Sécurité
12 Min Lire

Zéro confiance, sécurité des applications Windows et GO-Global

Dernière mise à jour :
11 avril 2024
Retour au blog
Zéro confiance, sécurité des applications Windows et GO-Global

Zéro confiance, sécurité des applications Windows et GO-Global

Le terme "Zero Trust" a été inventé en 2010 par John Kindervag, analyste chez Forrester™ Research, pour décrire une nouvelle approche, considérablement plus stricte, des contrôles d'accès des utilisateurs et de la posture de cybersécurité que ce qui se faisait alors dans la pratique générale. L'expression dérive d'un proverbe russe "trust, but verify", qui a été adopté et souvent répété par Ronald Reagan pendant sa présidence.

Le modèle de sécurité "zéro confiance" est une approche de la stratégie, de la conception et de la mise en œuvre des systèmes informatiques. Comme le proverbe, la confiance zéro repose sur le fait que les utilisateurs et les appareils ne doivent pas être fiables par défaut, indépendamment de leur emplacement ou des relations de confiance antérieures.

Bien que le terme ait été utilisé pour la première fois en 2010, il a fallu une décennie pour que les architectures informatiques à confiance zéro l'emportent sur les pratiques traditionnelles en matière de cybersécurité et d'accès des utilisateurs. Traditionnellement, lorsqu'un utilisateur ou un appareil accède à un réseau, il se voit généralement accorder une grande confiance et de larges privilèges d'accès.

Toutefois, avec l'essor de l'informatique en nuage, la prolifération des appareils mobiles, l'augmentation des types de réseaux et les scénarios de travail en tout lieu qui sont devenus omniprésents pendant la pandémie, cette approche traditionnelle s'est avérée tristement insuffisante face aux menaces avancées d'aujourd'hui.

Les éditeurs de logiciels Windows® qui fournissent leurs applications à partir du nuage à des clients situés n'importe où fonctionnent avec ce scénario depuis des années. Cependant, les attaques étant de plus en plus sophistiquées et répandues, il est devenu essentiel pour les éditeurs de logiciels Windows de sécuriser leurs applications, les données de leurs clients et leur infrastructure de livraison d'applications. Chez GO-Global, nous avons constaté une augmentation significative du nombre d'ISV Windows incluant GO-Global® dans le cadre d'une initiative de confiance zéro pour la sécurité des applications Windows.

Que comprend une initiative "zéro confiance" et comment GO-Global peut-elle aider ?

Principes de la confiance zéro

La sécurité du périmètre était autrefois au cœur d'un plan de sécurité informatique complet. Cependant, la confiance zéro identifie cinq principes que les services informatiques doivent adopter dans le cadre de leur stratégie.

Protéger la surface:

Il s'agit de l'ensemble des utilisateurs, des appareils, des applications, des données, des services et du réseau sur lequel les données sensibles de l'entreprise sont transportées. En raison de la pandémie, les utilisateurs sont aujourd'hui beaucoup plus dispersés, de sorte que la surface de protection d'une organisation s'étend bien au-delà du réseau local de l'entreprise.

Les outils de cybersécurité de cette catégorie comprennent ceux qui vont au-delà de la périphérie du réseau pour se rapprocher le plus possible des applications, des données et des appareils, afin que les équipes de sécurité puissent identifier et hiérarchiser les applications, les données, les appareils et les utilisateurs qui doivent être sécurisés. En outre, les architectes de sécurité doivent comprendre l'emplacement des ressources critiques et savoir qui doit y avoir accès pour mettre en œuvre la solution la plus appropriée.

Contrôles actuels de la cybersécurité :

Après avoir cartographié la surface de protection, les équipes chargées de la sécurité et de l'informatique doivent identifier les contrôles déjà en place. Sont-ils déployés à l'endroit le plus approprié ? Doivent-ils être redéployés, réaffectés ou remplacés ?

