Le contr\u00f4le d’acc\u00e8s au r\u00e9seau d\u00e9termine qui peut acc\u00e9der \u00e0 votre r\u00e9seau. L’acc\u00e8s r\u00e9seau sans confiance d\u00e9termine qui acc\u00e8de \u00e0 vos applications. La plupart des \u00e9quipes informatiques de taille moyenne ont besoin des deux, plus une troisi\u00e8me couche pour les appareils qui ne supportent ni l’un ni l’autre. Ce guide explique comment fonctionnent le NAC et le ZTNA, o\u00f9 ils se chevauchent et comment combler le foss\u00e9 qu’ils laissent ouvert. <\/p>\n
Le contr\u00f4le d’acc\u00e8s au r\u00e9seau est une technologie de niveau 2\/3 qui permet de contr\u00f4ler l’acc\u00e8s physique et sans fil au r\u00e9seau en fonction de l’identit\u00e9 de l’appareil, des informations d’identification de l’utilisateur et de l’\u00e9tat de sant\u00e9 du point d’extr\u00e9mit\u00e9. Il utilise la norme 802.1X avec un serveur RADIUS pour authentifier les appareils au niveau du port du commutateur avant qu’ils ne re\u00e7oivent une adresse IP. Les appareils qui \u00e9chouent aux contr\u00f4les de posture sont plac\u00e9s dans un VLAN de quarantaine. Le NAC r\u00e9pond \u00e0 une question : cet appareil doit-il \u00eatre autoris\u00e9 \u00e0 p\u00e9n\u00e9trer sur le r\u00e9seau ? <\/p>\n
Le processus comprend trois \u00e9l\u00e9ments. Le supplicant est un logiciel install\u00e9 sur le point d’acc\u00e8s qui pr\u00e9sente les informations d’identification. L’authentificateur est le commutateur ou le point d’acc\u00e8s sans fil qui bloque le trafic jusqu’\u00e0 ce que l’authentification r\u00e9ussisse. Le serveur d’authentification, g\u00e9n\u00e9ralement RADIUS, v\u00e9rifie les informations d’identification par rapport \u00e0 la politique et renvoie une d\u00e9cision d’autorisation ou de refus. Une fois authentifi\u00e9, le commutateur peut attribuer un VLAN ou appliquer une liste de contr\u00f4le d’acc\u00e8s<\/a> pour restreindre ce que l’appareil peut atteindre. <\/p>\n EAP-TLS avec des certificats num\u00e9riques reste la m\u00e9thode 802.1X la plus solide. Elle \u00e9limine le risque de vol de mot de passe qui affecte les variantes EAP plus simples. Pour les organisations qui g\u00e8rent d\u00e9j\u00e0 une autorit\u00e9 de certification, c’est la voie \u00e0 suivre. <\/p>\n Le syst\u00e8me NAC permet \u00e9galement d’\u00e9tablir le profil des appareils. Il inspecte les empreintes DHCP, les donn\u00e9es SNMP et les mod\u00e8les de trafic pour identifier le type d’appareil qui s’est connect\u00e9. Ceci est particuli\u00e8rement important pour les terminaux qui ne peuvent pas utiliser de supplicant, ce sur quoi nous reviendrons prochainement. <\/p>\n ZTNA op\u00e8re au niveau 7. Au lieu d’accorder \u00e0 un appareil un emplacement sur le r\u00e9seau, il cr\u00e9e un tunnel crypt\u00e9, par application, entre l’utilisateur et une ressource sp\u00e9cifique. Le reste du r\u00e9seau reste invisible. <\/p>\n Le mod\u00e8le fonctionne par l’interm\u00e9diaire d’une architecture de courtier. Un connecteur l\u00e9ger situ\u00e9 dans le centre de donn\u00e9es ou dans le nuage \u00e9tablit une connexion sortante avec un courtier de confiance. Les utilisateurs s’authentifient aupr\u00e8s du courtier, qui v\u00e9rifie l’identit\u00e9, contr\u00f4le l’\u00e9tat de l’appareil<\/a> et \u00e9value le contexte (emplacement, heure, score de risque) avant d’\u00e9tablir la connexion avec l’application cible. Aucun port entrant ne doit \u00eatre ouvert. Aucun segment de r\u00e9seau n’est expos\u00e9. <\/p>\n Alors que le NAC s’authentifie une fois au moment de la