Qu'est-ce qu'un périmètre défini par logiciel ? | SDP vs VPN

Un périmètre défini par logiciel (SDP) est une limite de réseau basée sur un logiciel et non sur du matériel. Les SDP peuvent faire partie d'une approche de la sécurité Zero Trust.

Share facebook icon linkedin icon twitter icon email icon

Périmètre défini par logiciel

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Apprendre ce qu'est un périmètre défini par logiciel (SDP)
  • Découvrir comment fonctionnent les SDP
  • Comparer les SDP avec les VPN

Qu'est-ce qu'un périmètre défini par logiciel (SDP) ?

Un périmètre défini par logiciel (SDP) est un moyen de masquer l'infrastructure connectée à Internet (serveurs, routeurs, etc.) afin que les parties externes et les personnes malveillantes ne puissent pas la voir, qu'elle soit hébergée sur site ou dans le cloud. L'objectif de l'approche SDP est d'établir un périmètre réseau logiciel plutôt que matériel. Une entreprise qui utilise un SDP déploie essentiellement une cape d'invisibilité sur ses serveurs et autres infrastructures afin que personne ne puisse les voir de l'extérieur, toutefois, les utilisateurs autorisés peuvent toujours accéder à l'infrastructure.

Software-Defined Perimeter

Un périmètre défini par logiciel forme une frontière virtuelle autour des actifs de la société au niveau de la couche réseau, pas la couche application. Cette couche est ainsi séparée des autres contrôles basés sur l'accès qui restreignent les privilèges des utilisateurs, mais permettent un large accès au réseau. Autre différence essentielle, un SDP authentifie les appareils ainsi que l'identité de l'utilisateur. La Cloud Security Alliance a été la première a développer le concept de SDP.

Comment fonctionne un SDP ?

Avec un SDP, il ne devrait pas être technologiquement possible de se connecter à un serveur à moins d'y être autorisé. Les SDP n'autorisent l'accès aux utilisateurs qu'après 1) vérification de l'identité de l'utilisateur et 2) évaluation de l'état de l'appareil.

Une fois que l'utilisateur et l'appareil sont authentifiés, le SDP établit une connexion réseau individuelle entre cet appareil et le serveur auquel il tente d'accéder. Un utilisateur authentifié n'est pas connecté à un réseau plus grand, mais reçoit plutôt sa propre connexion réseau à laquelle personne d'autre ne peut accéder et qui inclut uniquement les services auxquels l'utilisateur a un accès approuvé.

Imaginez un serveur web connecté à Internet qui n'ouvre aucune connexion, qui n'accepte pas les requêtes et n'envoie pas de réponses. Il n'a pas de ports ouverts et n'a pas d'accès au réseau même s'il est branché sur Internet (un peu comme un grille-pain ou une lampe branchés sur une prise murale mais qui restent éteints et donc ne sont pas sous tension). Il s'agit là de l'état par défaut pour les serveurs à l'intérieur d'un périmètre défini par logiciel.

Une autre façon de penser les SPD est d'imaginer une porte d'entrée verrouillée en permanence de l'intérieur. Personne ne peut franchir la porte, ni même regarder à l'intérieur, jusqu'à ce que la personne située de l'autre côté de la porte vérifie qui est le visiteur et ce qu'il fait. Une fois que le visiteur est autorisé à entrer, le maître de lieux reverrouille la porte d'entrée.

Comment un utilisateur accède-t-il à un SDP ?

Vérification de l'identité de l'utilisateur : l'identité de l'utilisateur est généralement vérifiée via un fournisseur d'identité tiers (IdP). Les SDP peuvent également s'intégrer à une solution SSO. L'authentification des utilisateurs peut impliquer une simple combinaison nom d'utilisateur et mot de passe, mais il est plus sûr d'utiliser l'authentification multifacteur avec un jeton matériel.

Vérification de l'appareil : il s'agit de vérifier que l'appareil de l'utilisateur exécute un logiciel à jour, de rechercher les infections par des logiciels malveillants et d'effectuer d'autres inspections de sécurité. Théoriquement, un SDP pourrait même créer une liste noire d'appareils interdits et vérifier que l'appareil n'est pas sur la liste noire.

Approbation du contrôleur SDP : Le « contrôleur » SDP est le composant logique du SDP qui est chargé de déterminer quels périphériques et serveurs doivent être autorisés à se connecter. Une fois l'utilisateur et le périphérique authentifiés, le contrôleur transmet l'approbation de l'utilisateur et du périphérique à la passerelle SDP. La passerelle SDP est l'endroit où l'accès est réellement autorisé ou refusé.

Connexion réseau sécurisée établie : la passerelle SDP ouvre la « porte » virtuelle qui permet à l'utilisateur de passer. Il établit une connexion réseau sécurisée avec la machine utilisateur d'un côté de la passerelle, et de l'autre côté il établit une connexion réseau avec les services auxquels l'utilisateur a accès. Aucun autre utilisateur ou serveur ne partage cette connexion. Ces connexions réseau sécurisées impliquent généralement l'utilisation de TLS mutuel et peuvent utiliser un VPN.

