Introduction
L'accès distant sécurisé n'est plus un choix entre des connexions cryptées et non cryptées. Les solutions modernes de VPN et d'accès distant Zero Trust peuvent protéger les données en transit. La question plus importante est ce qu'un utilisateur ou un appareil peut atteindre après authentification.
Un VPN prolonge souvent la connectivité réseau à un point de terminaison distant. L'accès au réseau Zero Trust adopte une approche centrée sur les ressources, évaluant l'utilisateur, le dispositif, l'application demandée et le contexte actuel avant d'accorder l'accès. Pour de nombreuses organisations, le meilleur design n'est pas un remplacement total mais une division délibérée entre l'accès aux applications et l'accès réel au réseau.
Qu'est-ce qu'un VPN ?
A réseau privé virtuel crée un tunnel crypté entre un appareil distant et une passerelle VPN, qui authentifie la connexion avant de router le trafic approuvé vers des réseaux privés, des sous-réseaux ou des services.
Bien qu'un VPN ne doive pas fournir un accès illimité, son modèle de fonctionnement reste orienté réseau. Les administrateurs peuvent appliquer :
- authentification multifactorielle
- d certificats de périphérique
- règles de pare-feu
- segmentation de réseau
- a listes de contrôle d'accès
Pourtant, le point de terminaison recevra généralement encore un chemin au niveau IP vers une ou plusieurs ressources internes.
Parce que ce modèle est bien établi et prend en charge un large éventail de protocoles, il reste utile lorsque les administrateurs ont besoin d'un accès à une infrastructure étendue, que les applications dépendent d'adressage interne, ou que deux sites doivent échanger du trafic de manière sécurisée.
Le principal risque survient lorsque les autorisations VPN s'étendent au-delà de ce dont l'utilisateur a réellement besoin. Par exemple, un employé à distance qui n'a besoin que d'une seule application de comptabilité peut ne pas avoir besoin d'accéder à l'ensemble du sous-réseau financier.
Qu'est-ce que l'accès à distance Zero Trust (ZTNA) ?
Dans l'usage courant, l'accès à distance Zero Trust fait généralement référence à l'accès au réseau Zero Trust, ou ZTNA. ZTNA s'applique Principes de Zero Trust à la connectivité à distance en accordant l'accès à une application, un bureau ou un service individuel au lieu d'étendre l'accès général au réseau.
La décision peut prendre en compte plusieurs signaux :
- Identité et rôle de l'utilisateur
- Propriété des appareils et posture de sécurité
- Ressource demandée
- Lieu et heure d'accès
- Force d'authentification
- Risque de session ou comportement inhabituel
NIST décrit Confiance zéro comme une architecture qui supprime la confiance implicite basée sur la localisation du réseau et protège les ressources individuelles par une authentification et une autorisation explicites. ZTNA est une façon d'appliquer ce principe, pas l'ensemble de l'architecture Zero Trust.
Après qu'une demande soit approuvée, l'utilisateur reçoit un chemin contrôlé vers la ressource autorisée. Les systèmes non approuvés n'ont pas besoin de devenir visibles ou routables depuis le point de terminaison. Les politiques peuvent également déclencher une réauthentification, un accès restreint ou une terminaison de session lorsque le risque change.
Zero Trust Remote Access vs VPN : principales différences
La différence entre ZTNA et VPN est architecturale plutôt que simplement technologique. Un VPN bien segmenté peut être très restrictif, tandis qu'un déploiement ZTNA mal gouverné peut encore accorder un accès excessif.