connexion, les plateformes ZTNA telles que Jimber proc\u00e8dent \u00e0 des v\u00e9rifications en continu. Si la posture d’un appareil se d\u00e9grade en cours de session ou si des anomalies de comportement apparaissent, l’acc\u00e8s peut \u00eatre r\u00e9voqu\u00e9 en temps r\u00e9el. Il s’agit l\u00e0 d’un changement fondamental par rapport au mod\u00e8le \u00ab\u00a0authentifier une fois, faire confiance pour toujours\u00a0\u00bb que partagent le CNA et les VPN. <\/p>\n Pour les travailleurs \u00e0 distance et hybrides, ZTNA \u00e9limine compl\u00e8tement le goulot d’\u00e9tranglement du VPN. Les utilisateurs se connectent directement aux applications, qu’ils soient au bureau, \u00e0 la maison ou sur le site d’un client. L’exp\u00e9rience est plus rapide, la surface d’attaque plus petite et les preuves de conformit\u00e9 plus nettes. Notre guide de l’architecture Zero Trust<\/a> couvre le cadre g\u00e9n\u00e9ral en d\u00e9tail. <\/p>\n Les deux technologies r\u00e9solvent des probl\u00e8mes diff\u00e9rents \u00e0 des niveaux diff\u00e9rents. Comprendre o\u00f9 chacune excelle permet d’\u00e9viter les investissements inutiles. <\/p>\n NAC contr\u00f4le si un appareil peut se trouver sur le r\u00e9seau. Le ZTNA contr\u00f4le si un utilisateur peut acc\u00e9der \u00e0 une application sp\u00e9cifique. Ni l’un ni l’autre ne couvrent \u00e0 eux seuls l’ensemble du tableau. Et tous deux partagent un angle mort qui m\u00e9rite sa propre section. <\/p>\n Environ 21 milliards d’appareils IdO sont connect\u00e9s dans le monde, et ce chiffre ne cesse d’augmenter. Dans les environnements de fabrication, une seule installation peut avoir des centaines d’automates, d’IHM, de capteurs et de cam\u00e9ras sur le r\u00e9seau. Les \u00e9tablissements de sant\u00e9 utilisent des scanners IRM, des pompes \u00e0 perfusion et des moniteurs de patients. Ces appareils ont une caract\u00e9ristique commune : ils ne peuvent pas ex\u00e9cuter un agent ZTNA ou un supplicant 802.1X. <\/p>\n NAC les traite par le biais du contournement de l’authentification MAC (MAB). Le commutateur identifie l’appareil par son adresse MAC et l’affecte \u00e0 un VLAN d\u00e9sign\u00e9. Le probl\u00e8me est \u00e9vident. Les adresses MAC peuvent \u00eatre usurp\u00e9es en quelques secondes. Un attaquant qui clone l’adresse MAC d’une imprimante autoris\u00e9e obtient l’acc\u00e8s au r\u00e9seau que cette imprimante avait. MAB a \u00e9galement tendance \u00e0 accorder un acc\u00e8s plus large que n\u00e9cessaire, car la maintenance des ACL par appareil au niveau du commutateur est p\u00e9nible sur le plan op\u00e9rationnel. <\/p>\n ZTNA ne peut tout simplement pas atteindre ces appareils. L’absence d’agent signifie qu’il n’y a pas de v\u00e9rification d’identit\u00e9, pas de contr\u00f4le de posture, pas de tunnel par application. La plupart des fournisseurs de ZTNA ignorent discr\u00e8tement cette lacune ou sugg\u00e8rent une \u00ab\u00a0segmentation du r\u00e9seau\u00a0\u00bb comme si cela la r\u00e9solvait. <\/p>\n L’isolation en ligne offre une troisi\u00e8me voie. Le contr\u00f4leur d’acc\u00e8s \u00e0 l’isolation du r\u00e9seau (NIAC) de Jimber se situe physiquement entre le dispositif sans agent et le r\u00e9seau. Il applique les r\u00e8gles de communication par appareil au niveau mat\u00e9riel. Une cam\u00e9ra peut communiquer avec son serveur d’enregistrement. Un automate programmable peut atteindre son contr\u00f4leur SCADA. Tout le reste est bloqu\u00e9 par d\u00e9faut. Pas de confiance MAC, pas d’acc\u00e8s VLAN large, pas d’agent requis. <\/p>\n Pour les environnements de fabrication<\/a> o\u00f9 les temps d’arr\u00eat se mesurent en millions par heure, NIAC assure l’isolement sans toucher au micrologiciel de l’appareil ni perturber la production. L’appareil ne sait pas qu’il est contr\u00f4l\u00e9. Il fonctionne simplement, dans des limites \u00e9troitement d\u00e9finies. <\/p>\n La r\u00e9ponse honn\u00eate \u00e0 la question \u00ab\u00a0NAC ou ZTNA ?