Il a besoin de
mises à jour constantes ou d'un comité approprié. Ce n'est pas un one-man show. Tu commencerais à
le faire comme ça. Comme s'il le traitait
comme un projet technique. Je peux presque garantir qu'il ne
sera pas couronné de succès. D'accord, quels sont
les défis Si vous vous en souvenez, nous
en avons discuté dès le début. Lorsque vous parlez de confiance des
dirigeants, quels sont les défis
qui se présenteront ? Eh bien, tout d'abord,
vous aurez besoin d' un inventaire détaillé
de vos applications, de vos ensembles de données, de
vos appareils, de vos
réseaux, n'est-ce pas ? Parce que vous avez besoin d' un
like parce que de nombreux changements
peuvent être nécessaires, n'est-ce pas ? Des
modifications architecturales importantes peuvent être nécessaires. Vous devez disposer de ressources financières et
non financières pour
soutenir la mise en œuvre du programme Zero Trust à long terme, qui
doivent être budgétisées. Je peux vous assurer qu'il y aura des
coûts. Je ne pense pas que ce
sera gratuit, n'est-ce pas ? Et vous avez vraiment besoin de voir Êtes-vous responsable
de la cybersécurité ? Ils doivent communiquer clairement avec dirigeants
de l'entreprise lorsqu'une modification de l'architecture
de sécurité
est en cours d'introduction.
Quels sont les avantages ? Parce qu'un changement de
mentalité est nécessaire, n'est-ce pas ? Et elle a besoin du soutien de votre direction pour
réussir. Et les avantages
ne seront peut-être pas immédiatement
apparents, n'est-ce pas ? Comme je l'ai dit, si
vous adoptez une approche Big Bang,
vous ne serez peut-être pas en mesure de
montrer les avantages que si vous adoptez une
approche
tactique modérée, Vince, vous devez l'identifier
, n'est-ce pas ? Alors, comment commencerais-tu ? Eh bien, si vous
le considérez comme un projet, vous devez obtenir l'adhésion
de la direction. Et vous devez comprendre,
cartographier l'environnement. Voici les cinq
étapes que je voudrais suivre pour obtenir l'adhésion, comprendre le méthane. Les Romains introduisent lentement
les mécanismes de contrôle ,
puis mettent en œuvre un modèle de
confiance zéro, maintiennent, le surveillent
et l'améliorent. D'accord ? C'est comme ça que tu t'y
prendrais, n'est-ce pas ? Et pour qu'il soit correctement
couronné de succès, sur la base tous les projets que gens ont mis en œuvre, ces
autres meilleures pratiques. La première étape est donc
très, très importante. S'il vous plaît, ne contournez pas cela. Obtenez l'adhésion de la direction, obtenez l'adhésion de votre directeur technique, de votre directeur informatique. Bien entendu, elle en
sera probablement la partie prenante. Mais oui, vous devez vous
assurer que vos dirigeants, professionnels de l'
informatique et tout le personnel
participent au développement
et à la mise en œuvre. Pourquoi ? Parce que c'est un engagement
à long terme. Beaucoup d'argent va être dépensé. Il doit y avoir des priorités. Beaucoup de changements
vont se produire. Vous devez organiser des
ateliers montrant ce qui se passer et
ce qui va se passer. Sinon, vous
serez confronté à des défis, à des obstacles
lors du déploiement. Wanted Exhale entre en jeu. Les gens
résisteront au changement. Veiller à ce que toutes les
parties prenantes soient en mesure de le faire. Et une façon de participer
à un projet zero-trust. Vous devez vous assurer de
communiquer les principes du Zero
Trust. Découvrez ce que vous
possédez déjà, ce que vous devez faire. Mais présentez à votre direction
la stratégie Zero Trust. Cela peut être développé comme
une stratégie à l'échelle avec l'ensemble du comité, avec des rôles et des responsabilités. Et essayez d'éviter la discussion sur la technologie
différente. N'y pensez pas, s'il vous plaît,
ne le présentez pas comme « OK, nous devons implémenter
ce produit, n'est-ce pas ? » Considérez-le comme une stratégie
et expliquez en quoi cela est essentiel pour les avantages de
sécurité de votre stratégie
à long terme. Et assurez-vous que je peux garantir que les changements
qui se produiront, les changements perturbateurs
liés au déploiement d'un nouveau modèle de sécurité,
