建筑零confiance

Generalites

标记:

Nouveau à零信任?学会零信任安全Et à propos de解决方案Citrix倒零信任．

Les approches traditionnelles, fondées sur le périmètre, pour protéger Les systèmes d 'information et Les données sont inadéquates。

代表先生années, le范例de la cybersécurité a imité une formme familière de sécurité体格du Moyen Âge: le château et les fossés。这是我们的企业之路adoptée我们有云的世界。

Dans ce modèle de défense classique, plusieurs couches de protection avec des points de contrôle et des路人étroitement sécurisés entourent et protègent les bijoux de la couronne。Tous les accès sont contrôlés et vérifiés à la passerelle où l ' authentication et l 'autorisation sont accordées。Cependant, une fois vérifiée, les gens sont effect laissés libre cours à l ' environment。

Le modèle présente有缺陷的，与之相关的原则accès有必要进行认证和授权inadéquates。攻击者，利用，souvent, le, suterfuge，倒，轮廓者，倒，路人，倒，外物，qualité supérieure conçus，倒，briser, Les murs。

De même, dans le domaine De la cybersécurité， les données précieuses sont entourées De plusieurs couches De pere -feu, De segmentation, d ' authentication et d 'autorisation。Et bien que ces composition soient nécessaires, ils sont insuffisants en raison de la«dépérimétérisation»causée par le passage vers le cloud和le mobile。

Un problème avec ce modèle de sécurité est la confc隐式的ou隐式的请求accordée à des personnes ou à des services à l 'intérieur des murs du réseau。您的位置réseau上水平réside您的衣服上有您的衣服，您的衣服上有您的衣服，您的衣服上有您的衣服，您的衣服上有您的衣服。我的设想是可以办到的réseau privé我的想法是可以办到的intrinsèquement我的尊严。

评论les组织sécurisent-elles les bijoux de la couonne à l 'aide d 'un modèle complexe intégrant les variables suivantes ?

• 使用单位:Situé企业局和公众局
• 服装:移动的，可授权投票的服装(BYOD)，选择性投票的服装(CYOD)和COPE (Corporate propre personal Activé)
• 应用:(Intranet/SaaS, navigator, virtualisé， mobile)
• Accès et stockage des données (sur site et cloud)

Compte tenu de ce ce de l 'accès, computer sur un fossé comme périmètre de sécurité devient une responsabilité。

我们réseaux虚拟的组成部分代表悠久的传统，'accéder应用程序和données企业，我们的使用，我们的服务，我们的企业。Ce modèle a fonctionné pour les cas d ' utilisation où les utilisateurs finaux n ' ont accès au réseau d ' enterprise qu ' à partr d ' clothing gérés par l ' enterprise approuvés。

Mais c 'est pourquoi le modèle VPN ne répond pas adéquatement aux besoins des cas d 'utilisation en évolution。Les应用程序在été modernisées pour un accès basé sur le Web et déployées dans des环境多云。有应用，有données，有服务，有数据中心。Les emplacements se se déplacés, sonsondevenus dynamques, Les utilisateurs accèdent aux resource partout, et Les组织上的组织与组织之间的关系accès便利à toutes Les resources sans ralentir la productivité。力量的力量'accès通过企业的VPN，通过应用的云的不充足的注入'expérience最终。

La nécessité d 'une nouvelle stratégie a été accélérée avec le besoin de triavailleurs éloignés。评论组织构造-elle un murr autour d 'une resource qui存在simultanément dans plusieurs emplacements ?

普林西比说话

零信任功能假设«一个jamais faire confrancetourour vérifier»ou une méfiance innée(«拒绝par défaut»)。约翰·金德vag，一个inventé le terme«零信任»comme un moyen de résoudre le problème compliqué de la«dépériméterisation»-扩张和消融du périmètre à度量qu 'il偏差加上孔隙。

L 'objectif d 'une architecture零信任est de protéger les données。建筑设计的革新réseau独特的，构想和基础设施开发的领导集体réseau。零信任入口stratégie de sécurité cohérente pour accéder aux données qui résident n ' import où， n ' import où，代理n ' import quel服装和quelque manière que ce soit。

Avec Zero Trust, il n 'y pas de con金库accordée aux systèmes en功能de leur金库体质ou réseau。L 'approche nécessite une auisation继续，quel que soit L ' emplace de la demand d '起源，et augmente la visibilité et L 'ensemble du réseau。