| Critère | VPN | Accès à distance Zero Trust ou ZTNA |
|---|---|---|
| Accès cible | Réseau, sous-réseau ou plage de services | Application spécifique, bureau ou service |
| Contexte de la politique principale | Routes, adresses IP, groupes et règles de pare-feu | Identité, appareil, ressource et signaux contextuels |
| Visibilité du réseau | Les services internes peuvent devenir accessibles après la connexion. | Les ressources non approuvées peuvent rester indétectables |
| Flux de travail utilisateur | Établir le tunnel, puis ouvrir la ressource | Demander ou lancer une ressource approuvée directement |
| Meilleur ajustement | Accès au niveau du réseau, hérité et site à site | Accès au niveau des applications pour les utilisateurs et les tiers |
| Compromis opérationnel principal | Familier mais peut devenir large et lourd en passerelle | Granulaire mais nécessite un mappage d'application et d'identité |
Modèle de sécurité
Un VPN traditionnel prend sa principale décision de confiance lorsque le tunnel est établi. Les plateformes modernes peuvent renforcer cette décision avec un accès conditionnel, des vérifications des points de terminaison et une réauthentification, mais la session commence toujours par étendre la connectivité réseau à l'utilisateur.
ZTNA adopte une approche plus axée sur les ressources. Un mot de passe valide et un second facteur ne donnent pas automatiquement accès à chaque système interne, car la politique peut également exiger un appareil géré, un emplacement approuvé, un rôle d'utilisateur spécifique ou une session à risque réduit avant de rendre l'application demandée disponible.
Ce modèle d'accès plus restreint prend en charge le principe du moindre privilège et peut limiter le nombre de systèmes exposés si des identifiants sont volés. Cependant, le ZTNA n'élimine pas le risque de compromission de compte, car un attaquant peut toujours abuser de toute application que le compte compromis est autorisé à ouvrir.
Expérience utilisateur
Les utilisateurs de VPN doivent souvent ouvrir un client, attendre que le tunnel se connecte, compléter les invites d'authentification et ensuite lancer l'application requise. Lorsque des conflits DNS, des règles de tunnel fractionné, des réseaux locaux instables ou des configurations de client expirées causent des problèmes, le résultat peut être des demandes de support supplémentaires.
ZTNA peut simplifier ce processus en présentant uniquement les ressources approuvées via un portail, un navigateur ou un client léger. Au lieu de recevoir d'abord un accès général au réseau, l'utilisateur peut lancer directement l'application requise.
L'expérience dépend toujours de l'implémentation, car certains protocoles nécessitent un agent de point de terminaison et certaines applications héritées ne fonctionnent pas bien via un proxy d'application. Avant de migrer, les équipes informatiques devraient donc tester :
- authentification
- impression
- transfert de fichiers
- · contrôles du presse-papiers
- comportement de reconnexion
Exposition réseau
Une passerelle VPN est un service de bord exposé à Internet, elle doit donc être mise à jour, surveillée et protégée. En fonction des itinéraires, de la segmentation et de la politique de pare-feu en place, un utilisateur connecté peut également être en mesure de découvrir des adresses ou des services internes.
ZTNA peut réduire cette exposition en plaçant un courtier ou un point d'application entre l'utilisateur et l'application. Cela donne à l'endpoint un accès à la ressource approuvée sans créer de route générale vers le réseau environnant.
Bien que ce design puisse rendre le mouvement latéral plus difficile, les connecteurs, les fournisseurs d'identité, les passerelles et les serveurs d'application doivent toujours être sécurisés. Directives de la CISA traite également les logiciels d'accès à distance et les appareils périphériques comme une infrastructure de grande valeur nécessitant une authentification multifacteur, des mises à jour, des journaux et une exposition réduite.
Performance
Les conceptions de VPN acheminent souvent le trafic via une passerelle centrale ou un centre de données, ce qui peut ajouter de la latence lorsqu'un utilisateur distant se connecte par le biais du siège pour accéder à une application hébergée dans le cloud.
ZTNA peut offrir un chemin plus direct vers l'application autorisée, en particulier lorsque les connecteurs ou les points de service sont distribués à proximité des utilisateurs et des charges de travail. Néanmoins, la performance dépend toujours de :
- exigences d'inspection
- architecture du fournisseur
- placement du connecteur
- qualité Internet
Un VPN peut rester efficace pour les charges de travail internes des centres de données ou les environnements avec des concentrateurs locaux. Plutôt que de supposer qu'un modèle est toujours plus rapide, les équipes informatiques devraient comparer les temps de réponse des applications et la stabilité des sessions dans leur propre environnement.