ne seront pas les bienvenus. Beaucoup de gens peuvent être
réticents au changement. Ils crient peut-être et
pourquoi cela se produit-il ? Pourquoi le MFA
apparaît-il soudainement, pourquoi cela se produit-il ? Vous devez le faire correctement. C'est pourquoi il est si important
d'obtenir l'adhésion. La prochaine étape consiste à comprendre
l'environnement. L'une des principales exigences d' une
architecture Zero Trust est d'
identifier et de gérer les utilisateurs
des appareils, n'est-ce pas ? Alors, comment ferais-tu pour courir si
tu ne le savais pas, n'est-ce pas ? La capacité à connaître et à
gérer les actifs de l'entreprise est essentielle au déploiement
réussi d'une architecture Zero Trust. Qu'il s'agisse de matériel, d'ordinateurs portables, de téléphones, appareils
IoT, d'
artefacts numériques, d'utilisateurs, n'est-ce pas ? Il se peut donc qu'il ne soit pas possible de faire un inventaire
complet. Vous devriez donc
réfléchir à la manière dont vous pouvez obtenir cet inventaire afin avoir
l'existant et le nouveau. Il ne s'agit pas simplement de
créer un associé, vous devez disposer de cette
capacité. Vous avez peut-être des conteneurs, des actifs
virtuels. Donc, parce que toutes
ces informations seront transmises au point d'
application de la politique, n'est-ce pas ? Vous avez peut-être Shadow IT,
dont vous n'êtes pas au courant. Toutes ces choses
seront donc nécessaires. Vous avez peut-être du BYOD, utilisateurs
distants, des
partenaires, etc. Qu'en
est-il, que pouvez-vous faire ? À quoi ressemblent vos
utilisateurs actuels ? Vous pouvez penser à utiliser des outils et peut-être que votre authentification unique vous
donnera une
liste complète de tous vos actifs. Et peut-être avez-vous un taux de gestion des appareils
mobiles. Vous pouvez identifier les
utilisateurs qui s'y trouvent. Pensez donc aux autres choses
que vous devriez pouvoir obtenir. Peut-être à partir de votre
répertoire utilisateur, de votre ancienne application. Vous avez peut-être déjà un outil,
n'est-ce pas ? Outil de gestion de la configuration, qui vous fournit l'actif
complet, votre personnel informatique vous
aidera à cet égard. Alors fais-le. La prochaine étape consistera à
effectuer une évaluation des risques, qui fait déjà toujours
partie de tout projet majeur. Cela vous aidera à
identifier ce que vous pouvez et ne pouvez pas atténuer
dans le cadre de votre
architecture Zero Trust. N'oubliez pas que nous avons parlé de
certaines mesures qui pourraient ne pas être mises en œuvre et que cela peut vous aider à identifier ce qui fonctionne
déjà en
tant que mesure de sécurité
relevant de votre droit. Tu le fais très tôt. Ça va être génial. Cela vous
aidera à identifier les risques qui ne peuvent pas être atténués par une architecture
Zero Trust. Parce que si vous commencez
simplement à mettre en œuvre plan Zero Trust
sérieux et sans effectuer
d'évaluation des risques, je vous garantis que vous
rencontrerez des problèmes à
l'avenir, n'est-ce pas ? donc que certains de vos contrôles
de sécurité existants peut donc que certains de vos contrôles
de sécurité existants aient besoin d'enregistrer quelqu'un
pour qu'il soit modifié, n'est-ce pas ? C'est là que votre
inventaire vous sera utile. Mais en faisant cela, vous aurez
une vision claire de la
manière de la mettre en œuvre. Cela vous aidera à identifier ce qui est,
ce qu'il faut prioriser, n'est-ce pas ? Vous avez peut-être des succursales pour
travailleurs à distance. Ils auront la priorité. Cela vous aidera à
définir le champ d'application. Et cela peut vous aider à identifier les technologies
qui existent déjà et les licences
que vous possédez déjà. N'oubliez jamais qu'aucune entreprise ne part de
zéro
sur la base du Zero Trust Vous aurez déjà mis en place des pratiques
de sécurité telles que
l'authentification multifactorielle. Vous avez juste besoin de trouver
l'unité ici. Vous devrez peut-être
examiner la documentation vous disposez et tout le reste, n'est-ce pas ? Voici donc ce que vous devez faire lorsque vous commencez à mettre en œuvre
vos contrôles. Procédez donc à une
évaluation des risques, puis examinez