Moderniser l'architecture et exploiter les nouveaux outils de cybersécurité :

Après avoir identifié la surface de protection mise à jour et l'ensemble actuel des outils de cybersécurité, que doit faire une organisation pour combler les lacunes ou remplacer les outils obsolètes ?

Parmi les exemples d'outils utilisés dans le cadre d'une modernisation de la confiance zéro, on peut citer la microsegmentation du réseau et les contrôles d'accès sécurisés pour les apps et les données à l'aide de l'authentification unique et de l'authentification multifactorielle. Pour identifier les menaces émergentes, de nouveaux outils de protection contre les menaces avancées, dont beaucoup sont pris en charge par l'IA, peuvent pousser les politiques de sécurité là où elles sont nécessaires dans l'ensemble du service de protection.

Appliquer une politique de confiance zéro détaillée :

Après avoir mis en place les technologies nécessaires, les administrateurs de la sécurité doivent créer un ensemble de normes strictes basées sur le principe du "moindre privilège", qui n'autorise l'accès qu'en cas d'absolue nécessité. Ces politiques de moindre privilège décrivent exactement quels utilisateurs et quels appareils doivent avoir accès à quelles applications et à quels services, quelles applications doivent avoir accès à quelles données, et quand cet accès est autorisé.

Une fois ces politiques élaborées, les administrateurs peuvent configurer les appareils et les outils de manière à ce qu'ils respectent les politiques prescrites.

Surveillance et alertes permanentes :

Même avec un cadre de confiance zéro en place, rien n'est totalement sûr. Les équipes de sécurité informatique doivent utiliser des outils de surveillance et d'alerte pour vérifier si les politiques fonctionnent et si le cadre de sécurité existant a développé des failles qui risquent d'être exploitées.

En cas d'activité malveillante, l'équipe doit immédiatement arrêter l'activité et procéder à une analyse des causes profondes afin d'identifier la cause et de corriger les failles qui ont créé la vulnérabilité. Les outils de sécurité modernes tels que la détection et la réponse réseau peuvent automatiser une grande partie de cette activité, réduisant ainsi le temps et l'investissement en personnel nécessaires.

Les défis à relever pour atteindre la confiance zéro

Bien qu'un modèle de sécurité de confiance zéro puisse offrir un retour sur investissement significatif, il est difficile à mettre en œuvre. Selon Gartner®, bien que de nombreuses organisations aient mis en œuvre un modèle de sécurité de confiance zéro dans le cadre de leur stratégie de cybersécurité, "seulement 1 % des organisations disposent actuellement d'un programme mature qui répond à la définition de la confiance zéro".

Les principaux défis à relever pour parvenir à la mise en œuvre complète d'une architecture de confiance zéro, telle que définie par Gartner, sont notamment les suivants

  • Même un léger défaut dans l'architecture du système peut invalider le modèle de confiance zéro.
  • Il n'existe pas de produit unique permettant d'atteindre la confiance zéro ; chaque organisation doit plutôt déterminer la combinaison de solutions et de pratiques qui fonctionnent avec son infrastructure et son architecture informatiques pour atteindre la confiance zéro.
  • Les organisations qui s'appuient sur des systèmes et des technologies d'entreprise hérités ne peuvent pas adapter un modèle de confiance zéro en raison d'une infrastructure obsolète.
  • L'adoption de la confiance zéro nécessite une augmentation immédiate des applications, des utilisateurs et des appareils à surveiller, un respect méticuleux des mises à jour et de la maintenance des logiciels et du matériel, ainsi que des audits réguliers ; de nombreuses organisations ne disposent pas du personnel, de l'expertise ou du budget nécessaires à une mise en œuvre complète.
  • Comme indiqué plus haut, une organisation ne peut pas se contenter de mettre en œuvre la confiance zéro et de s'en contenter. Pour mettre en œuvre la confiance zéro, l'informatique doit suivre un modèle de processus continu qui passe par les principes énumérés ci-dessus, puis recommence, ce qui exige une concentration sans relâche difficile à maintenir dans le temps.
  • Le modèle de confiance zéro doit évoluer en permanence pour s'adapter à la façon dont les menaces, la technologie et les objectifs et pratiques des entreprises changent au fil du temps. Pour illustrer la rapidité avec laquelle le modèle peut changer, notons que l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié son premier document de référence sur le modèle de maturité de la confiance zéro en août 2021, a publié une révision en mars 2022 et a publié une deuxième révision en avril 2023.