\u00a0\u00bb n’est ni l’un ni l’autre. C’est un mod\u00e8le \u00e0 plusieurs niveaux qui fonctionne le mieux. <\/p>\n ZTNA pour tous les acc\u00e8s d’utilisateur \u00e0 application.<\/strong> Que l’utilisateur soit sur le campus ou \u00e0 distance, chaque connexion d’application doit passer par une v\u00e9rification de l’identit\u00e9, un contr\u00f4le de la posture de l’appareil et un tunnelling par application. C’est l\u00e0 que le ZTNA de Jimber fournit la base. Il remplace le VPN, applique le principe du moindre privil\u00e8ge et g\u00e9n\u00e8re la piste d’audit attendue par les auditeurs de NIS2 et de CyFun. Lisez notre aper\u00e7u des cinq principes de Zero Trust<\/a> qui r\u00e9gissent ce mod\u00e8le. <\/p>\n NAC pour le contr\u00f4le d’admission sur le campus.<\/strong> Si votre bureau utilise des commutateurs g\u00e9r\u00e9s avec 802.1X, gardez cette couche active. Elle emp\u00eache les appareils inconnus d’obtenir une adresse r\u00e9seau en premier lieu. Pour les organisations qui \u00e9voluent vers un campus de type \u00ab\u00a0caf\u00e9\u00a0\u00bb o\u00f9 le r\u00e9seau du bureau ne fournit qu’un acc\u00e8s \u00e0 l’internet et o\u00f9 tout le trafic d’application passe par le ZTNA, le NAC du campus devient moins critique pour les ordinateurs portables, mais reste pr\u00e9cieux pour l’hygi\u00e8ne du r\u00e9seau. <\/p>\nComment ZTNA fonctionne diff\u00e9remment<\/h2>\n
Comparaison entre NAC et ZTNA<\/h2>\n
\n\n
\n \nCrit\u00e8re<\/th>\n NAC<\/th>\n ZTNA<\/th>\n<\/tr>\n<\/thead>\n \n Couche OSI<\/td>\n Couche 2\/3 (port et r\u00e9seau)<\/td>\n Couche 7 (application)<\/td>\n<\/tr>\n \n Champ d’application principal<\/td>\n Acc\u00e8s au r\u00e9seau du campus<\/td>\n Acc\u00e8s aux applications partout<\/td>\n<\/tr>\n \n Mod\u00e8le d’authentification<\/td>\n Point \u00e0 temps lors de la connexion<\/td>\n Continu par session<\/td>\n<\/tr>\n \n Assistance \u00e0 distance aux utilisateurs<\/td>\n Limit\u00e9 (ax\u00e9 sur le campus)<\/td>\n Native (ind\u00e9pendante du lieu)<\/td>\n<\/tr>\n \n Visibilit\u00e9<\/td>\n Au niveau du segment de r\u00e9seau<\/td>\n Par application, par utilisateur<\/td>\n<\/tr>\n \n Gestion des dispositifs sans agent<\/td>\n Contournement de l’authentification MAC<\/td>\n N\u00e9cessite un agent (gap)<\/td>\n<\/tr>\n \n Pr\u00e9vention des mouvements lat\u00e9raux<\/td>\n Bas\u00e9 sur un r\u00e9seau local virtuel (grossier)<\/td>\n Isolation des applications (granulaire)<\/td>\n<\/tr>\n \n Preuves de conformit\u00e9<\/td>\n Journaux au niveau du port<\/td>\n Piste d’audit au niveau de l’identit\u00e9, de la posture et de l’application<\/td>\n<\/tr>\n \n Dur\u00e9e de d\u00e9ploiement typique<\/td>\n 6 \u00e0 12 mois (NAC d’entreprise)<\/td>\n De quelques semaines \u00e0 quelques mois<\/td>\n<\/tr>\n \n Mod\u00e8le de co\u00fbt<\/td>\n CapEx mat\u00e9riel + licences perp\u00e9tuelles<\/td>\n Abonnement par utilisateur<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n Le probl\u00e8me de l’appareil sans agent que partagent les deux approches<\/h2>\n
Pourquoi la r\u00e9ponse est \u00ab\u00a0les deux, plus l’isolation en ligne\u00a0\u00bb ?<\/h2>\n