La con未婚夫zéro est obtenue grâce à une mise en euuvre intentionnelle du cadre。产品的使用和集合intégrés和intégrant零信任的原则和集合résultats商业和集合souhaités。

思杰considère零信任的公司stratégie我们的产品和服务à la mise en réseau，我们的产品和服务à l ' échelle我们的组织有使用人员，服装，réseaux，应用和人员功能。

L 'architecture Citrix零信任资源保护中心conçue et déployée conformément aux principes modélisés d 'après le国家标准与技术研究院(NIST)零信任原则：

1. 资源données，服务信息considérés，资源
2. 通信总局sécurisées总局总局réseau，汽车总局réseau，总局总局à企业总局à距离，总局总局inné敌对总局。
3. L 'accès企业的个人资源accordé新基地会议
4. L 'accès aux resource est appliqué par une stratégie dynamique qui包含L ' état observable de L 'identité， du périphérique, de L ' application et du réseau et peut包含属性comportementaux
5. Comme aucun périphérique n ' est intrinsèquement可，企业监视的资源，在保险公司的restelles dans l ' état le加上sûr可能
6. 自动化和认证资源动态和严格appliquées avant que l 'accès ne soit autorisé
7. 企业可能的信息来源état实际的基础设施réseau和通信。我使用les données pour améliorer sa position de sécurité

Les piliers de la con未婚夫zéro

企业的沟通渠道à零信任nécessite une stratégie pour créer un tissu de con未婚夫。Les组织活动标识符Les préoccupations执行机构et définir le结构de conconfant pour soutenir la transformation numérique。L 'accès doit être harmonisé avec la sensibilité des données et la situation dans laquelle les données sont demandées et utilisées。零信任做标识manière颗粒les人员，les périphériques, les données et les劳动费用sur le réseau。

Citrix applle cet accès context。Les stratégies d 'accès检查官Les éléments de conconfedans Les 5 W d 'Access pour de droits d ' utilits spécifiques。L 'accès conttuel est un processus continuu。它的' étend de l ' événement de requête有自己的利用方式données spécifiques et aux stratégies动态的方式régissent le cycle de vie de la sécurité des données。

• Quelles données doivent être protégées ?
• D 'où proviennent les demandes de données et où se seentent -elles danans le réseau ?
• 请问accès aux données et pour combien de temps ?
• Pourquoi ces personnes on -elles besoin de privilèges d 'accès ?
• Quand ont-ils besoin d 'accéder aux données ?

人

认证和自动化永久使用者approuvés sont primordiales pour Zero Trust。L 'identité est le«Qui»Qui demande L 'accès à une resource。认证利用动态和严格的方法appliquée前卫的方法'accès ne soit autorisé。C 'est非循环常数d 'accès:

• 分析et évaluation des威胁
• 适应
• 认证继续
• 监测
• 验证la fiabilité de l 'utilisateur

L 'identité使用技术说明了身份、凭据和访问管理。L 'identité这是我们的综合利用和属性développés我们的企业。资源和属性组成la base des stratégies d 'accès aux resources。Les identités utilisateur peuvent include un mélange d 'identité logique, de données biométriques et de caractéristiques de comportment。使用的属性d 'identité告诉我们的时间和时间géolocalisation倒的obtenir des的分数，conconflin d ' évaluer动态le risque和d ' ajuster l 'accès de manière appropriée。

L '认证(利用者和périphérique) est effectuée avant d ' établir une connexion et L 'accès aux resources est réduit unique ement aux utiisateurs finaux validés。Les people sont continuelment authentifiées pour déterminer l 'identité et la posture de sécurité de chque demand d 'accès。有什么需要答复的，我'accès我们的资源données n 'est accordé我们的资源需要。

设备

法国服装企业manière cohérente de gérer Les stratégies sur Les apparel et Les modèles de propriété。我们的行政人员être en度量de déterminer我们的环境是这样的，我们的服装是这样的。Les appareils字体party de la question«Où»。D 'où有需求的生活和有道德的生活lié à我的衣服?La posture de sécurité en temps réel et La fiabilité de clothing sont des attribute fondamentaux de l 'approche零信任。

传统，lorsque l 'on regarde les périphériques de terminaison, il existetrois modèles de propriété populaires (propriété d ' enterprise, BYOD/CYOD, COPE)， cha avec une confation inhérente différente, des factors de conteurs de confation and besin de validation différents。Avec零信任，认证inhérente est éliminée et chaque appareil, quel que soit le propriétaire, nécessite une validation。

