Architecture de sécurité dynamique et souple Par Andreas M. Antonopoulos Vice-président principal et partenaire fondateur - Nemertes Research Résumé Non seulement l'approche de Rube Goldberg à l'égard de la sécurité est impossible à gérer, mais elle est risquée : même le concept répandu de «défense en profondeur» doit être repensé à l'égard de la mobilité et de la souplesse. Il existe un écart énorme entre l'évolution des entreprises et la rapidité à laquelle progresse la sécurité des TI. La seule façon de combler cet écart consiste à abandonner les anciens modèles et à mettre en œuvre une nouvelle architecture plus souple et plus sécurisée. Cette nouvelle architecture de sécurité est davantage axée sur l'identité que sur la localisation, car elle applique une politique centralisée et un contrôle réparti sur tous les types de réseau : avec fil, sans fil, mobile sans fil, accès à distance et privé virtuel. La problématique : Anciens modèles de sécurité vs nouveaux modèles de TI d'entreprise Alors que les technologies de l'information (TI) d'entreprise sont progressivement devenues plus dynamiques, plus mobiles, plus ouvertes, plus extériorisées et plus collaboratives, leur sécurité croupit dans une architecture statique, localisée et inextensible. Une sécurité axée sur la localisation nuit aux entreprises, leur laissant la seule option de créer des règles rigides qui freinent l'innovation et la mobilité. Dans une infrastructure de sécurité axée sur la localisation où le niveau de sécurité relève de périmètres en couches, l'accès des utilisateurs dépend de leur emplacement plutôt que de leur identité. Par conséquent, lorsque les utilisateurs adoptent la «mobilité», l'infrastructure les pénalise car ils n'ont plus accès aux mêmes applications. De plus, les contrôles de sécurité rigides ralentissent le niveau d'innovation à l'échelle de l'entreprise. Les équipes des TI sont incapables de déployer rapidement de nouvelles applications, de lancer de nouveaux types de dispositifs ou d'accéder à de nouveaux partenaires, fournisseurs ou clients. La sécurité devient le facteur d'inhibition de l'innovation : l'engrenage le plus lent du système qui ralentit tout le reste. Pire encore, le ralentissement de l'innovation n'est pas un compromis nécessaire résultant en une sécurité plus efficace - la sécurité axée sur la localisation et statique est moins réceptrice au changement, plus complexe et plus susceptible de provoquer des erreurs humaines. En pratique, les entreprises renoncent à l'innovation pour une sécurité illusoire plutôt que pour une sécurité réelle. Les entreprises doivent transformer leur infrastructure de sécurité, éliminer les contrôles localisés et mettre en œuvre une nouvelle architecture axée sur l'identité propice à une sécurité dynamique, souple, mobile et régie par des politiques. 1
Défis de l'entreprise mobile dynamique Les affaires ont considérablement évolué au cours des dernières années. Les entreprises créent une valeur importante en collaboration avec leurs partenaires et leurs clients. La collaboration entre des équipes ad hoc disséminées partout dans le monde est devenue la norme. Les employés et les clients désirent accéder aux données en tout temps et en tout lieu à l'aide du format de dispositif le plus approprié et le plus pratique. Les appareils des clients comme les tablettes et les téléphones intelligents envahissent l'entreprise, introduits par des employés jonglant simultanément avec des gadgets grand public, des applications de TI d'entreprise et des activités ludiques. Cette situation peut s'excuser comme étant un engouement éphémère. Pourtant, des entreprises de TI progressistes ont utilisé ces tendances pour prolonger les heures de travail, pour accroître leur productivité et pour stimuler considérablement leur position concurrentielle. Ces entreprises utilisent des dispositifs grand public, des médias sociaux, des applications grand public ainsi que des applications composites pour concevoir de nouvelles pratiques commerciales souples et pour permettre à leurs employés de communiquer efficacement à l'interne, avec les clients et avec les partenaires. Le paysage classique des logiciels d'affaires est aussi en métamorphose. Pour de nombreuses entreprises, les TI étaient articulées autour de l'homogénéité : un seul système d'exploitation, un seul type d'ordinateur de bureau, des applications fixes «approuvées» et des processus commerciaux uniformes. Les TI sont peut-être officiellement limitées à Windows de Microsoft, mais il suffit de jeter un coup d'œil sur le bureau des employés (particulièrement ceux des membres de la direction) pour constater une nouvelle réalité : des douzaines de dispositifs à compatibilité partielle offrant une gamme variée de systèmes d'exploitation pour ordinateurs de bureau (Windows 7, Mac OS X, RedHat, Ubuntu et autres versions de Linux), des systèmes d'exploitation pour tablettes (ios, Android, WebOS) et des systèmes d'exploitation