BeyondTrust | Zero Trust

Sécurité Zero Trust

Les modèles Zero Trust tels que prescrits par le NIST (SP 800-207) éliminent la confiance systématique au profit de l’authentification continue, du principe de moindre privilège et de contrôles d’accès adaptatifs. Cette stratégie applique aussi la segmentation et la micro segmentation pour sécuriser les accès. Une approche Zero Trust permet de savoir constamment « qui fait quoi » sur le réseau, conférant ainsi un contrôle total sur la sécurité et les accès.

Une stratégie Zero Trust réduit la surface d’attaque. Elle offre une protection optimale contre les ransomwares et malwares, les menaces persistantes avancées et celles de la part d’initiés.

Les 8 principes BeyondTrust pour mettre en place un modèle Zero Trust

  1. Inventaire de tous les actifs privilégiés pour éliminer les angles morts, identifier le shadow IT et contrôler les points d’accès pour séparer les plans de contrôle et de données.

  2. Contrôles selon le principe de moindre privilège de chaque identité, compte et secret d’être humain, d’application, de machine, d’employé, de fournisseur, etc.

  3. Contrôles d’accès adaptatifs et juste à temps en fonction du contexte en temps réel.

  4. Segmentation et micro-segmentation pour isoler les actifs, les ressources et les utilisateurs et empêcher le mouvement latéral.

  5. Application des meilleures pratiques de sécurité des identifiants pour tous les types de mots de passe privilégiés, d’êtres humains, de machines, d’employés ou de fournisseurs.

  6. Sécurité des accès à distance par contrôles adaptatifs et de moindre privilège, au-delà des technologies courantes, VPN, RDP, SSH, HTTPS, etc.

  7. Accès par proxy aux plans de contrôle (cloud, virtuel, DevOps) et aux applications critiques grâce à la segmentation réseau.

  8. Surveillance, gestion et audit du comportement utilisateur pour chaque session privilégiée.

Authentification et contrôle d’accès continus

Seule la bonne identité sur le bon endpoint se voit autoriser l’accès

Privileged Password Management de BeyondTrust découvre, intègre et gère tous les identifiants privilégiés (humains, applications et machines) et applique systématiquement les meilleures pratiques de sécurité des mots de passe.

  • Révèle le shadow IT et les angles morts des accès. Découvre, regroupe intelligemment et intègre toutes les identités privilégiées, les comptes et actifs privilégiés.
  • Etablit des contrôles d’accès adaptatifs, de façon à autoriser ou refuser les demandes d’accès juste à temps selon le contexte. Résilie ou suspend des sessions en fonction du comportement utilisateur, d’activités inappropriées, du contexte ou de nouveaux risques.
  • Protège et gère tous les identifiants privilégiés et les secrets des ressources sur site et cloud.
  • Intègre les produits de tiers pour appliquer l’authentification multifactorielle au moment de la connexion, du contrôle de mot de passe et de l’élévation de privilège ou à chaque nouvelle requête.
  • Elimine les comptes partagés au profit de la supervision et de l’audit des activités des utilisateurs pour chaque identité et comptes associés.
  • Eradique les mots de passe embarqués des dispositifs IoT et autres endpoints, applications, scripts et outils DevOps, pour les remplacer par des appels d’API sécurisés ou la gestion de secrets dynamiques.

Principe du moindre privilège appliqué à tous les endpoints

Autorisation provisoire en fonction du contexte

Endpoint Privilege Management de BeyondTrust combine gestion du moindre privilège et contrôle applicatif pour réduire la surface d’attaque des endpoints et empêcher tout mouvement latéral indésirable. Protège les systèmes Windows, Mac, Unix et Linux, les dispositifs réseau, IoT, systèmes ICS et machines virtuelles des menaces connues et inconnues.

  • Supprime les droits admin de tous les utilisateurs et les comptes privilégiés sur les systèmes gérés.
  • Favorise l’état ZSP (zero-standing privilege) des processus, applications, etc. par l’élévation dynamique et juste à temps des privilèges—mais pas pour les utilisateurs.
  • Applique la séparation des tâches et des privilèges pour restreindre l’attribution de privilèges à tout compte ou processus.
  • Instaure le contrôle applicatif avancé et le principe du moindre privilège à l’ensemble des applications, navigateurs web, systèmes et autres ressources.

Adoptez une approche segmentée et délimitée des accès

Conditionnez les chemins d’accès à distance et empêchez tout mouvement latéral

L’approche Zero Trust suppose de segmenter les accès et d’isoler différents actifs, ressources et utilisateurs pour prévenir le mouvement latéral.

Secure Remote Access de BeyondTrust:

  • Etablit un jump server sécurisé avec authentification multifactorielle, autorisation adaptative et surveillance de session pour les consoles administrateur. Ceci vaut aussi pour les accès transitant par des zones de confiance du réseau.
  • Isole les systèmes de développement, de test et de production pour les besoins des tests de sécurité SecDevOps.
  • Donne accès aux pages web, comme le portail Azure ou Office 365, via un navigateur Chrome embarqué et verrouillé.
  • Permet la micro-segmentation au niveau applicatif pour empêcher les utilisateurs d’exécuter des applications et d’autres ressources pour lesquelles ils n’ont pas d’accès autorisé.

Secure Remote Access de BeyondTrust étend également les meilleures pratiques PAM aux accès à distance privilégiés des fournisseurs et employés. La solution permet des contrôles granulaires du principe de moindre privilège impossibles avec des VPN et de nombreuses autres technologies communes d’accès à distance.

  • Applique le principe du moindre privilège et des contrôles d’audit robustes aux accès à distance des employés, fournisseurs, sous-traitants et techniciens du service support.
  • Gère les identifiants injectés automatiquement dans les sessions à distance de sorte que l’utilisateur n’en a jamais connaissance. Intègre Password Safe de BeyondTrust pour une gestion plus globale des identifiants privilégiés.

Bénéficiez d’une surveillance continue

Aucune activité privilégiée n’échappe à la supervision

Les solutions BeyondTrust Privileged Access Management (PAM) assurent la surveillance et la gestion de toutes les sessions privilégiées : d’être humain, de machine, d’employé ou de fournisseur.

  • Elles documentent toutes les actions privilégiées effectuées par enregistrement vidéo de l’écran et enregistrement de la frappe avec possibilité de replay et de recherche dans la session.
  • Elles déclenchent des alertes et des workflows en cas de comportement anormal, y compris origine inhabituelle de la demande d’accès, commandes inappropriées ou autres attributs pouvant indiquer un cas de compromission.
  • Elles appliquent la surveillance d’intégrité des fichiers et le filtrage de commande pour mieux protéger les systèmes Unix et Linux des commandes et modifications indésirables ou non autorisées.
  • Elles proposent de suspendre ou de résilier les sessions par intervention manuelle ou par voie automatique basée sur des règles de comportement acceptable des utilisateurs.

Sécurité Zero Trust pour un monde multicloud

Sécurité dans le cloud à l’échelle d’infrastructures hétérogènes

Cloud Security Management de BeyondTrust centralise la consultation des droits et autorisations sur Amazon Web Services (AWS), Microsoft Azure et d’autres plateformes.

  • Découvre, modélise et catalogue les comptes privilégiés de multiples fournisseurs cloud.
  • Assure l’attribution limitée des privilèges (autorisations), accordés uniquement aux identités conformes.
  • Intègre différentes technologies MFA pour l’ensemble des activités cloud et des identités. Assure la conformité MFA d’une organisation multicloud.
  • Consigne toute l’activité utilisateur et administrateur dans une piste d’audit complète.