网格

Une架构零信任集中保护资源和非分割réseau。L 'emplacement réseau de L 'utilisateur, de L 'appareil ou de la resources n 'est + considéré comme le composition principal de la posture de sécurité。Cependant, la capacité de segmenter, d 'isoler et de contrôler le réseau reste un pilier de sécurité et essentielle pour un réseau零信任。Et la possibilité de sélectionner l 'application appropriée Et le modèle de livraison d 'espace de travail est la deuxième party de la question«Où»。

Les réseaux Zero Trust sont parfois décrits comme«sans périmètre»。某些soutienent que les protection périmétriques devienent moins importantes pour les réseaux et les opérations。En réalité， le périmètre est toujours là， mais d’une manière beauaucoup + granulaire。Les réseaux零信任的喜悦喜悦déplacer des périmètres à partir de la périphérie du réseau et de créer des segments pour isoler Les données批评家des aures données。Le périmètre doit se rapprocher des données afin de renforcer les protection et les contrôles。D 'où la raison pour laquelle l 'approche traditional nelle du château et des fossés n 'est pas suffisante。

Pendant les transitions des technologies basées sur Internet, il est essentiel de réfléchir à la façon de:

1. Contrôler l 'accès réseau privilégié
2. Gestion des flux de données internet et externes
3. Empêcher les mouvements latéraux dans le réseau
4. Prenez des décisions动力学en matière de stratégie et de con未婚夫sur le traffic réseau et les données

负责德阵痛

La sécurisation et La gestion correcte de La couche d 'application, des conteurs de calculator et des machines virtuelles sont essentielles à l 'adoption de Zero Trust。Être有能力的d 'identifier et de contrôler la pile技术设施des décisions d 'accès + précises et + précises。没有惊喜，MFA joue un rôle de plus en plus essentiel dans la furniture d 'un contrôle d 'accès adéquat aux applications dans les environment Zero Trust。

一个方面的重要du modèle零信任一致à根据'accès的独特性和应用spécifiques需要的是所有的有用的东西。Il n 'y a pas d 'accès au réseau lui-même, améliorant considérablement la posture de sécurité de l 'organisation en réduisant la surface d ' attack。

数据

我们的客户，我们的employés我们的伙伴，我们的手机，我们的应用，我们的应用données我们的资源，我们的来源réseau我们的客户，我们的连接。当一个人希望达成加入辅助数据,联合国模型零信任pese数值des数据相对l 'assurance,那儿没有correcte autorisee一个加入的吹捧的数据现在联合国appareil securise。

最低限度的紧急情况'accès à la resources peuvent包括认证人员的安全保障，告知MFA您需要的配置système。Le fait que cette个人soit à l 'intérieur ou à l 'extérieur du réseau de l l ' enterprise n 'est an an可指示的三个保证。Cependant, signonalez des emplacements réseau inhabituels ou non autorisés évidents telels que rejuser l 'accès à partir d’address IP outre-mer ou dans des délais imprévus。

Visibilité，分析和编配

Les architectures Zero Trust nécessitent une visibilité accrue de l 'accès。信息问题的不完整的信息问题sécurité，信息分析的模板sécurité avancées，利用的行为分析的sécurité。ce systèmes监督和交付永久的需求'accès和变更stratégie临时的。我们的专家sécurité ont besoin de ces outtils pour观察者在时间réel ce qui se passe et orienter Les défenses de manière +智慧。

分析机构système查询chargé活动人员，监视人员等，éventuellement，企业资源的分析机构。我们的汽车stratégie负责的汽车décision最后的汽车'accès à我们的资源倾注在我们的客户身上donné。政治和企业的资源利用和贡献，外部资源的来源。

Les données分析peuvent être analysées séparément ou combinées avec d ' auteresourbles de données de监视和新闻报道de la sécurité。Plusieurs服务prennent des données种源外源多重和发送信息攻击ou vulnérabilités nouvellement découvertes。Les données包括封锁DNS的列表，malveillants的logiciels découverts ou des systèmes de command et de contrôle auxquels le moteur de stratégie souhaite reuser l 'accès à partir des systèmes d ' enterprise。威胁下的力量，stratégie peut aider à développer des measures de sécurité积极主动的先行者。分析peut utiliser une notation basée sur des critères qui suppose un ensemble d 'attributs qualifiés qui doivent être respectés avant d 'accorder l 'accès à une resource。