Pour de nombreuses organisations, la mise en œuvre complète d'une architecture de confiance zéro telle que définie par Gartner est presque impossible en raison du coût, des efforts et des bouleversements nécessaires pour y parvenir. Par exemple, une entreprise peut dépendre d'une ou plusieurs applications, systèmes ou technologies critiques pour son activité et ne pas pouvoir continuer à fonctionner sans cet investissement. Un éditeur de logiciels Windows peut ne pas avoir le temps, la bande passante ou le personnel nécessaire pour assurer la sécurité de l'application Windows en réécrivant cette application en tant qu'application web pour permettre le SSO, ou être réticent à aliéner potentiellement les clients qui aiment et dépendent de l'application en l'état en la remplaçant par une application web.

Cependant, il est tout à fait possible d'atteindre un pourcentage significatif de conformité avec le modèle de confiance zéro. Go-Global peut vous aider.

Comment GO-Global soutient le modèle de confiance zéro

Les éditeurs de logiciels Windows peuvent tirer parti de GO-Global pour s'aligner sur le modèle de confiance zéro dans plusieurs domaines :

Protéger la surface/le réseau

GO - Protocole de session global :

GO-Global repose sur un protocole propriétaire à faible largeur de bande pour la connectivité sur les lignes série, appelé RapidX Protocol (RXP). RXP est adaptatif, utilise plusieurs couches de compression et est optimisé pour garantir une utilisation aussi faible que possible de la bande passante. Le RXP étant une source fermée, il offre une défense supplémentaire contre les attaquants, par rapport aux protocoles à source ouverte tels que Microsoft® RDP, où des faiblesses en matière de sécurité ont été trouvées et exploitées.

Chiffrement de la session du client :

Par défaut, GO-Global crypte les sessions en utilisant DES (DataEncryption Standard) avec une force de clé de 56 bits pour toutes les connexions de session client afin de se protéger contre les renifleurs de paquets de base et les clients interceptant les communications de données brutes. Il est rapide, fiable et offre un niveau immédiat de sécurité pour les connexions basées sur le réseau local via GO-Global.

Pour les communications internet, GO-Global offre un transport basé sur TLS avec les algorithmes de cryptage suivants : 128-bit RC4, 168-bit 3DES et 256-bit AES. Ces algorithmes de cryptage plus élevés nécessitent que l'administrateur applique un certificat TLS signé sur l'hôte, qui peut être généré en utilisant n'importe quelle autorité de certification standard. Les administrateurs peuvent également générer des certificats TLS de confiance pour les hôtes GO-Global via l'onglet Sécurité de la boîte de dialogue Options de l'hôte dans la console d'administration, où l'hôte GO-Global a une adresse DNS publiquement enregistrée. Cela permet aux administrateurs d'activer un cryptage fort et une sécurité TLS sans acheter un certificat auprès d'une autorité de certification tierce.

Proxy Server Tunneling :

GO-Global prend en charge le tunnelage du serveur proxy, également connu sous le nom de HTTP Connect. Cela permet à un utilisateur qui accède à l'internet via un serveur proxy de se connecter aux hôtes GO-Global sur l'internet. Lorsque vous utilisez un serveur proxy, gardez à l'esprit que, par défaut, tout le trafic est refusé sur tous les ports de l'hôte, de sorte que l'hôte GO-Global doit être configuré pour accepter les connexions sur le port 443 uniquement.