Gestion
Les équipes réseau sont déjà familiarisées avec les concentrateurs VPN, les routes, les règles de pare-feu et les listes de contrôle d'accès, ce qui peut faciliter le déploiement. Au fil du temps, cependant, les autorisations peuvent devenir plus difficiles à examiner à mesure que les groupes, les sous-réseaux et les exceptions s'accumulent.
ZTNA nécessite un inventaire plus clair des utilisateurs, des applications, des exigences des appareils et des dépendances. Les administrateurs doivent définir qui a besoin de chaque ressource, quels appareils ils peuvent utiliser et dans quelles conditions l'accès doit être accordé. Bien que ce travail de politique demande des efforts, il peut rendre les examens d'accès plus significatifs car les autorisations sont directement liées aux applications commerciales.
Quel que soit le modèle utilisé, une gestion efficace dépend de l'attribution d'un propriétaire à chaque ressource, de la documentation des exceptions et de la révision régulière des privilèges. Ni VPN ni ZTNA ne restent sécurisés sans une discipline opérationnelle constante.
Coût
Un VPN peut être l'option la moins coûteuse lorsqu'une organisation possède déjà une infrastructure de pare-feu ou de passerelle compatible. Cependant, le coût total peut toujours inclure :
- capacité du concentrateur
- haute disponibilité
- support client
- bande passante
- travail de segmentation
- maintenance des règles en cours
ZTNA peut introduire des abonnements par utilisateur, une intégration d'identité, des agents de point de terminaison, des connecteurs et des travaux de migration. En même temps, cela peut réduire le retour VPN, simplifier l'accès des entrepreneurs et diminuer le coût de soutien à une large connectivité réseau.
Pour cette raison, la comparaison devrait se concentrer sur le coût total de possession plutôt que sur le prix initial du produit seul. Les équipes informatiques devraient prendre en compte la licence, l'infrastructure, l'effort du support technique, l'administration des politiques, le risque de temps d'arrêt et le coût d'octroi de plus d'accès que ce dont les utilisateurs ont réellement besoin.
Quand un VPN a-t-il encore du sens ?
Malgré le passage à des modèles d'accès plus spécifiques aux ressources, un VPN reste le bon choix lorsque les utilisateurs ou les systèmes ont réellement besoin d'une connectivité au niveau du réseau.
Il est particulièrement utile lorsque l'exigence implique plusieurs protocoles, une infrastructure partagée ou des applications qui dépendent d'un accès direct aux réseaux internes.
Des exemples courants incluent :
- Connectivité site à site entre bureaux, centres de données ou réseaux cloud
- Dépannage réseau et administration au niveau des paquets
- Accès à plusieurs protocoles à travers un segment d'infrastructure contrôlé
- Applications héritées qui ne peuvent pas être publiées via un portail d'application
- Environnements de développement, de laboratoire ou de récupération après sinistre nécessitant une large connectivité
- T accès temporaire dans des environnements où la segmentation et la surveillance sont déjà matures
Un VPN n'est donc ni obsolète ni intrinsèquement peu sûr. Sa sécurité dépend de la manière dont la connexion est configurée et gérée, y compris des itinéraires restreints, une authentification forte, un patching régulier de la passerelle et une séparation claire entre les utilisateurs standard et les administrateurs privilégiés.
Lorsque ces contrôles sont en place et que le besoin commercial est véritablement orienté vers le réseau, un VPN peut rester une solution d'accès à distance efficace et pratique.
Quand le Zero Trust est-il le meilleur choix ?
ZTNA est généralement le choix le plus solide lorsque les utilisateurs ont besoin d'accéder à un ensemble défini d'applications plutôt qu'au réseau plus large. Cela le rend particulièrement adapté aux employés à distance, aux sous-traitants, aux partenaires et aux équipes de support externes dont les besoins d'accès peuvent être décrits précisément.