Citrix零信任架构

En passant d 'un modèle de sécurité basé sur le périmètre à un modèle de sécurité basé sur les resources, Citrix Workspace utilise une approche global ale sans VPN租户compte du context。

Citrix Workspace agit comme le point d 'application pour contrôler l 'accès aux applications et aux données。L 'accès开始par un«拒绝par défaut»au lieu de s ' inspired de la confc inhérente。L 'accès n 'est accordé qu 'après vérification d 'une entité为我们提供信息识别信息，识别信息，识别信息，识别信息，识别信息，识别信息，识别信息，识别信息，识别信息。思杰零信任atténue la complexité de cesteurs en suteurs en suteur la conifant supposée et en en la confirmant à chque étape。

Citrix端点管理

Citrix端点管理公司données pour évaluer l’approval des périphériques。我的助手à répondre à我的淫乱问题/我的服装设计grâce à l ' évaluation继续我的服装设计，我的服装设计。L ' évaluation des périphériques avant et après L '鉴权管理L '授权要求倾实施者le劳动在toute sécurité。De plus, d ' aures évaluations sont effectuées pour chque demande 'accès。Citrix端点管理检查si le périphérique a été折衷方案，sa版本logicielle, son état de protection et l 'activation du chiffire。Citrix Endpoint Management peut être utilisé pour effectuer des analyses d ' analysis des points det terminal afin de recher les certificate de platformme et包括fonctionnalités pour les périphériques joint à un domain et non liés à un domain。Différents我的小姐être attribués à我的服装complète我的服装，à我的应用ou à l 'accès à我们的航海家有三个需要différentes。

Citrix网关

Citrix网关自由入口améliorée和灵活的la sécurité。Le service informatique est activé pour configururer plusieurs étapes d ' authenticate pour accéder aux données安全部门rôle de l ' utilisateur, de l ' placement, de l ' clothing，等等。Citrix Gateway détermine le mécanisme d’authentication à utiliser pour chaque session。我利用了这些因素，利用了本地化利用了，利用了，和，利用了，利用了，和，服装。

Citrix permet aux enterprises de préserver leurs投资公司。我们的工作人员capacités de sécurité IdP本土人告诉我们MFA, biométrie pour protéger l 'utilisateur au sein de l 'espace de劳动。Il prend en charge les mécanismes d ' authentication LDAP, RADIUS, TACACS, Diameter et SAML2.0，入口aures。

Citrix网关网关网关stratégies SmartAccess et SmartControl接口flexibilité渗透性d ' équilibrer舒适的实用程序et risque。En功能du résultat d 'une分析SmartAccess, un utilisateur peut bénéficier d 'un accès完成，d 'un accès réduit, de enenquarantaine ou d ' auun accès。一个例子，un utilisateur qui échoue à un contrôle de conformité de périphérique peut accéder à un ensemble réduit d’applications。我们的应用是明智的避免的fonctionnalités约束告诉que le blocage de l 'impression et du téléchargement。SmartControl集中la gestion des stratégies在Citrix网关，renforçant le contrôle d 'accès au niveau de la couche réseau avant que l 'utilisateur n 'atteigne la资源后端。

Citrix安全工作区访问

Citrix Workspace提议une方法intégrée pour sécuriser l 'accès à互联网。安全办公空间访问保护劳动办公空间périphériques BYO gérés et non gérés。我们的信息发布者protégées，我们的信息发布者'accéder我们的信息发布者catégories我们的信息发布者。

Citrix安全工作空间访问建议不过滤，url和服务隔离导航intégré。集成，ils donnent à un管理员le choix de bloquer complètement une URL ou d 'accéder à n '导入quelle URL dans un环境沙箱。En oute, les administrateurs peuvent adopter une approche审慎même pour accéder aux URL de liste d ' auisation。我们有专门的服务人员'accéder à信息不可靠。我们的影响在productivité我们的保护在控制威胁imprévues我们的恶意攻击在互联网上diffusés。

我的过滤方式和传统方式都是一样的，我的过滤方式和传统方式都是一样的。安全工作区访问隐式确认à une URL de liste d 'autorisation puisque les pages Web, considérées comme sûres par les moteurs de filtrage d 'URL, peuvent héberger des留置权。Avec安全工作区访问，les URL de con未婚夫的également testées。

