Comme pour la plupart des termes de sécurité, le Zero Trust est un concept brillant qui, hélas, finit trop souvent par devenir un slogan creux nappé d’une « sauce caramel au bullshit ». Tout comme lorsque quelqu’un utilise le terme « IA », il devient crucial de regarder sous le capot pour voir ce que l’on veut dire par là et, surtout, comment c’est utilisé.On m’a récemment demandé ce que nous, les « gars de l’open source », utilisions concrètement pour le ZTNA (Zero Trust Network Access). Eh bien, cela fait quelques années que nous avons jeté notre dévolu sur OpenZiti.
C’est quoi au juste ?
OpenZiti est une technologie entièrement open source qui permet de couvrir tous les aspects du ZTNA : de l’authentification forte basée sur l’identité et la micro-segmentation (le fameux Least Privilege Access) jusqu’au passage de votre environnement en mode quasi totalement « dark ».
Le petit plus, c’est que tout cela a été développé pour le monde logiciel moderne. Comme c’est totalement open source, avec un SDK bien pensé et des tas d’extras, vous pouvez simplement le cacher dans votre Docker ou votre proxy. De plus, tout est facilement pilotable via l’Infrastructure-as-Code ; nous utilisons Ansible, mais grâce à l’API, presque n’importe quel outil devrait faire l’affaire.
Ziti a été développé il y a quelques années par Netfoundry, une start-up interne de TATA Networks, pour résoudre un problème interne réel. Cela nous amène à un autre point fort : vous pouvez le faire tourner sur votre propre infrastructure, que ce soit chez un fournisseur cloud ou non, ce qui vous permet de garder un contrôle total sans verrouillage propriétaire (lock-in) ni problèmes de souveraineté numérique.
Bien sûr, comme pour toute technologie puissante, il y a une courbe d’apprentissage. Mais si vous ne voulez plus investir ce temps, si vos besoins internationaux deviennent trop complexes ou si vous avez besoin d’un support pur et dur, vous pouvez passer sans couture au produit commercial Netfoundry. Le meilleur des deux mondes.
Qu’est-ce qu’on en fait concrètement ?
Rendre le télétravail simple et sûr (enfin) : La première application qui intéressera la plupart des entreprises est une solution remplaçant les VPN traditionnels, souvent moins sécurisés, par du ZTNA. Entièrement « dark » (donc aucun port visible de l’extérieur), authentification forte avec MFA, et où l’utilisateur ne voit que ce qu’il est autorisé à voir. Le tout géré via un tableau de bord unique avec un logging ultra-complet.
Un WAN sécurisé sur Internet : Que vous soyez une PME ou une grande entreprise, vous pouvez l’utiliser comme un réseau superposé (overlay) sécurisé capable d’utiliser plusieurs connexions internet de manière transparente pour la bande passante et la redondance. Il relie vos sites, votre infra cloud et vos applications chez différents acteurs avec les garanties nécessaires aujourd’hui : identité, micro-segmentation et optimisation des performances.
Le networking embarqué : Pour ceux qui veulent aller encore plus loin, l’intégration d’OpenZiti directement dans votre propre logiciel via le SDK permet d’apporter ces capacités de sécurité au cœur même de votre application.
Un cas concret : CERM
Nous avons récemment utilisé OpenZiti comme base pour un réseau overlay international pour l’un de nos clients les plus anciens et les plus exigeants techniquement : CERM.La solution fonctionne à plusieurs niveaux : du télétravail Zero Trust pour les consultants jusqu’à un réseau interne « dark » reliant leurs infrastructures et leurs morceaux de cloud sur quatre continents. Le tout est entièrement automatisé avec Ansible pour rester gérable. C’est un cas où toutes les pièces du puzzle s’assemblent enfin pour former une solution d’infrastructure et de logiciel intégrée qui apporte une réelle valeur ajoutée à leur core business.
Comment s’y mettre ?
Mon conseil si vous voulez tester : commencez par une mise en bouche via un Proof-of-Concept (PoC).
La forme dépendra de vos besoins, mais nous nous ferons un plaisir de le mettre en place pour vous et de donner à votre équipe technique une formation pratique. Cela vous évitera de vous cogner directement à cette fameuse courbe d’apprentissage.
Envoyez-nous un mail si vous voulez passer de la théorie à la pratique.