lentement les
contrôles existants. Maintenant, vous pouvez, maintenant vous avez
un fémur approprié. Vous pouvez maintenant envisager de
mettre en œuvre votre système de confiance zéro. Vous avez terminé vos phases initiales. Vous pouvez maintenant commencer à mettre en œuvre vos principes de confiance zéro. N'oubliez pas qu'il s'agit d'un
projet isolé, ce n'est pas une grande banque. Vous devez vous assurer
que le personnel est au courant. Peut-être que vous
implémentez un Foxy Zero Trust. Peut-être mettez-vous en œuvre
un point d'application des politiques pour apporter des modifications et prendre des décisions
intelligentes. Désormais, les utilisateurs auront besoin du MFA s' ils se connectent depuis
un appareil personnel, ce
genre de choses, n'est-ce pas ? Dans le cadre de votre stratégie, considérez ces éléments
comme votre Alabama, selon lequel votre feuille de route
devrait appartenir au CISO ? Ce n'est pas gravé dans la pierre, n'est-ce pas ? Ce n'est pas comme si cela
ne pouvait pas être changé. Vous pouvez peut-être regarder et
découvrir cette nouvelle technologie, fonctionnalités de sécurité
améliorées sont là. Il doit être aligné sur
la stratégie globale et les meilleures pratiques pour le faire par étapes et l'étendre au fil du temps. Vous devez donc déployer. Envisagez de déployer des technologies
et des processus Zero
Trust dans petits cas d'utilisation afin que le personnel comprenne pourquoi ces
choses se produisent ainsi. Et il en va de même, s'ils
entrent et s'assurent que la bascule est
chargée de le superviser
et de le livrer. Vous avez donc un officier supérieur. Si vous confiez simplement
la
responsabilité de mettre en œuvre la couleur
zéro confiance à un agent de sécurité
junior, les gens résisteront et
ne l'écouteront pas, n'est-ce pas ? Il doit appartenir à un
autre niveau de bascule. Hein ? Maintenant. Nous avons mis en œuvre certains des principes
du Zero Trust. Oui, il est temps de maintenir
et d'améliorer le modèle. Donc, comme je l'ai dit, c'est un voyage continu. L'approche doit être
basée sur la confiance zéro. Vous devez constamment relever des défis et
être évalué. Vous devez vous
assurer d'obtenir des informations sur
les technologies actuelles et les menaces qui se
présentent, afin que votre modèle de confiance zéro
continue d'évoluer. Vous en avez besoin, vous pouvez envisager de
mettre en œuvre de nouvelles technologies, nouveaux produits dès maintenant, n'est-ce pas ? Comme l'IA et
l'apprentissage automatique qui peuvent intégrer des contrôles
qui
ne sont pas basés sur la biométrie, nous en reparlerons plus tard. Mais c'est là que vous maintenez et améliorez le modèle au fil du temps. Et croyez-moi, la première
fois, ce ne sera pas aussi bien. Tu l'as aimé, ça, ça, tu l'
amélioreras de plus en plus. Zero Trust. Ce sont
nos œuvres Zero Trust. C'est donc de cela que je
voulais vous parler. Zero Trust est un voyage. Il peut s'agir d'un projet
pluriannuel et multidomaine. Et les gouvernements du monde
entier le mettent en œuvre, ordonnant
aux agences de faire de même. Et cela n'occupe pas une place très, très importante dans
le secteur
privé dans le monde entier. confiance zéro
est
désormais pratiquement la norme de facto pour les nouveaux types
de modèles de sécurité Traitez-le comme un projet. Il sera mis en œuvre,
vous aurez des défis, vous aurez
des résistances dans un premier temps. Ne t'en fais pas pour ceux-là. J' espère donc que cela vous a été
utile. Maintenant, nous allons
regarder l'éclairage. C'est le dernier qui
concerne les modèles de maturité. Comment savez-vous où vous
situez le menu mettant en œuvre la
confiance zéro ? Sur quelle scène êtes-vous ? Comment le sais-tu ? Comme la maturité de
Zero Trust ? À quoi ai-je fait allusion ? Tu sais où je me situe ? Nous allons donc en
parler, examiner les modèles de maturité Zero Trust, qui peuvent vous aider à
évaluer votre position. Il se peut que plusieurs modèles de
maturité soient facilement présents. Vous pouvez y jeter un coup d'œil et vous faire une bonne idée de votre position. D'accord,
merci les gars et je
vous verrai dans la prochaine leçon.