Par exemple, une politique de Zero Trust pourrait permettre aux membres du groupe finance d'accéder à l'application de comptabilité pendant les heures approuvées, à condition qu'ils utilisent des appareils gérés et une authentification multifactorielle. Ce type de règle est plus facile à examiner qu'une autorisation générale accordant l'accès au sous-réseau finance.
ZTNA est également bien adapté aux environnements distribués et orientés vers le cloud où les applications ne sont plus situées derrière un seul périmètre de bureau. En plaçant l'identité et la politique de ressources au centre de la décision d'accès, le modèle suit la charge de travail plutôt qu'une limite de réseau physique.
Y a-t-il un terrain d'entente ?
Oui. Plutôt que de forcer chaque flux de travail à travers une seule technologie, de nombreuses organisations peuvent utiliser ZTNA et VPN ensemble.
Les employés standard et les sous-traitants peuvent recevoir un accès au niveau de l'application via ZTNA ou un portail d'application sécurisé, tandis que les administrateurs réseau conservent un VPN étroitement contrôlé ou une passerelle d'accès privilégié pour les tâches nécessitant une connectivité au niveau IP. Les bureaux de branche peuvent continuer à utiliser des VPN site à site, et les applications héritées peuvent rester sur des itinéraires VPN restreints jusqu'à ce qu'elles soient modernisées ou publié de manière plus étroite .
Une transition progressive est généralement plus sûre qu'un remplacement soudain. Les équipes informatiques peuvent inventer des flux de travail à distance, séparer les exigences au niveau des applications des besoins au niveau du réseau, renforcer les contrôles d'identité, piloter une application contenue et supprimer le chemin VPN correspondant uniquement après avoir validé le nouveau chemin d'accès.
Comment TSplus s'intègre-t-il dans le tableau ?
TSplus Advanced Security protège les serveurs Windows et les environnements d'accès à distance. Plutôt que de remplacer un VPN ou d'agir en tant que plateforme complète d'accès réseau Zero Trust, il ajoute des contrôles au niveau du serveur qui peuvent renforcer l'un ou l'autre modèle d'accès.
Ces contrôles peuvent protéger les serveurs Windows derrière un VPN tout en ajoutant des restrictions basées sur les utilisateurs, les appareils, les emplacements et les heures de connexion. Ils soutiennent plusieurs principes de Zero Trust dans le cadre d'une architecture de sécurité plus large.
Protection contre les attaques par force brute et les IP malveillantes
Les services d'authentification accessibles sur Internet sont des cibles fréquentes pour les attaques par devinette de mots de passe et les analyses de réseau automatisées. Notre solution surveille les tentatives de connexion Windows échouées et peut automatiquement mettre sur liste noire l'adresse IP d'origine une fois le seuil configuré atteint.
La protection des adresses IP des hackers renforce cette défense avec une liste maintenue d'adresses associées aux logiciels malveillants, aux botnets, aux attaques en ligne et à d'autres activités malveillantes. Les administrateurs peuvent également gérer les adresses autorisées et bloquées via des règles de pare-feu, aidant à stopper le trafic indésirable avant qu'il n'atteigne un service Windows exposé.
Restrictions d'accès géographiques et contextuelles
La protection géographique permet aux administrateurs de contrôler l'accès en fonction du pays d'origine ou de l'adresse IP. Ils peuvent limiter les connexions aux pays approuvés, aux adresses privées et aux plages d'IP spécifiquement blanches, ce qui est utile lorsque des utilisateurs légitimes se connectent depuis des emplacements prévisibles.
Les heures de travail ajoutent des contrôles basés sur le temps pour les utilisateurs et les groupes, permettant aux administrateurs de définir quand les sessions peuvent être ouvertes et de réduire la disponibilité des comptes en dehors des périodes de travail attendues. Les appareils de confiance peuvent en outre limiter les connexions aux points de terminaison approuvés lorsque la méthode de connexion prend en charge l'identification des appareils.