Authentification Windows intégrée :

Les administrateurs peuvent améliorer la sécurité du réseau des utilisateurs finaux de GO-Global en désactivant l'authentification standard (demande de nom d'utilisateur et de mot de passe) et en activant l'authentification Windows intégrée dans l'onglet Authentification de la boîte de dialogue Options de l'hôte dans la console d'administration. Avec cette configuration, tous les clients non-Windows se voient refuser l'accès aux hôtes GO-Global, de sorte que les utilisateurs finaux GO-Global doivent se connecter à leurs systèmes d'exploitation clients Windows avec un compte Active Directory auquel l'hôte GO-Global fait confiance. En outre, les comptes d'utilisateurs locaux de l'hôte de GO-Global ne sont pas autorisés à accéder. L'utilisateur est authentifié en tant que membre du groupe NETWORK et l'accès aux ressources du réseau à partir de l'hôte GO-Global est limité.

Protéger l'accès aux surfaces, aux utilisateurs et aux appareils

Comme indiqué ci-dessus, la confiance zéro suppose que les réseaux internes et externes sont potentiellement compromis et qu'aucun utilisateur ou appareil ne devrait être automatiquement fiable. La confiance zéro implique que la vérification, l'authentification et l'autorisation des utilisateurs et de leurs appareils doivent être appliquées pour que les utilisateurs puissent se connecter et utiliser le système informatique, les applications et les données.

Voici comment chaque concept est défini dans une architecture de confiance zéro.

La vérification est le processus qui consiste à confirmer l'exactitude d'une affirmation, par exemple l'identité d'un utilisateur. Lorsqu'un utilisateur saisit un nom et un mot de passe, le système vérifie que ce nom d'utilisateur et ce mot de passe sont associés à un compte particulier.

L'authentification consiste à fournir une preuve d'identité lors de l'accès à un système. Avant la confiance zéro, l'authentification était généralement aussi basique qu'un nom d'utilisateur et un mot de passe. Avec la confiance zéro, l'authentification va au-delà des noms d'utilisateur et des mots de passe pour inclure l'authentification multifactorielle (AMF), les mots de passe à usage unique, les codes PIN, les cartes à puce et la biométrie.

L'autorisation détermine les droits d'accès d'un utilisateur, c'est-à-dire ce à quoi un utilisateur ou un appareil est autorisé à accéder ou à faire dans le système ; par exemple, les applications qu'un utilisateur a le droit d'ouvrir et d'utiliser.

Les technologies d'authentification unique (SSO) et d'authentification multifactorielle (MFA) sont le plus souvent appliquées pour permettre l'accès des utilisateurs et des appareils dans une architecture de confiance zéro. GO-Global permet les deux.

L'authentification à deux facteurs de GO-Global est une fonction d'authentification avancée qui fournit une couche supplémentaire de sécurité en demandant aux utilisateurs d'entrer un code à 6 chiffres à partir d'une application d'authentification de téléphone intelligent (par exemple, Google Authenticator, Authy, et Microsoft Authenticator), en plus de leur nom d'utilisateur et de leur mot de passe. Ainsi, même si le mot de passe d'un utilisateur est compromis, l'attaquant ne pourra pas accéder au système hôte s'il n'a pas accès au téléphone déverrouillé de l'utilisateur. Cela rend inutiles les recherches de mots de passe par force brute et par dictionnaire, ce qui est particulièrement critique lorsque le travail à distance avec des clients de bureau à distance vulnérables devient la norme. Le 2FA réduit également le fardeau que représente la mise en place d'une politique de mots de passe complexes.

GO-Global+ SSO : la prise en charge d'OpenID Connect par GO-Global permet aux ISV Windows d'utiliser des fournisseurs d'identité modernes comme Okta™, OneLogin, Microsoft Active Directory Federated Services (ADFS), et Microsoft Azure® AD Seamless SSO pour permettre l'authentification unique dans les hôtes Windows de GO-Global®.

