Piliers technologiques de la Confiance Zéro Partie 2
Dans cette unité, nous poursuivons et discutons des objectifs de déploiement Confiance Zéro restants.
Sécuriser les données avec confiance zéro
Les trois éléments principaux d’une stratégie de protection des données sont les suivants :
- Connaissez vos données - Si vous ne savez pas quelles données sensibles vous possédez localement et dans les services cloud, vous ne pouvez pas les protéger de manière adéquate. Vous devez découvrir des données dans l’ensemble de votre organisation et classifier toutes les données par niveau de confidentialité.
- Protégez vos données et évitez les pertes de données - Les données sensibles doivent être protégées par des stratégies de protection des données qui étiquettent et chiffrent les données ou bloquent le partage excessif. Cela garantit que seuls les utilisateurs autorisés sont en mesure d’accéder aux données, même lorsque les données se déplacent en dehors de votre environnement d’entreprise.
- Surveiller et corriger - Vous devez surveiller en permanence les données sensibles pour détecter les violations de stratégie et le comportement à risque de l’utilisateur. Cela vous permet d’effectuer des actions appropriées, telles que la révocation de l’accès, le blocage des utilisateurs et l’affinement de vos stratégies de protection.
Objectifs de déploiement de confiance zéro des données
Une stratégie de protection des informations doit englober l’ensemble du contenu numérique de votre organisation. En tant que base de référence, vous devez définir des étiquettes, découvrir des données sensibles et surveiller l’utilisation d’étiquettes et d’actions dans votre environnement. L’utilisation des étiquettes de confidentialité est abordée à la fin de ce guide.
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour les données, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les décisions d’accès sont régies par le chiffrement.
II. Les données sont automatiquement classées et étiquetées.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
III. La classification est optimisée par des modèles Machine Learning intelligents.
IV. Les décisions d’accès sont régies par un moteur de stratégie de sécurité cloud.
V. Éviter les fuites de données à l’aide de stratégies DLP basées sur une étiquette de confidentialité et une inspection de contenu.
Sécuriser les points de terminaison avec confiance zéro
La Confiance Zéro adhère au principe « Ne jamais faire confiance, toujours vérifier ». En termes de points de terminaison, cela signifie toujours vérifier tous les points de terminaison. Cela inclut non seulement l’entrepreneur, le partenaire et les appareils invités, mais également les applications et les appareils utilisés par les employés pour accéder aux données professionnelles, indépendamment de la propriété de l’appareil.
Dans une approche Confiance Zéro, les mêmes stratégies de sécurité sont appliquées, que l’appareil soit appartenant à l’entreprise ou appartenant à l’utilisateur via BYOD (Bring Your Own Device) ; si l’appareil est entièrement géré par l’informatique, ou uniquement les applications et les données sont sécurisées. Les stratégies s’appliquent à tous les points de terminaison, que ce soit pc, Mac, smartphone, tablette, portable ou appareil IoT où qu’ils soient connectés, qu’il s’agisse du réseau d’entreprise sécurisé, du haut débit domestique ou de l’Internet public.
Objectifs de déploiement confiance zéro du point de terminaison
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour sécuriser les points de terminaison, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les points de terminaison sont inscrits auprès des fournisseurs d’identité cloud. Pour superviser la sécurité et les risques sur plusieurs points de terminaison utilisés par une personne, vous avez besoin d’une visibilité sur tous les appareils et points d’accès susceptibles d’accéder à vos ressources.
II. L’accès est accordé uniquement aux points de terminaison et applications conformes et gérés dans le cloud. Définissez des règles de conformité pour vous assurer que les appareils respectent les exigences de sécurité minimales avant l’octroi de l’accès. Définissez également des règles de correction pour les appareils non conformes afin que les personnes sachent comment résoudre le problème.
III. Des stratégies de protection contre la perte de données (DLP) sont appliquées pour les appareils d’entreprise et BYOD. Contrôlez ce que l’utilisateur peut faire avec les données une fois qu’il a accès. Par exemple, limitez l’enregistrement de fichiers à des emplacements non approuvés (tels que le disque local) ou limitez le partage de copie-coller avec une application de communication consommateur ou une application de conversation pour protéger les données.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
IV. La détection des menaces sur les terminaux/appareils permet de surveiller le niveau de risque des appareils. Utilisez un volet unique pour gérer tous les points de terminaison de manière cohérente et utilisez une gestion des informations et des événements de sécurité (SIEM) pour transmettre les journaux et les transactions des points de terminaison de manière à recevoir moins d’alertes, mais des alertes qui peuvent être exploitées.
V. Le contrôle d’accès est contrôlé en cas de risque de point de terminaison pour les appareils d’entreprise et BYOD. Intégrez des données de Microsoft Defender pour point de terminaison ou d’autres fournisseurs MTD (Mobile Threat Defense), en tant que source d’informations pour les stratégies de conformité des appareils et les règles d’accès conditionnel des appareils. Le risque de l’appareil influence alors directement les ressources qui seront accessibles par l’utilisateur de cet appareil.
Sécuriser l’infrastructure avec confiance zéro
Azure Blueprints, Azure Policies, Microsoft Defender pour le cloud, Microsoft Sentinel et Azure Sphere peuvent contribuer à améliorer la sécurité de votre infrastructure déployée et permettre une approche différente de la définition, de la conception, de l’approvisionnement, du déploiement et de la surveillance de votre infrastructure.
Objectifs de déploiement confiance zéro de l’infrastructure
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la gestion et la surveillance de votre infrastructure, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Les charges de travail sont analysées et signalées comme ayant un comportement anormal.
II. Chaque charge de travail reçoit une identité d’application, et est configurée et déployée de manière cohérente.
III. L’accès utilisateur aux ressources doit être fait en juste-à-temps.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
IV. Les déploiements non autorisés sont bloqués et une alerte est déclenchée.
V. La visibilité granulaire et le contrôle d’accès sont disponibles dans les charges de travail.
VI. Accès des utilisateurs et des ressources segmenté pour chaque charge de travail.
Sécuriser les réseaux avec confiance zéro
Au lieu de croire que tout derrière le pare-feu d’entreprise est sécurisé, une stratégie de confiance zéro de bout en bout suppose que les violations sont inévitables. Cela signifie que vous devez vérifier chaque requête comme si elle provient d’un réseau non contrôlé. La gestion des identités joue un rôle crucial dans ce domaine.
Objectifs de déploiement confiance zéro réseau
Lors de l’implémentation d’une infrastructure Confiance Zéro de bout en bout pour la sécurisation des réseaux, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
I. Segmentation de réseau : grand nombre de micro-périmètres cloud d’entrée et de sortie, assortis d’une certaine micro-segmentation.
II. Protection contre les menaces : filtrage et protection natifs Cloud pour les menaces connues.
III. Chiffrement : chiffrement du trafic interne entre l’utilisateur et l’application.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
IV. Segmentation de réseau : micro-périmètres cloud d’entrée et de sortie entièrement distribués, assortis d’une micro-segmentation plus approfondie.
V. Protection contre les menaces : protection contre les menaces et filtrage des menaces basés sur l’apprentissage automatique, avec des signaux basés sur le contexte.
VI. Chiffrement : tout le trafic est chiffré.