Les conseils de Google pour se passer de VPN
Suite à une attaque de grande ampleur subie en 2009, Google a développé une stratégie pour permettre à ses employés de travailler depuis des réseaux non approuvés sans avoir recours à un VPN. Ainsi est né BeyondCorp, modèle de sécurité pour les entreprises qui se base sur des réseaux zéro confiance qui offre un contrôle d'accès non plus au niveau du périmètre réseau, mais au niveau des appareils et utilisateurs individuels.
En début de semaine, Max Saltonstall, un membre du bureau du CTO de Google, a expliqué dans un billet de blog pourquoi la multinationale a adopté l’approche de sécurité BeyondCorp et comment elle l’a mise en place.
C’est après avoir été victime d’une attaque APT de grande ampleur en 2009 que la compagnie de Mountain View avait décidé de repenser son architecture de sécurité. Une initiative qui a donné naissance à BeyondCorp, framework Zero Trust qui déplace la gestion des contrôles d'accès du périmètre (notion de plus en plus floue avec les équipes distribuées, le BYOD, les app…) vers les appareils et les utilisateurs individuels. Il s’agit de «permettre aux employés de travailler en toute sécurité, de n'importe où, sans avoir besoin d'un VPN traditionnel», explique le site de BeyondCorp. Le tout en gardant la maitrise de qui accède à quelles données.
Qui et avec quelle machine?
Le premier conseil de l’auteur de ce post est de bien documenter (et mettre à jour) les rôles et responsabilité de chacun et les appareils qu’ils utilisent pour travailler. Il s’agit ici de définir précisément qui a besoin de quels accès, et depuis quelles machines. Pour cela, Google a dû mettre en place un «méta-inventaire» regroupant toutes les données que regroupait l’entreprise sur son parc d'appareils via divers systèmes: outils de gestion d’actifs, serveurs DHCP, Wireless Access logs, tickets du support technique. Le Californien peut ainsi évaluer l’état de santé de chaque appareil qui veut accéder à des données de l’entreprise et la confiance qu’il peut placer en lui. «Prenez le temps d'acquérir une solide compréhension de ce que les gens font et de la santé de leurs appareils. Ces deux éléments constituent une base essentielle pour le contrôle d'accès contextuel», conseille en conclusion Max Saltonstall aux entreprises qui souhaiteraient mettre en place un modèle de sécurité qui se base sur des réseaux zéro confiance.