Ces vérifications ressemblent aux contrôles contextuels utilisés dans les stratégies de Zero Trust. Cependant, les informations sur l'emplacement, le temps et l'appareil doivent rester des signaux de soutien plutôt que des preuves définitives qu'une connexion est fiable.
Autorisations granulaires et sessions sécurisées
Notre solution comprend des contrôles de permission pour examiner et gérer les privilèges des utilisateurs et des groupes. Les administrateurs peuvent restreindre l'accès aux fichiers, dossiers, objets de registre et imprimantes sur le serveur Windows protégé.
Les sessions sécurisées peuvent alors appliquer différents niveaux de sécurité à des utilisateurs et groupes spécifiques. Ensemble, ces fonctionnalités réduisent ce qu'un compte connecté peut accéder ou modifier après authentification.
Cette approche de moindre privilège au niveau du serveur peut limiter l'impact d'un compte compromis. Cependant, elle n'est pas équivalente à un moteur de politique ZTNA, qui sert normalement d'intermédiaire pour l'accès à des applications ou services individuels avant d'établir la connectivité réseau.
Protection contre les ransomwares
Notre solution surveille l'activité des serveurs pour détecter des comportements associés aux ransomwares. Elle combine des indicateurs statiques avec une analyse comportementale pour détecter une activité de fichier suspecte et réagir lorsque des ransomwares potentiels sont identifiés.
Cette protection est particulièrement pertinente lorsque des utilisateurs distants peuvent ouvrir des documents partagés ou écrire sur le stockage du serveur. Parce qu'un compte valide peut toujours être détourné pour exécuter des logiciels malveillants, sécuriser la connexion à elle seule n'est pas suffisant.
La protection contre les ransomwares devrait donc compléter les sauvegardes hors ligne testées, la gestion des correctifs, la protection des points de terminaison et les procédures de réponse aux incidents plutôt que de les remplacer.
Contrôles de pare-feu, Événements et alertes
TSplus Advanced Security peut appliquer des règles de blocage via le pare-feu Windows ou son pare-feu intégré. Les administrateurs peuvent bloquer des adresses hostiles, maintenir des listes blanches et examiner les restrictions réseau depuis l'interface de Sécurité Avancée.
Le tableau de bord affiche également les événements de sécurité récents, tandis que des alertes configurables peuvent notifier les administrateurs par e-mail, SMS ou Microsoft Teams lorsque des événements sélectionnés se produisent. Ensemble, ces fonctionnalités offrent une visibilité sur les connexions bloquées et d'autres activités qui peuvent nécessiter une enquête.
La surveillance reste essentielle dans les environnements VPN et Zero Trust. Les contrôles préventifs peuvent réduire les risques, mais les équipes informatiques doivent continuer à examiner les alertes, à enquêter sur les comportements inhabituels et à affiner les politiques à mesure que les exigences d'accès changent.
Conclusion
La différence centrale entre l'accès à distance Zero Trust et un VPN est l'étendue et le moment de la confiance. Un VPN crée généralement un chemin réseau chiffré après avoir authentifié un utilisateur ou un appareil. ZTNA accorde l'accès à une ressource spécifique après avoir évalué l'identité, l'appareil et les conditions contextuelles.
Un VPN reste approprié pour les connexions site à site, l'administration réseau, les protocoles hérités et les charges de travail qui nécessitent une connectivité au niveau IP. Le ZTNA est généralement mieux adapté aux employés, aux sous-traitants et aux partenaires qui n'ont besoin que d'applications ou de services sélectionnés.
De nombreuses organisations bénéficieront de la combinaison des deux approches. L'accès au niveau des applications peut évoluer vers le ZTNA, tandis que les connexions VPN restreintes restent disponibles pour les flux de travail qui nécessitent réellement un accès au réseau. Quel que soit le modèle choisi, une authentification forte, le principe du moindre privilège, la segmentation, le durcissement des serveurs et la surveillance continue restent nécessaires.