Nous sommes sur le point de lancer le programme d’accès anticipé (EAP) pour Sophos ZTNA, attendu dans les prochaines semaines, et nous avons voulu répondre à vos questions sur notre solution et sur ce qui vous attend. Vous pouvez vous inscrire à l’EAP dès maintenant pour être informé de son ouverture.
Inscription au programme d’accès anticipé (EAP)
L’EAP devrait commencer au début du mois de mars. Vous et vos clients pouvez vous inscrire à l’EAP dès aujourd’hui à la page sophos.com/ztna. Nous vous informerons dès que le programme sera lancé.
Visionnez notre webinaire consacré à ZTNA
Si vous avez manqué notre session Sophskills de la semaine dernière, vous pouvez visionner l’enregistrement ici (en anglais). Le webinaire présente un tour d’horizon de l’EAP Sophos ZTNA et de ce à quoi il faut s’attendre, et offre une démonstration de la solution.
FAQ consacrée à Sophos ZTNA
Qu’est-ce que ZTNA ?
Nous vous conseillons de lire notre précédent article consacré à Sophos Zero Trust Network Access.
Quels sont les avantages de ZTNA (par rapport au VPN d’accès à distance) ?
Bien qu’un VPN reste extrêmement utile, ZTNA offre un certain nombre d’avantages supplémentaires qui en font une solution plus attrayante pour connecter les utilisateurs aux applications et données importantes :
- Contrôle plus précis : ZTNA permet un contrôle plus en détail des utilisateurs pouvant accéder aux applications et aux données. Cela réduit les mouvements latéraux et permet une meilleure segmentation. Un VPN ne fait pas dans le détail, il offre généralement un accès total à tout le réseau.
- Sécurité renforcée : ZTNA supprime la notion de ‘confiance implicite’ et intègre l’état de sécurité et l’état de sécurité des systèmes dans les politiques d’accès, ce qui permet de renforcer la sécurité. Le VPN ne tient pas compte de l’état de sécurité des appareils, ce qui peut mettre en danger les données d’application si un appareil est compromis ou non conforme.
- Enrôlement plus facile du personnel : Il est beaucoup plus facile de déployer ZTNA et d’enrôler de nouveaux employés, surtout s’ils travaillent à distance. Les VPN sont plus complexes et difficiles à configurer et à déployer.
- Transparent pour les utilisateurs : ZTNA est entièrement transparent, offrant aux utilisateurs une connexion sans aucune friction. Le VPN peut parfois avoir des difficultés à se connecter et requérir l’assistance du service technique.
Qu’inclut Sophos ZTNA ?
Sophos ZTNA est un tout nouveau produit géré dans le Cloud qui permet de sécuriser facilement et en toute transparence les applications en réseau à l’aide de contrôles granulaires. Il devrait être disponible en accès anticipé (EAP) le mois prochain.
Sophos ZNTA se compose de trois éléments :
- Sophos Central est la solution de gestion et de reporting Cloud ultime pour tous les produits Sophos, y compris Sophos ZTNA. Aisément déployable depuis Sophos Central, Sophos ZTNA offre une gestion granulaire des politiques de sécurité et des rapports détaillés depuis le Cloud.
- La passerelle Sophos ZTNA sera une appliance virtuelle pour une variété de plateformes qui sécurisera les applications en réseau sur site ou dans le Cloud public. Elle prendra d’abord en charge AWS et VMware ESXi, puis Azure, Hyper-V, Nutanix, et bien d’autres encore.
- Le client Sophos ZTNA fournit aux utilisateurs finaux une connectivité transparente et sans friction aux applications contrôlées en fonction de l’identité et de l’état de sécurité des appareils. Il s’intégrera à la Sécurité Synchronisée pour bénéficier du Security Heartbeat et des informations sur l’état de sécurité des appareils. Il est très facile à déployer depuis Sophos Central, aux côtés d’Intercept X, ou il peut fonctionner de manière autonome avec n’importe quel client AV de bureau (en obtenant l’état de sécurité à partir du Centre de sécurité Windows). Il prendra d’abord en charge Windows, suivi de macOS et plus tard Linux et les plateformes mobiles.
Quand Sophos ZTNA sera-t-il disponible ?