pour téléphones intelligents (Blackberry OS, ios, Android, Symbian, Windows Mobile, WebOS). Il s'agit là uniquement des systèmes d'exploitation connectés au réseau de l'entreprise. À ces derniers s'ajoutent plusieurs applications à l'infonuagique, en commençant par les solutions SaaS (Softwareas-a-Service) qui s étendent de plus en plus bien au-delà des outils de gestion des relations avec les clients et de planification des ressources d'entreprise, à la fois simples (consignation de notes de frais) et complexes (médias sociaux et collaboration). Un choix impossible De nos jours, les équipes responsables de la sécurité d'entreprise sont confrontées à une alternative impossible : ils doivent choisir entre un modèle d'affaires vibrant, mobile et dynamique et un modèle «sécurisé». La sécurité conventionnelle peut être l'antithèse du modèle dynamique, souple et mobile. Si les équipes de la sécurité utilisent surtout des listes ACL de couche 3, des grands réseaux, des pare-feux périmétriques et d'autres dispositifs de contrôle localisés, ces types d'autorisation deviennent des obstacles redoutables pour l'entreprise. Chaque fois qu'un groupe commercial demande une nouvelle application, l'équipe de la sécurité doit adapter l'architecture de sécurité en conséquence. De nouveaux dispositifs pour utilisateurs finaux ne peuvent pas être introduits, car ils ne sont pas sécurisés. Les utilisateurs mobiles doivent accepter un compromis et n'accéder qu'à un sous-ensemble d'applications au moyen de solutions à distance compliquées. Pour l'équipe responsable de la sécurité, ce «choix impossible» donne lieu à des contraintes impossibles; si elle ne dispose que d'une architecture de sécurité désuète, sa seule réponse ne peut être autre que «NON». Tout nouveau développement se bute à un mur dès que la sécurité est prise en considération. 2
Les groupes commerciaux exigent des TI plus souples et ouvrent fréquemment leurs bourses pour obtenir ce qu'ils veulent : se procurer une infrastructure d'infonuagique et des applications SaaS sans trop faire intervenir les TI. Pire cauchemar pour l'équipe de la sécurité des TI, cette tendance est simplement le résultat de son impuissance à satisfaire les exigences commerciales. En fin de compte, le rôle de la sécurité de l'information consiste à «permettre» à l'entreprise de prendre les risques raisonnables sans perdre le contrôle. Toutefois, lorsque la sécurité est incapable de s'adapter au changement, elle devient un boulet qui ralentit le changement et qui nuit progressivement à la position concurrentielle de l'entreprise. Les entreprises en mesure de résoudre ce «choix impossible» peuvent transformer la sécurité contraignante en agent favorable au changement. Une infrastructure de sécurité souple et dynamique permet aux responsables de la sécurité de dire «OUI» à la mobilité, aux tablettes, aux applications composites, à la collaboration et au déploiement accéléré des applications, et même en réduisant les risques. Une nouvelle architecture dynamique, mobile et souple Lorsque la plupart des activités commerciales étaient «locales», la majorité des modèles de sécurité étaient axés sur la localisation. Une sécurité axée sur la localisation compte principalement ou exclusivement sur l'emplacement d'un dispositif de réseau pour prendre les décisions relatives à l'application des contrôles d'accès. Par conséquent, si un pare-feu définit un «périmètre», les décisions de sécurité sont prises par le pare-feu selon que le dispositif se trouve à «l'intérieur» ou à «l'extérieur» du périmètre. Essentiellement, les décisions relèvent de l'adresse IP et au sous-réseau attribués au dispositif. Cela fonctionne lorsque les utilisateurs possèdent un dispositif unique peu mobile (ordinateur de bureau), installé dans une infrastructure fixe. Avec le temps, les équipes de la sécurité ont élargi ce modèle pour qu'il couvre des périmètres successivement plus «fiables», de plus en plus profondément sur le réseau. On obtient donc des architectures d'application à 3 niveaux, où le «cœur» de l'application se trouve dans le périmètre le plus à l'intérieur et où les couches de sécurité forment des cercles concentriques successifs autour du cœur. La sécurité en couches et la défense en profondeur ne sont pas percées pour autant. Ce sont plutôt les couches statiques et les périmètres statiques qui sont percés. Les désavantages de ce modèle deviennent plus apparents en cas de déplacement d'un dispositif, soit un serveur (VMotion ou Live Migration) ou un client (dispositif mobile). Lorsque la mobilité est introduite, l'architecture des couches concentriques de la sécurité devient plutôt un obstacle au changement. Pour résoudre cette situation, les équipes de la sécurité recourent souvent aux manipulations de réseau, comme le perçage de pare-feux, en utilisant des grands réseaux et des réseaux privés virtuels pour réunir des «zones» de sécurité et en changeant constamment les règles du