14. Modèles à maturité Zéro Trust: Salut les gars. Nous sommes donc presque arrivés à la
fin de notre cours. Et dans cette leçon,
nous allons
parler des modèles de
maturité Zero Trust. Maintenant que vous avez parlé,
nous avons vu comment le parcours Zero Trust
fonctionnerait dans votre entreprise, n'est-ce pas ? Comment procéderiez-vous pour
mettre en œuvre un
modèle de confiance zéro au sein de votre entreprise ? Maintenant, dans cette leçon, je voudrais revenir au modèle de
maturité, par exemple comment
déterminer dans quelle mesure
votre confiance zéro est bonne, où vous
situez-vous, où vous situez-vous ? Je veux dire, vous avez commencé à
implémenter la confiance zéro, n'est-ce pas ? Peut-être que vous avez fait le voyage depuis six
mois, un an, vous
voulez savoir où,
où suis-je, n'est-ce pas ? Non. Suis-je bon et mauvais ? Suis-je plutôt mature ? Suis-je juste au début ? Comment puis-je le savoir ? C' est donc là que les
modèles de maturité entrent en jeu. N'oubliez pas qu'en tant que processus
continu visant
à
aborder l'approche de la confiance zéro, elle doit être évaluée et
remise en question en permanence, n'est-ce pas ? Vous devez donc aimer
si vous êtes un C Vous devez
donc avoir un
aperçu de votre stratégie Zero Trust
intérieure et découvrir si c'est
vraiment une réussite ou non. Et vous devez trouver des moyens de l'améliorer continuellement, n'est-ce pas ? À vous de découvrir où se
situent les lacunes et comment vous y prendre ? L'un des moyens les plus simples d'y parvenir est d'ajouter un modèle de maturité Zero
Trust. Cela répond à la question suivante : comment savoir si ma posture de
transport zéro est bonne ? Et il existe de très nombreux modèles de
maturité. En gros, il vous indique où se trouve votre architecture
Zero Trust, où vous vous
trouvez, il vous demandera quels
contrôles vous mettez en œuvre et à quelle
étape du parcours. Ce qui est bien, c'est qu'ils
ne manquent pas de
modèles de maturité Zero Trust. Je vais examiner deux
des plus courantes,
mais honnêtement, vous pouvez
regarder autour de vous et les trouver. Donc, une chose est Microsoft. Microsoft a donc documenté l'ensemble du
parcours vers la confiance zéro, de même manière que Google, comme nous en avons parlé plus tôt, n'est-ce pas ? Et ils avaient également la même idée
que différentes entreprises
avaient des implémentations technologiques
et des stratégies de sécurité différentes . Tous ont un impact sur la façon dont le modèle de sécurité rétro
sera conçu, n'est-ce pas ? Ils s'appuient donc sur leur propre
expérience en aidant les
clients à sécuriser
leurs organisations et à mettre en œuvre la méthode Zero Trust. Ils ont développé un modèle de
maturité pour vous aider à évaluer votre niveau de préparation à la confiance zéro
et à élaborer un plan, n'est-ce pas ? Ils en ont plusieurs
quand il a appelé des phases. Concentrez-vous sur plusieurs domaines tels que la sécurité des
appareils et l'identité. Vous pouvez donc y
jeter un œil, et en fait, au lieu de me
contenter d'en parler, ils ont un outil gratuit
qui est plutôt cool. Ils examinent les identités, les terminaux, l'
infrastructure des applications et le réseau de données. Ils évaluent la maturité de
tous ces outils. Nous pouvons donc, à
la fin de la leçon, y jeter
un coup d'œil et le remplir pour les
identités et les points de terminaison et voir quel type de
commentaires ils fournissent. D'habitude, il est davantage orienté
vers une boîte Microsoft, mais honnêtement, j'ai utilisé cet outil et les conseils
qui en découlent. Vous pouvez l'utiliser
à peu près dans n'importe quel environnement. C'est très facile à faire. Il est donc possible de le faire,
et vous pouvez le faire. Et si Microsoft n'est pas votre tasse de thé, vous pouvez vous
tourner vers d'autres solutions. Il existe également une agence de cybersécurité et
de sécurité des infrastructures aux États-Unis. Ils sont comme vous pouvez l'imaginer. Ils fournissent un soutien
aux agences fédérales. Aux États-Unis. Ils fournissent un soutien, comme
au sein du gouvernement américain, aux agences de sécurité. Et ils ont fourni un très excellent modèle de