La première phase du programme d’accès anticipé (EAP) est prévue pour début mars. Le lancement du produit devrait se faire vers le milieu de l’année 2021. Vous pouvez dès maintenant vous inscrire à l’EAP.
Quels sont les types d’applications idéales pour ZTNA ?
Sophos ZTNA sécurise la connectivité pour toutes les applications en réseau hébergées sur le réseau local de l’entreprise, dans le Cloud public ou tout autre site d’hébergement. Cela englobe tout, de l’accès RDP aux partages de fichiers réseau et aux applications telles que JIRA, Wiki, répertoires de code source, applications de support et de suivi de tickets, etc.
ZTNA ne contrôle pas l’accès aux applications SaaS comme SalesForce.com ou Office365, qui sont conçues comme des applications Internet publiques servant de nombreux clients. L’accès sécurisé à ces applications est fourni par le fournisseur SaaS et l’application elle-même, et il est souvent renforcé par une authentification multi-facteur.
Quelles plateformes clientes, passerelles et gestion de l’identité seront prises en charge ?
- Clients : Les plateformes clientes comprendront initialement une option sans client (EAP1), puis la prise en charge native de Windows (EAP2 et GA), la prise en charge de macOS (début 2022) et ultérieurement les plateformes Linux et mobiles (iOS et Android). L’état de sécurité des appareils sera d’abord évalué par la fonction Synchronized Security Heartbeat (EAP2 et GA), puis par le Centre de sécurité Windows (début 2022), et davantage d’outils d’évaluation seront intégrés ultérieurement.
- Passerelles : Les plateformes de passerelle seront uniquement des appareils virtuels (pas de matériel) et comprendront initialement VMware ESXi pour l’EAP1, puis AWS pour l’EAP2 et la GA. Cette fonctionnalité sera étendue aux autres plateformes comme Azure, Hyper-V, Nutanix, K8S et GCP après le lancement.
- Fournisseurs d’identité : Pour la vérification de l’identité, Sophos ZTNA prendra initialement en charge Azure Active Directory (AD) dans l’EAP1 et Okta dans l’EAP2. Les services de répertoire pris en charge dans l’EAP2 et la GA incluent Azure et AD sur site (dont AD Sync pris actuellement en charge par Sophos Central). Les clients peuvent profiter immédiatement des options d’authentification multi-facteurs (MFA) d’Azure grâce à la prise en charge de solutions MFA tierces disponibles dans une version future.
ZTNA est-il un produit autonome ou fonctionne-t-il avec un autre produit Sophos ?
Sophos ZTNA est un produit autonome qui ne nécessite aucun autre produit Sophos. La gestion se fait dans Sophos Central (gratuit), ce qui offre une tonne d’avantages aux clients qui utilisent d’autres produits Sophos. Il peut facilement se déployer en parallèle d’Intercept X, mais il n’est pas nécessaire d’installer Intercept X. Sophos ZTNA peut fonctionner avec l’antivirus ou le pare-feu de bureau de n’importe quel fournisseur.
Comment peut-on déployer le client Sophos ZTNA ?
Sophos ZTNA pourra être déployé aisément en complément d’Intercept X et de Device Encryption, si vous utilisez ces solutions dans Sophos Central pour protéger vos appareils. Comme illustré ci-dessous…
ZTNA s’intégrera-t-il avec Sophos XG Firewall et Intercept X ?
Sophos ZTNA est entièrement compatible avec XG Firewall et Sophos Intercept X. En fait, il tire parti de la fonction Security Heartbeat pour évaluer l’état de sécurité des appareils. Comme mentionné ci-dessus, le déploiement du client ZTNA peut se faire facilement dans le cadre d’un déploiement de Intercept X, il suffira de simplement cocher une case. Bien sûr, Sophos ZTNA fonctionnera parfaitement avec les produits AV ou pare-feu d’autres fournisseurs, mais son fonctionnera sera optimal avec d’autres produits Sophos, tels que XG Firewall et Intercept X.
Comment fonctionnent les licences et la tarification ?
Les licences Sophos ZTNA seront concédées selon le nombre d’utilisateurs, comme pour nos produits Endpoint. Le nombre d’appareils ne sera pas pris en compte, ainsi un utilisateur avec 3 appareils n’aura besoin que d’une seule licence.