GO-Global permet aux services informatiques d'intégrer n'importe quel fournisseur d'identité qui prend en charge OpenID Connect directement dans ses hôtes, ce qui leur permet de partager les hôtes Windows entre les utilisateurs qu'ils authentifient déjà pour les applications web. La prise en charge d'OpenID Connect par GO-Global élimine le besoin de contrôleurs de domaine sur le réseau de l'entreprise, de fournisseurs d'informations d'identification personnalisés pour une authentification forte et de connexions interactives.

Sans GO-Global, les éditeurs de logiciels Windows qui souhaitent ajouter le SSO devraient acheter des solutions coûteuses et complexes telles que Citrix NetScaler® Unified Gateway intégré à Citrix Hypervisor®.

Protéger la surface/la sécurité de l'application

GO-Global n'installe ni ne maintient sa propre base de données d'utilisateurs ou d'applications. Au lieu de cela, il hérite de tous les aspects de la sécurité des utilisateurs et des données du système d'exploitation Windows Server®. Les paramètres de sécurité pour l'utilisateur et l'application sont configurés au niveau du système d'exploitation Windows® et sont transmis à GO-Global pendant le processus de connexion.

En outre, les autorisations de fichiers, dossiers, partages, imprimantes et registres de Windows sont toutes respectées par GO-Global et sont essentielles à la sécurité de tout système Windows. À moins que les utilisateurs finaux ne reçoivent des privilèges d'administrateur ou des privilèges élevés, ils ne seront pas en mesure d'accéder aux dossiers du système, de corrompre ou de briser le serveur, ou de causer d'autres menaces à la sécurité.

GO-Global recommande d'utiliser les stratégies de groupe de Windows pour tous les paramètres de sécurité du système, en particulier dans une ferme de serveurs à charge équilibrée, afin d'assurer la cohérence entre tous les hôtes.

Application d'une politique de confiance zéro détaillée

Installation de base et paramètres par défaut : GO-Global est facilement installé en utilisant un seul exécutable d'installation sur l'hôte qui installera ou mettra à jour le logiciel GO-Global. Une fois l'installation terminée, l'hôte doit être redémarré pour initialiser les paramètres du registre et pour activer le logiciel et les pilotes de GO-Global.

Par conception, toutes les options de configuration de GO-Global qui permettent le partage des ressources du serveur ou du client sont désactivées. De plus, GO-Global ne publie aucune application par défaut. La configuration de l'hôte GO-Global, la gestion et les fonctions liées à la sécurité sont accessibles via la console d'administration sous le menu Options de l'hôte. Les administrateurs peuvent publier des applications, surveiller l'activité de l'utilisateur et de l'hôte, et activer des fonctions telles que l'impression du client, le presse-papiers du client, le cryptage et l'authentification à l'aide de ce menu.

Si vous êtes un ISV Windows à la recherche de solutions pour permettre une architecture de confiance zéro pour fournir vos applications aux clients, considérez GO-Global et son système de sécurité multicouche, y compris SSO et MFA.

Pour voir les tarifs de GO-Global pour les utilisateurs simultanés avec SSO, et calculer votre tarif GO-Global estimé, cliquez ici.

Pour demander une démonstration, cliquez ici; pour un essai gratuit de 30 jours de GO-Global, cliquez ici.

Essai gratuit de 30 jours
Demander une démonstration
Auteur
Nannette Vilushis
Directeur du marketing

Essayez GO-Global

Une solution simple, conviviale et rentable

Essai gratuit de 30 jours
Demander une démonstration

Postes connexes

Parcourir tous les messages
Vulnérabilité Citrix Bleed
Sécurité
5 Min Lire
Quel est le niveau de sécurité de RDP ?
Sécurité
5 Min Lire
Le SSO des applications Windows est-il réalisable ?
Sécurité
5 Min Lire

Réduisez le coût et la complexité de la mise en œuvre de votre application Windows

S'abonner à notre lettre d'information
Merci de vous inscrire à notre lettre d'information.
Oups ! Un problème s'est produit lors de l'envoi du formulaire.