maturité Zero Trust. C'est comme si leur modèle
de maturité Zero
Trust basé sur l'identité, l'appareil, réseau, les applications
et les données, similaires
à ceux de
Microsoft, n'est-ce pas ? Mais ce qu'ils font, c'est qu'ils l'
ont également divisée. Et puis c'est en fait l'
un des chemins. Ils ont dit que c'était l'une
des mesures que
vous pouvez prendre pour passer à la confiance zéro. Et ce qu'ils font, c' est ainsi qu'il semble
qu'ils aient toujours été avancés et optimaux et
qu'ils l'ont divisée. Vous pouvez jeter un œil à cette
matrice. Tu peux diviser ça. Ils l'ont
réparti à tous les niveaux. Donc, en ce qui concerne l'identité, c'est ce serait
traditionnellement et
ce qui serait avancé, ce qui serait optimal avec un appareil antérieur. C'est ce que l'on
utilisait traditionnellement pour avancer. Traditionnellement, c'est
comme si tout était manuel. Un niveau avancé serait quelque chose qui vous donnerait une visibilité centralisée, un taux d'optimisation optimal serait un taux
d'optimisation complet. Donc c'est plutôt cool. Je veux dire, ils reconnaissent également que cela demande
du temps et des investissements. C'est donc la raison pour laquelle
ils ont recommandé une approche en trois étapes, n'est-ce pas ? Donc, dans l'architecture
Zero Trust traditionnelle c'est en grande partie, comme je l'ai
dit, manuelle, n'est-ce pas ? Au lieu d'être automatisé,
comme point de départ, le laser se caractérise
par des procédures manuelles, politique de sécurité
nominale, une application
limitée, n'est-ce pas ? Et la plupart du temps implémentés manuellement. Zero Trust et
architecture Zero Trust
seraient ce que vous pourriez commencer à obtenir et à
améliorer. Si vous le
centralisez, gérez
mieux l'application des politiques,
dépendez mieux l'application des politiques, plus spécifiquement de l'automatisation et améliorez les procédures d'atténuation lorsque vous
appelez, la dernière solution serait optimale. idéal serait une
automatisation complète de la plupart des éléments de l'infrastructure
de sécurité. Et vous avez un meilleur
alignement centralisé. Mais il a appelé Threat Intel. Chaque étape contribue à la progression globale vers une architecture Zero
Trust solide et sécurisée. Et ils visitent pendant
ces cinq minutes, un excellent
outil. Je m'en sers. Donc, à part ce point je n'ai pas parlé, et l'IE est
très difficile à respecter de nos jours, dont
je n'ai pas parlé, et l'IE est
très difficile à respecter de nos jours, à savoir le PIB et tout le reste, les
nouvelles technologies et la confiance zéro. Il faut donc être réaliste. Je veux dire, l'innovation continue
de transformer l'informatique, n'est-ce pas ? Vous avez de nouvelles choses
à sortir du chat GPT d'aujourd'hui, de la tomate pour être
autre chose, non ? Vous devez donc
réfléchir à des choses comme, j'ai donné l'exemple
de la biométrie, de l'
IA, de l'apprentissage automatique. jouent tous un rôle clé dans le
soutien
des principes fondamentaux de la confiance zéro, n'est-ce pas ? Empreinte faciale, reconnaissance
vocale. Vous pouvez l'utiliser
pour vous authentifier. Et l'IA pourrait être utilisée pour
automatiser la détection de tendances similaires. Sur le long terme. Les entreprises commenceraient à mettre en œuvre
ces outils, n'est-ce pas ? Vous devez essayer d'éviter le battage médiatique autour de
ces technologies. Et tout d'abord, je recommande toujours de
regarder ce que nous avons déjà au lieu de passer au prochain
produit brillant, n'est-ce pas ? Et n'oubliez pas qu'une
personne, toute personne qui vient vous voir et
vous dit que mise en œuvre de ce
produit unique dans le but de Zero Trust, croyez-moi, est
complètement bidon. Chaque solution doit
fonctionner en synchronisation avec les autres technologies de
votre environnement
pour garantir
la mise en œuvre du
modèle Zero Trust complet. Mais n'oubliez pas que le déploiement de confiance zéro doit suivre le rythme des nouvelles technologies et la transformation du secteur technologique,
n'est-ce pas ? Par exemple, vous pouvez passer au cloud. Cela signifie que les
entreprises stockent leurs actifs et leurs données
en dehors du périmètre. Il serait donc