Les clients peuvent déployer autant de passerelles ZTNA qu’ils en ont besoin pour protéger toutes leurs applications. La passerelle et la gestion dans Sophos Central sont gratuites.
Comment ZTNA se positionne face à…
DUO ?
DUO est un fournisseur de technologies de vérification d’identité axé sur l’authentification multi-facteurs (MFA) pour aider les utilisateurs à vérifier leur identité. La vérification de l’identité et le MFA, et donc DUO, sont des éléments clés d’une solution Zero Trust. ZTNA vérifie également l’état de sécurité de l’appareil. Sophos ZTNA prendra initialement en charge Azure MFA et tout fournisseur d’identité qui intègre Azure, dont Duo et d’autres solutions MFA.
NAC ?
Les technologies NAC et ZTNA peuvent sembler similaires, car elles contrôlent toutes les deux l’accès, mais c’est-là leur seule similitude. Le NAC (Network Access Control) contrôle l’accès physique à un réseau local sur site. ZTNA contrôle l’accès aux données et aux applications réseau spécifiques, quel que soit le réseau sur lequel elles se trouvent.
VPN ?
Bien que le VPN d’accès à distance nous ait jusqu’à maintenant été très utile, ZTNA présente de nombreux autres avantages par rapport au VPN (comme décrit ci-dessus). Bien sûr, dans certaines situations, le VPN reste une bonne solution… lorsqu’un nombre relativement restreint de personnes (par exemple, le service informatique) a besoin d’un accès complet aux applications et services réseau pour les gérer. Et bien sûr, le VPN reste un élément essentiel de la connectivité de site à site. Mais pour la plupart des utilisateurs d’une entreprise, ZTNA peut remplacer le VPN d’accès à distance pour fournir une solution de sécurité plus performante et plus précise tout en étant plus transparente et plus facile à utiliser.
Pare-feu ?
ZTNA complémente le pare-feu de la même manière que le VPN. Bien entendu, le pare-feu joue toujours un rôle essentiel dans la protection des réseaux et des centres de données des entreprises contre les attaques, les menaces et les accès non autorisés. ZTNA renforce le pare-feu en ajoutant des contrôles granulaires et une sécurité pour les applications en réseau dans le Cloud ou sur site.
WAF ?
WAF et ZTNA sont conçus pour protéger différents types d’applications pour différents types d’utilisateurs. WAF est conçu pour protéger et sécuriser les applications publiques en fournissant un pare-feu, la détection des menaces et d’autres moyens de durcissement, tels que des défenses contre les attaques par injection SQL. ZTNA est conçu pour contrôler l’accès aux applications internes. Il n’est pas conçu pour fournir un accès public, en fait, il est conçu pour garantir que les utilisateurs publics ne puissent pas accéder aux applications protégées par ZTNA.
Sécurité synchronisée ?
Sophos ZTNA et la Sécurité Synchronisée sont tous deux conceptuellement similaires en ce sens qu’ils peuvent tous deux utiliser l’état de sécurité du système pour déterminer les privilèges d’accès au réseau. Sophos ZTNA utilisera la fonction Security Heartbeat comme composant clé pour évaluer l’état de sécurité de l’appareil. Si un appareil un Heartbeat rouge, l’accès aux applications peut être limité par une politique de sécurité, tout comme l’accès au réseau peut être limité sur le pare-feu. Cependant, ZTNA va plus loin que la Sécurité Synchronisée en intégrant également la vérification de l’identité de l’utilisateur. ZTNA contrôle également les privilèges et l’accès aux applications, tandis que la Sécurité Synchronisée se concentre sur la réponse automatisée aux menaces et la prévention du déplacement des menaces ou du vol de données.
SASE ?
SASE (prononcé « sassi ») ou Secure Access Service Edge, concerne la mise en réseau et la sécurité dans le Cloud et comprend de nombreux composants tels que pare-feu, SD-WAN, Secure Web Gateway, CASB et ZTNA. Le cadre SASE est conçu pour sécuriser n’importe quel utilisateur, sur n’importe quel réseau, n’importe où dans le Cloud. Comme vous le constatez, ZTNA est une composante de SASE et sera une partie essentielle de notre stratégie SASE globale.