pare-feu en fonction des nouvelles applications. La raison pour laquelle les équipes de la sécurité ont recours à des solutions «peu conventionnelles» réside dans le fait qu'il est impossible de mapper un ensemble dynamique d'utilisateurs et d'applications dans une architecture de sécurité statique et localisée. Inévitablement, le système devient trop complexe à gérer. Les entreprises dynamiques mobiles et souples d'aujourd'hui exigent une sécurité tout aussi dynamique, souple et mobile. Le modèle de sécurité qui répond à cette exigence est un modèle axé sur l'identité indépendante de la localisation et favorable à l'identification des utilisateurs et des applications. Dans un tel modèle, les contrôles de sécurité sont principalement orientés sur qui vous êtes plutôt que sur où 3
vous êtes sur le réseau. Certes, la localisation peut être tenue en considération, mais ce n'est qu'un des attributs dont tient compte la politique en matière de sécurité. Le plus important attribut est l'identité de l'utilisateur, qui est en fait le principal élément de contrôle d'accès aux applications et à l'infrastructure. L'identité de l'utilisateur est aussi essentielle aux fonctions d'identification, de surveillance et de vérification pouvant servir à déterminer, pour des raisons de conformité à la réglementation ou à la politique, l'utilisateur entrant, l'élément faisant l'objet de la demande d'accès et le moment de l'opération. Une infrastructure axée sur l'identité est constituée de trois principaux composants architecturaux : les dispositifs utilisés, les outils d'application des politiques et les décisions prises en fonction des politiques. Le cœur de l'architecture est constitué d'un modèle de politiques (composant décisionnel) permettant de centraliser la gestion des politiques imposées aux utilisateurs de l'entreprise. Le modèle des politiques prend en charge les décisions prises en comparant les attributs (identité de l'utilisateur, type de dispositif, localisation, heure du jour, application, etc.) aux politiques d'accès dynamiques. Par exemple, une politique peut autoriser un groupe particulier d'utilisateurs (ex. : infirmières) à accéder à une application spécifique (ex. : dossiers des patients) à partir de postes de travail donnés, à des heures données et sur des réseaux donnés. En centralisant la gestion des politiques, le modèle permet aux entreprises d'uniformiser leurs politiques sur l'ensemble du réseau et même d'élargir leur champ d'activité afin d'accueillir des applications externes (ex. : SaaS). Les deux autres composants d'une architecture dynamique, mobile et souple sont les dispositifs utilisés et les outils d'application des politiques. Les dispositifs utilisés correspondent non seulement aux appareils dont se servent les utilisateurs, mais aussi les applications, les bases de données, les serveurs et autres instruments connectés au réseau. Les outils d'application des politiques sont représentés par les divers dispositifs de sécurité ou de réseau (routeurs, commutateurs, etc.) pouvant régir les contrôles d'accès. Alors que les outils d'application sont répartis sur l'ensemble du réseau, les politiques sont confinées au modèle. Cette centralisation signifie que les équipes responsables de la sécurité peuvent modifier les politiques en un point donné et introduire rapidement de nouvelles applications, de nouvelles zones logiques et de confiance, de nouveaux dispositifs et de nouveaux processus commerciaux. Comme les outils d'application sont répartis, les dispositifs peuvent être déplacés d'un segment de réseau à un autre ou passer de réseaux câblés à des réseaux sans fil et à des réseaux sans fil mobiles tout en conservant l'uniformité des politiques d'accès et de l'utilisation des applications. Exemple de sécurité axée sur l'identité et d'incidence sur les activités commerciales En appliquant une sécurité axée sur l'identité reposant sur la gestion centralisée des politiques, les entreprises peuvent s'assurer que leur architecture de sécurité est aussi souple que leurs pratiques de travail. Les politiques sont toujours liées aux utilisateurs; par conséquent, même si les utilisateurs se déplacent, passent de réseaux câblés à des réseaux sans fil, de leurs ordinateurs de bureau à des tablettes ou changent d'une application à l'autre, leurs politiques de sécurité les «suivent». Examinons, par exemple, une politique axée sur l'identité régissant une entreprise de soins de santé. La politique définit «qui» peut accéder à «quoi», «quand» et «où». Les attributs sont établis d'une façon dynamique et souple, indépendante de l'architecture du réseau, des dispositifs utilisés ou de la situation géographique. 4