difficile d'appliquer un seul Cloud postérieur, n'est-ce pas ? Mais le niveau de sécurité, tout les appareils
IoT, s'ils entrent en service, pourrait constituer un défi
du point
de vue de la confiance zéro, car
il confiance zéro, car est très difficile d'obtenir visibilité sur les
objets connectés, n'est-ce pas ? Donc, toutes ces
choses, comme vous pouvez imaginer avoir un inventaire d' appareils
IoT ou difficile,
c'est exact. Donc, vous devez
garder à l'esprit toutes ces
choses , continuer à le
faire, des bisous, des sprints et regarder ces différents moments au cours de
la maturité. C'est donc à peu près un guide. Il s'agissait de la dernière
conférence de ce cours. N'oubliez pas que la technologie Zero Trust évolue comme tout autre modèle technologique
dont vous disposez. Ne pensez pas que vous
serez optimal dès le premier jour. Mais les modèles de maturité sont
un excellent moyen de le découvrir, choisir un et de l'
utiliser. Cohérence. Utilisez-le pour savoir où
vous vous trouvez, où vous vous trouvez, où vous aimez les vidéos
de l'heure actuelle, et utilisez-le pour évaluer votre
processus et
utilisez-le comme moyen objectif de
découvrir ce que vous faites. Faisons donc une évaluation fictive. Je vais également utiliser le
testament de Microsoft juste pour vous
montrer comment cela fonctionne
et quelles sont les bonnes choses que vous
pouvez en tirer, n'est-ce pas ? Jetons donc un coup d'œil à cela
et je vous y verrai. Bonjour à tous. Donc, comme je l'ai dit, je
voulais juste faire une évaluation fictive rapide,
juste pour
vous montrer comment vous pouvez utiliser
des outils gratuits sur Internet et effectuer une évaluation
de base. Il s'agit donc essentiellement de Microsoft. Ils proposent un petit
questionnaire très intéressant sur votre posture de sécurité zéro confiance et ils peuvent vous donner de très
bons résultats. Je ne veux pas que vous l'utilisiez
comme un outil professionnel, mais c'est un
excellent moyen de découvrir qu'ils ne
prennent aucune donnée sensible. Ils ne prennent aucune information personnelle ou
quoi que ce soit d'autre. Ils ne vous demandent pas de
télécharger de documents. Ils vous posent simplement quelques
questions de base et vous présentent leurs meilleures pratiques
, que vous pouvez utiliser comme point de départ,
vous savez, pour découvrir les
lacunes au sein de votre réseau. Et même s'ils se sont
un peu plus concentrés sur le fait de ressembler à Microsoft Shop, vous pouvez utiliser ces résultats
et les appliquer à peu près n'importe où. Comme vous pouvez le constater, ils se sont concentrés sur les identités, points de terminaison, les applications, l'infrastructure,
les données et les réseaux. Alors je voulais juste
vous montrer. Jetons un coup d'œil. Laisse-moi le réduire. Oui. OK. Commençons donc par les identités. Voilà, c'est la maison et vous pouvez
sélectionner une catégorie. Et on y va. Concentrons-nous sur les identités, comme nous en avons déjà parlé à
plusieurs reprises. Vous pouvez placer la
gouvernance des identités au centre de Zero Trust et y concentrer
votre stratégie. Alors, comment activer l'authentification
multifactorielle ? Je peux dire que certains utilisateurs peuvent utiliser, nous venons tout juste de commencer, n'est-ce pas ? Mais certaines sont des
authentifications
sans mot activées pour vos utilisateurs, nous pouvons le dire parce
que, comme vous pouvez le constater ,
ils se concentrent davantage sur les SMS. Lequel de vos
groupes d'utilisateurs supervise, quel système d'authentification unique, d'accord, donc ici, vous pouvez toujours avoir peu près tout le monde,
sauf peut-être des partenaires. les politiques de
sécurité suivantes, lesquelles
utilisent-ils pour prendre des décisions,
accéder à des sources pour
les entreprises Comme vous pouvez le constater maintenant, elles ne mentionnent pas spécifiquement les points de
décision politiques ou les PEP, mais oui, c'est de cela qu'
ils parlent. Nous pouvons donc voir, d'accord. Peut-être le courtier de
sécurité d'accès au cloud. Et c'est tout. Peut-être n'
utilisons-nous pas l'AMD et le
Soviet, nous n'utilisons pas d'appareils. Si vous n'avez pas encore
