BeyondCorp idéale pour restreindre l'accès à vos sites

Chaque entreprise dispose d’un site internet interne, qui contient souvent certaines des données les plus importantes pour une entreprise. Vous devez donc les protéger pour protéger ces données. Ce n’est pas une
idée nouvelle, car les entreprises créent des VPN (réseaux privés virtuels) pour restreindre l’accès à leurs réseaux internes depuis des décennies. Mais une fois que Google s’est méfié de cette approche en 2009 après la tentative de piratage de l’opération Aurora , ils ont décidé de passer à un modèle de sécurité zéro confiance, où chaque demande est traitée comme si elle provenait d’un réseau qui pourrait être compromis. Cela a donné naissance à BeyondCorp , un modèle théorique pour protéger toutes vos applications sans l’utilisation d’un VPN.

Cette idée a été largement saluée par les chercheurs en sécurité, bien que les guides pratiques de démarrage sur les plates-formes cloud les plus populaires soient encore limités. Ceci malgré le fait que le livre blanc de Google expliquant l’idée a été publié en 2014. Nous l’avons compris, BeyondCorp est complexe. Il vous demande d’examiner chaque demande circulant dans votre système et de valider sa légitimité sur la base de plusieurs sources de données : d’où vient la demande, qui l’envoie, quel est l’état de sécurité de cette source, etc.  C’est beaucoup demander! Mais nous pensons également que démarrer avec BeyondCorp est beaucoup plus facile que beaucoup ne le pensent, et que les gains de sécurité peuvent être immédiats.Cet article de blog vise à fournir un guide de mise en œuvre pratique pour l’utilisation de la sécurité BeyondCorp sur vos sites Web internes hébergés dans AWS. Transcend, utilise la sécurité BeyondCorp pour garantir la sécurité de notre IP et des données de nos utilisateurs.
<br>

Assez de mots à la mode. À quoi cela ressemblerait-il en tant qu’utilisateur ?

BeyondCorp est rempli de mots à la mode. C’est zéro confiance. C’est sans périmètre. C’est sensible au contexte. C’est sûr que c’est beaucoup de phrases sympas. Mais à quoi cela ressemble-t-il dans la vraie vie ? Eh bien, voyons ce qui se passe lorsque qu’on vas sur le site interne des laboratoires de code de Transcend, où  l’authentification BeyondCorp a été configuré avec les informations d’identification GSuite d’une entreprise : Lorsque j’essaie de charger le site, il me demande de me connecter avec mes informations d’identification GSuite. Notez que cela inclut une exigence de jeton MFA matériel qui est facilement applicable à l’ensemble d’une organisation GSuite (et de nombreux autres fournisseurs d’identité). Une fois que j’aurai accès au site, je n’aurai pas besoin de me connecter à des systèmes internes pendant une heure.

Pour voir par vous-même, rendez- vous sur codelabs.dev.trancsend.com. Bien que le DNS soit public, seuls nos employés internes peuvent accéder à nos didacticiels internes, et vous ne serez pas autorisé à entrer à moins que vous n’ayez une @transcend.ioadresse e-mail.

Remarque : vous pouvez consulter certains de nos didacticiels accessibles au public sur codelabs.transcend.io

En quoi est-ce mieux qu’un VPN ?

Les VPN créent une sécurité « coquille d’œuf », où toutes les protections se produisent au périmètre. Une fois que l’accès est obtenu dans un système, toutes les données àl’intérieur de ce réseau sont accessibles. Et avec l’essor du travail à distance, des téléphones portables et d’autres appareils mobiles, votre
réseau « sécurisé » d’appareils de confiance ne cesse de s’élargir.

En revanche, BeyondCorp encourage une authentification cohérente dans toutes les parties d’une application pour tous les appareils. Peu importe quel appareil tente d’accéder à codelabs.dev.trancsend.com, même l’ordinateur portable de notre PDG devra s’authentifier en toute sécurité avant de visualiser le contenu du site.

Les VPN sont un vecteur d’attaque supplémentaire. Lorsqu’un pentester ou un pirate informatique tente d’attaquer votre réseau, une approche très courante consiste à rechercher des vulnérabilités sur n’importe quel serveur public qu’il peut trouver. Souvent, les systèmes tels que les points d’accès VPN sont une cible
principale.  Voici une histoire ù un chasseur de primes de bogues a attaqué Facebook en utilisant cette approche. Lorsqu’il a eu accès à l’un de leurs serveurs internes, il aremarqué des fichiers restants d’un autre pentester qui avait utilisé la même vulnérabilité pour voler un petit nombre d’informations d’identification internes.

Les exploits liés aux CVE (vulnérabilités et expositions communes) sur les serveurs VPN sont trop fréquents, comme le moment où plus de 900 serveurs VPN d’entreprise ont vu leurs mots de passe vidés, ou lorsqu’une implémentation VPN couramment utilisée permettait un accès direct aux périphériques d’E/S . Ou le temps où Lockheed Martin qui (malgré un effort solide pour inclure MFA sur leur VPN) était encore attaqué par un groupe qui avait trouvé les graines aléatoires utilisées pour générer des tokens sur leurs tokens MFA matériels .

Et si vous utilisez le réseau WiFi de votre entreprise comme réseau de confiance, ce réseau peut également devenir un vecteur d’attaque. En 2016, la  vulnérabilité KRACK dans WPA2 a permis aux attaquants de trouver les clés de chiffrement pour tout le trafic réseau circulant via un routeur. Ces hacks ne sont pas théoriques. Ils sont dirigés et bien coordonnés. Lorsque votre entreprise réussit, quelqu’un voudra vosdonnées.

En revanche, BeyondCorp n’a pas de VPN. Au lieu d’avoir un service public qui donne accès à des sites internes cachés, BeyondCorp dispose de services publics qui demandent des informationsd’authentification à partir d’un serveur d’authentification interne caché. Comme ce serveur d’authentification n’est pas exposé, il est beaucoup plus difficile à attaquer.

la suite ici