安全工作区访问borde également les«URL d ' état gris»en proposant le navigateur isolé。我们的网址accéder我们的网址sécurité我们的网址是这样的，我的网址是黑色的，我的网址是白色的。L 'Secure Workspace Access ne nécessite pas de gestion d 'un périphérique, ce qui le rend idéal pour les environment de type BYO。过滤引擎，过滤，过滤，过滤，包装，服装，使用，最后的请求géré你做了，être connecté à你的领地。

Citrix内容合作

Citrix内容协作测试解决方案SaaS(软件即服务)basée根据云计算提供l ' échange sécurisé de fichiers métiers trustels。内容合作protège les fichiers en transit et au repos。

内容协作使用协议sécurité TLS与protéger l’authentication, l’autorisation et les transferts de fichiers。Les fichiers sont cryptés en transit avec un chiffements jusqu ' à 256位。Un code d ' authentication par message haché (HMAC) est utilisé pour authenticfier et garantir l 'intégrité des communications intra-système。

Citrix内容协作管理人员contrôles可配置。行政人员protègent企业文件à l 'aide de contrôles d 'accès，审计日志，审计审计和审计审计délai会议结束。Avec Citrix安全分析，les客户预防détecter les异常dans les activités liées aux fichiers，标识les违规et prendre les措施appropriées。

Citrix分析

思杰安全分析与监视继续与监视évaluation道德败坏的soutiennent la哲人零信任«一个jamais faire conire, toujours vérifier»。先锋的多纳accès资源，在calcalle niveau approprié de risque et de posture de sécurité。

思杰安全分析重组événements de tous les服务思杰。Les indicateurs de risque provant de solutions de sécurité tierces telles que Microsoft Security Graph sont ingérés pour émettre des scores de risque utilisateur。思杰安全分析执行可视化和映射关系的配置。Il met en corrélation les événements et les activités倾倒标识符les异常et fournir des信息par utilisateur, group et application。

Citrix Security Analytics offre également une surveillance continue et des information sur 'accès aux sites Web。Les action surveillées包括la visite de sites Web malveillants, dangereux ou inconnus, la bande passante consommée, le téléchargement risqué et l 'activité de téléchargement。利用者télécharge des quantités过度de données，行动peut être déclenchée倾倒需求者une réponse de l '利用者afin de valider son identité。功能在la réponse l 'utilisateur，行动在peut être déclenchée。

Les règles sont configurées pour déclencher des actions spécifiques sur Les comptes d 'utilisateurs en évaluant en permanence Les seuils de score de risque。最好的例子，les sessions authentifiées dans Citrix Workspace peuvent être déconnectées lors d 'une修改du score de risque。

法国的行政人员sécurité peuvent réactiver l 'accès法国的道德败坏者inférieurs法国的道德败坏者。ce fonctionnalités sont déclenchées功能的因素，背景，au时刻，l ' verture, session, ou, sur, une，继续，功能的déclencheurs, Citrix安全分析。我的监视是永恒的événements和服务的指示是不公正的Citrix和解决方案是sécurité的保护是Azure AD de微软。

结论

Les modèles de sécurité传统的假设que toutes données et transactions sont fiables sur la base d 'hypothèses。关于妥协的事件，关于行为的données，关于恶意行为的行为，关于利用的行为à。零信任，反向的，假定的，假定的，假定的，姿态的données，让交易，不可信的dès, le départ。

所有的组织，零信任的承诺和承诺'atténuation零信任的承诺和承诺'atténuation自由的承诺和承诺'accès自由的承诺和承诺années。我们的巴黎之意été令人难以接受。Tous les éléments nécessaires ont été extrêmement difficiles à constrire et à gérer en tant que solution de sécurité de bout en bout。多因素认证(MFA)，动态问题identités，终点分析问题，信息所有权问题(IRM)，应用和利用问题réseau spécifique à stratégies données。

Grâce à Citrix Workspace, les clients n 'ont pas besoin de déployer des products tier pour SSO, MFA, VPN SSL，代理Web et isolation du navigator。Avec Workspace, l 'accès sans VPN aux resources sensibles est sécurisé non seulement en fournissant des stratégies d 'accès au moment de l ' authentication, mais tout au long de la session。L 'accès est sécurisé根据各种类型的应用程序和资源déployées partout根据云计算，根据站点和资源计算modèle de déploiement混合。