commencé à l'utiliser. Avez-vous désactivé l'
authentification traditionnelle ? Sachez pourquoi ils le sont absolument
Parce que n'oubliez pas que
vous pouvez vous en servir pour contourner
le processus de prise de décision. Utilisez-vous un accès
utilisateur en temps réel et lors l'évaluation de l'accès,
d'accord, nous pouvons dire oui. Parmi les
technologies suivantes, lesquelles avez-vous intégrées à vos solutions de gestion des identités et des accès ? Encore une fois, vous me suivez
pourquoi ils le demandent. C'est pourquoi je l'
aime beaucoup parce qu'ils ne le proposent pas
trop technique, mais ils posent des questions
du
point de vue de l'application des politiques et du PDP,
nous pouvons répondre, d'accord, peut-être que
les autres questions que nous n'avons pas posées. OK. Lequel des contextes
suivants utilise la politique d'accès ? Tu te souviens de ce
dont tu as parlé, non ? Vous devez obtenir cette visibilité. heure actuelle,
ils sont peut-être en train de devenir utilisateurs et nous n'examinons pas la base de données SAM sur les risques de
connexion. Identité, score sécurisé d'identité. C'est comme un score de risque que vous obtenez de Microsoft
en azurite,
il prend en compte de multiples
facteurs et tout le reste. Donc je dirais que non, peut-être que nous n'avons pas la
licence ou quoi que ce soit d'autre. Alors, que se passe-t-il ? Comme vous pouvez le dire, maintenant, voici ce qu'ils vous donnent une liste de résultats classés par ordre de priorité. J'espère qu'ils vous
donneront une liste de résultats
prioritaires
et vous expliqueront pourquoi. Il est considéré comme l'une des connexions
volées et remplacées. Pourquoi devriez-vous activer l'authentification
sans mot de passe, améliorer votre score de
sécurité d'identité. Pour le playbook. Vous pouvez voir que vous pouvez obtenir un playbook complet pour
Microsoft complètement rempli. C'est pour
ça que c'est si bon, non ? Jetons également un coup d'
œil aux endpoints. Nos appareils enregistrés auprès de votre fournisseur d'identité
savent qu'ils ne peuvent pas toujours, pas toujours.
Jetons un coup d'œil. Oui, on peut dire que les appareils
gérés sont tout
à fait conformes à l'informatique. Politiques de configuration. Comme s'ils aimaient les Indiens ou
quelque chose comme ça, non ? Disposez-vous d'un modèle permettant
aux utilisateurs de se connecter, de s'organiser ? Il doit s'agir
de sources provenant d'appareils non gérés. Sachez que vous
allez le faire, mais
pas , pas régulièrement. Nous ne pouvons pas contrôler que
nos partenaires appliquent politique de prévention des
données sur tous les appareils
gérés et non gérés. Nous avons donc probablement des appareils gérés
mais pas des appareils non gérés. Vous ne pouvez donc pas voir de manière cohérente. Avez-vous activé la détection des menaces sur les
terminaux afin de permettre une évaluation en temps réel des risques liés aux
appareils ? Nous pouvons dire peut-être certains appareils. Encore une fois. Vous pouvez voir maintenant, encore une fois, que cela vous donne une
bonne pratique, des résultats et cela vous en donne d'autres. Encore une fois, il se concentre
davantage sur Microsoft. Mais vous pouvez vraiment
l'utiliser et l'appliquer,
car la question
est de poser
ce qu'il a qualifié de très simple
et cela peut s' appliquer à n'importe quel fournisseur de
technologie. Je
voulais donc juste vous montrer que vous trouverez de très
nombreux quiz similaires. Vous pouvez utiliser une bascule et je ne sais pas s'ils ont
l'outil pour cela. Mais tu trouveras la même chose. J'aime bien
celui de Microsoft parce qu'il ressemble
vraiment à la façon dont
le flux se produit. C'est très, ça ne te
surcharge pas. Et il vous donne les meilleures pratiques. Et cela vous
oriente vers des ressources. Et même si vous ne disposez pas ces ressources, vous
n'êtes pas une boutique Microsoft. Vous pouvez en fait les mapper à d'autres fournisseurs tiers ou d'autres outils natifs qui peuvent être utilisés pour appliquer une approche de
confiance zéro, les gars, j'espère que cela
vous a été utile et je vous verrai dans la
prochaine leçon. Merci.