Figure 1 : Architecture de sécurité dynamique et souple Qui : utilisateur déterminé en fonction de son rôle ou de son groupe. Dans le cadre d'un modèle axé sur l'identité, contrairement à un modèle de sécurité classique, l'utilisateur conserve son identité, peu importe le dispositif, le réseau et l'application utilisés. Toutes les opérations que cet utilisateur exécute ou reçoit sur le réseau sont clairement liées à l'identité de l'utilisateur et peuvent être contrôlées par la politique centrale. Par exemple, on peut identifier une infirmière et lui attribuer une politique appropriée, peu importe qu'elle utilise un kiosque/terminal, un ordinateur de bureau câblé ou une tablette dans fil. L'identité de l'utilisateur est aussi essentielle pour consigner, pour surveiller et pour vérifier l'accès au système, peu importe le dispositif utilisé ou l'emplacement. Quoi : profil d'application, défini en fonction de son identité plutôt que selon les ports TCP ou les adresses IP, et rattaché de façon dynamique à des serveurs, à des ports et à des adresses IP spécifiques. Plutôt que d'autoriser l'accès au port 10.1.2.3, la politique permet d'accéder à «gestion des relations avec les clients», peu importe que l'application est offerte sur 1 ou 10 serveurs, que l'équilibre des charges est généré de façon dynamique ou géographique, ou encore que l'application est reprise par un centre de données auxiliaire ou livrée comme une application SaaS à l'aide de l'authentification SAML (Security Assertion Markup Language). Des applications peuvent être ajoutées à cette politique sans avoir à modifier les pare-feux et les dispositifs de contrôle d'accès de l'infrastructure. 5
Quand : les politiques d'un modèle de sécurité axé sur l'identité prévoient aussi le contrôle d'attributs comme l'heure du jour. Par conséquent, il est possible de déterminer qu'une infirmière est uniquement autorisée à accéder au système de médication des patients entre 13 h et 15 h. Où : un modèle souple de politique axé sur l'identité peut utiliser la localisation ou le type de réseau (câblé ou sans fil) comme un des attributs de contrôle d'accès. Toutefois, contrairement à une politique axée sur la localisation, l'emplacement n'est qu'un seul attribut considéré et ne constitue pas l'attribut déterminant. Ce modèle permet de contrôler aisément l'accès aux données en fonction de la localisation (ex. : interdire le transfert de dossiers médicaux au-delà d'une frontière nationale au titre de la HIPAA), sans que l'emplacement constitue toutefois un obstacle inutile (accès autorisé aux applications pharmaceutiques uniquement sur le réseau local du bâtiment Est, derrière le pare-feu). Transition entre la sécurité axée sur la localisation et la sécurité axée sur l'identité Pour passer d'un modèle de sécurité axé sur la localisation à un modèle axé sur l'identité, il est nécessaire de changer la façon d'évaluer et d'acheter des solutions de sécurité. Avant de faire l'acquisition d'une solution axée sur l'identité, voici quelques questions clés à considérer : Quel est le principal attribut de sécurité à l'égard des politiques de contrôle d'accès (adresse IP ou utilisateur)? Est-ce que la solution de sécurité assure un contrôle centralisé des politiques sur tous les réseaux (câblés, réseau local sans fil, réseau mobile sans fil, accès à distance/réseau privé virtuel)? Est-ce qu'un utilisateur peut se déplacer d'un réseau à un autre en vertu de la même politique (ou établir une politique à chaque emplacement)? Est-ce qu'un serveur peut être déplacé sans que la politique de sécurité soit modifiée? Est-ce qu'une nouvelle application peut être ajoutée sans que les outils d'application soient modifiés (ex. : pare-feux)? Est-ce que l'accès d'un utilisateur peut être surveillé de bout en bout sur plusieurs dispositifs, peu importe l'adresse IP ou l'emplacement sur le réseau? 6
Conclusions et recommandations Les architectures de sécurité statiques nuisent aux activités hautement dynamiques, mobiles et interconnectées. La sécurité peut devenir un obstacle à l'innovation, à l'adoption de technologies et à la compétitivité de l'entreprise. La plupart des investissements alloués à la sécurité ne résoudront pas l'incompatibilité entre la sécurité axées sur la localisation et les entreprises qui cherchent à universaliser leurs activités, peu importe le lieu, le moment et les dispositifs utilisés. Il est essentiel de planifier une transition vers un modèle de sécurité axé sur l'identité, contextuel et dynamique, reposant sur une architecture capable de centraliser les politiques et de répartir leurs mises en application. Ce n'est qu'à cette condition que les utilisateurs disposeront de la latitude nécessaire à une production et à une collaboration dépourvues d'obstacles, et permettront à l'entreprise d'accroître sa réceptivité au changement et à l'innovation ainsi que sa position concurrentielle. À propos de Nemertes Research : Nemertes Research est un cabinet d études spécialisé dans l analyse et la mesure de la valeur commerciale des technologies émergentes. De plus amples renseignements sur Nemertes Research sont offerts sur notre site Web, www.nemertes.com; vous pouvez aussi nous joindre directement à research@nemertes.com. 7