Accès utilisateur : l'utilisateur peut accéder aux ressources réseau précédemment masquées et peut continuer à utiliser son appareil comme d'habitude. L'utilisateur opère au sein d'un réseau chiffré auquel il est le seul à appartenir avec les services auxquels il accède.

Qu'est-ce que le TLS mutuel ?

Le TLS, ou Transport Layer Security, est un protocole de chiffrement qui vérifie qu'un serveur est légitime, c'est-à-dire qu'il est bien celui qu'il prétend être. Dans le TLS mutuel, le processus de vérification se déroule des deux côtés : le client est vérifié ainsi que le serveur. En savoir plus sur TLS mutuel.

Qu'est-ce qu'un VPN ?

Un VPN, ou réseau privé virtuel, est un réseau chiffré qui s'exécute sur un réseau non chiffré. Il crée des connexions chiffrées entre les appareils et les serveurs de sortie qu'ils sont comme sur leur propre réseau privé.

Traditionnellement, les VPN ont été utilisés pour sécuriser et gérer l'accès à l'infrastructure de l'entreprise. Dans certains cas, un SDP peut remplacer un VPN.

SDP et VPN : Quelles sont les différences ?

Les SDP peuvent incorporer des VPN dans leur architecture pour créer des connexions réseau sécurisées entre les appareils des utilisateurs et les serveurs auxquels ils ont besoin d'accéder. Cependant, les SDP sont très différents des VPN. À certains égards, ils sont plus sécurisés : alors que les VPN permettent à tous les utilisateurs connectés d'accéder à l'ensemble du réseau, les SDP ne partagent pas les connexions réseau. Les SDP peuvent également être plus faciles à gérer que les VPN, surtout si les utilisateurs internes ont besoin de plusieurs niveaux d'accès.

La gestion de plusieurs niveaux différents d'accès au réseau à l'aide de VPN implique le déploiement de plusieurs VPN. Supposons que Bob travaille chez Acme Inc. au service comptable, Carol travaille au service des ventes et Alice travaille au service technique. La gestion de leur accès au niveau du réseau implique la mise en place de trois VPN : 1) un VPN comptable pour permettre d'accéder à la base de données comptable, 2) un VPN commercial pour accéder à la base de données clients et 3) un VPN technique pour accéder à la base de code. Cette situation est non seulement difficile à gérer pour le service informatique et n'est pas sûre : toute personne qui accède au VPN comptable, par exemple, peut également accéder aux informations financières d'Acme Inc. Si Bob donne accidentellement ses identifiants à Carol, la sécurité est compromise, sans même que le service informatique ne soit au courant.

Imaginez maintenant une quatrième personne : David, le directeur financier d'Acme Inc. David a besoin d'accéder à la fois à la base de données comptable et à la base de données clients. David doit-il se connecter à deux VPN distincts pour faire son travail ? Ou le service informatique d'Acme devra-t-il mettre en place un nouveau VPN qui donne accès à la fois aux données comptables et à la base de données clients ? Les deux options sont difficiles à gérer, et la deuxième option présente un degré de risque élevé : une personne malveillante qui compromet ce nouveau VPN disposerait d'un large accès à deux bases de données et pourrait faire deux fois plus de dégâts que dans l'autre cas.

En revanche, les SDP sont beaucoup plus granulaires. Il n'y a pas de VPN global auquel se connectent tous ceux qui accèdent aux mêmes ressources. À la place, une connexion réseau distincte est établie pour chaque utilisateur. Tout se passe presque comme si chacun avait son propre VPN privé. De plus, les SDP vérifient les appareils et les utilisateurs, ce qui fait qu'un pirate informatique a beaucoup plus de mal à s'introduire dans le système avec uniquement des identifiants volés.

Quelques autres fonctionnalités essentielles séparent les SDP des VPN : les SDP sont indépendants de l'emplacement et de l'infrastructure. Parce qu'ils reposent sur des logiciels plutôt que sur du matériel, les SDP peuvent être déployés n'importe où pour protéger l'infrastructure locale, l'infrastructure cloud ou les deux. Les SDP s'intègrent également facilement à un déploiement multi-cloud et cloud hybride. Enfin, les SDP peuvent connecter les utilisateurs depuis n'importe quel endroit : ils n'ont pas besoin d'être dans le périmètre du réseau physique d'une société.

Comment les SDP sont-ils liés à la sécurité Zero Trust ?

Zero Trust veut dire zéro confiance. Le Zero Trust est donc caractérisé par l'absence de confiance. Aucun utilisateur, appareil ou réseau n'est considéré comme fiable par défaut. La sécurité Zero Trust est un modèle de sécurité qui nécessite une vérification d'identité stricte pour chaque personne et appareil essayant d'accéder aux ressources internes, qu'ils se trouvent à l'intérieur ou à l'extérieur du périmètre du réseau (ou du périmètre défini par logiciel).

Un SDP est un moyen de mettre en œuvre une sécurité Zero Trust. Les utilisateurs et les appareils doivent tous les deux être vérifiés avant de pouvoir se connecter et ne disposeront que de l'accès réseau minimum dont ils ont besoin. Aucun appareil, pas même l'ordinateur portable d'un PDG, ne peut se connecter à une ressource s'il n'est pas autorisé à l'utiliser.

En savoir plus sur la sécurité Zero Trust.