15. Conclusion: OK les gars, félicitations, vous avez enfin atteint
la fin de ce cours. Je sais que le
voyage a été long, mais
j'espère sincèrement que vous avez mieux compris Zero Trust,
comment l' implémenter, comment fonctionne
l'architecture. Et j'ai réussi
un peu à vous apprendre confiance zéro si vous partiez de
zéro. Donc, une chose que je
voudrais vous dire, est qu'une confiance
secrète ne
va nulle part avec leurs yeux, le travail à distance
et la menace de cyberattaques. Les entreprises sont
constamment à la
recherche de meilleurs cadres de sécurité. Et la confiance zéro leur donne
cette assurance. Gardner. Ils ont effectué leurs
recherches récentes et affirment que d'ici 2025, au
moins 70 % des nouveaux déploiements d'accès à distance
seront desservis par une architecture réseau Zero Trust
plutôt que par des appareils VPN. Cela
va augmenter, croyez-moi, avec la mise en œuvre
du décret du gouvernement américain ou des agences
fédérales. Considérez que Trotsky est l'
avenir de la cybersécurité. C'est donc formidable que vous ayez franchi le pas en
suivant ce cours. Et j'espère que vous avez obtenu des
informations utiles que vous
allez y appliquer. OK, alors souviens-toi de
ce que je t'ai dit. S'il vous plaît, ne faites pas comme si confiance
zéro était un concept très
puissant, mais ne vous laissez pas
berner par le battage médiatique. Ne craquez pas pour les produits, n'est-ce pas ? Le Zero Trust
repose donc sur des principes. Et vous
devez transformer ces principes en un
plan d'action approprié
basé sur des mesures concrètes que
vous devez prendre, n'est-ce pas ? N'oubliez pas que c'est un voyage. Ne pensez pas que vous
serez parfait dès le premier jour. Et lentement, lentement, j'ai
mis en œuvre Zero Trust. Ainsi, plutôt
que d'être une destination, la transition vers la confiance zéro
doit être considérée comme un voyage dans lequel chacun a un
rôle à jouer. Et vous
remettez constamment le modèle en question, en
cherchant à le
rendre plus efficace. Mais une fois que vous l'aurez fait, vous ne voudrez
certainement pas
revenir au modèle de sécurité
périmétrique traditionnel, d'accord ? Tu t'en souviens ? Il doit être itératif étape par étape. Tu
vas l'améliorer. Félicitations
les gars, merci
beaucoup d'avoir suivi
ce cours et de m'avoir
écouté parler
pendant 2 h ou quelque chose comme ça. Merci beaucoup pour cela. Si vous avez trouvé ce cours utile, veuillez laisser une
évaluation qui pourrait vraiment vous aider. J'espère que cela
me donnera quelques commentaires. Vous pouvez donc communiquer avec moi. Sur LinkedIn, j'ai une chaîne
YouTube ou quelque chose comme ça. Et puis sur un support
qui vous
aiderait vraiment à vous souvenir du projet
que vous devez réaliser. Réalisez ce projet et
l'étude de cas,
faites-moi part de vos commentaires. J'adorerais qu'
il reste en contact avec tous mes collaborateurs qui
suivent mes cours, me
donnent des commentaires concrets
et qui sont partis, restent en contact. Merci beaucoup les gars, et je vous verrai au prochain cours. Prenez soin de vous et bonne chance dans
votre parcours Zero Trust.