Zpedia 

/ Quelle est la différence entre le SDP et un VPN ?

Quelle est la différence entre le SDP et un VPN ?

La différence entre un périmètre défini par logiciel (SDP) et un réseau privé virtuel (VPN) est la suivante : alors qu’un VPN traditionnel place une barrière autour d’un réseau d’entreprise entier, un SDP élimine efficacement un périmètre réseau en plaçant des politiques et des contrôles de sécurité autour des logiciels, réduisant les autorisations à une base de charge de travail à charge de travail ou d’application à application plutôt qu’à une architecture typique basée sur le périmètre.

Lire notre rapport 2023 sur les risques liés aux VPN
Zero trustProtection contre les menaces en lignePersonnel hybrideSécurité réseauSécurité Cloud
  1. Qu’est-ce qu’un SDP ?
  2. Comment fonctionne le SDP
  3. Cas d’utilisation du SDP
  4. Qu’est-ce qu’un VPN ?
  5. Comment fonctionne un VPN
  6. Cas d’utilisation du VPN
  7. SDP vs. VPN
  8. SDP et ZTNA
  9. Zscaler ZTNA
  10. Ressources suggérées
  11. FAQ
  12. Autres thèmes similaires

Qu’est-ce qu’un périmètre défini par logiciel (SDP) ?

Le périmètre défini par logiciel (SDP) désigne une approche de sécurité qui distribue l’accès aux applications internes en fonction de l’identité de l’utilisateur, avec un niveau de confiance qui s’adapte en fonction du contexte. Alors que la sécurité traditionnelle est centralisée dans le data center, le SDP est fourni par le cloud, et donc omniprésent. Il s’appuie sur la politique de l’entreprise pour déterminer l’authentification des utilisateurs aux ressources, ce qui en fait un élément important de la sécurisation des entreprises axées sur le cloud et le mobile.

Conçus pour la première fois par la Defense Information Systems Agency (DISA) en 2007, les SDP sont construits sur un modèle de « besoin de savoir » avec un niveau de confiance constamment contrôlé et adapté en fonction d’une série de critères. Ils rendent l’infrastructure applicative invisible sur Internet, réduisant ainsi la surface d’attaque des cyberattaques basées sur le réseau (DDoS, ransomware, malware, analyse de serveur, etc.).

La Cloud Security Alliance (CSA) s’est intéressée au concept et a commencé à développer le cadre SDP à ses prémices. En 2011, alors que le SDP était encore un concept émergent, Google a été l’un des premiers à l’adopter en développant sa propre solution SDP, Google BeyondCorp. Aujourd’hui, les entreprises qui adoptent le SDP modernisent la sécurité de leurs terminaux, de leur cloud et de leurs applications, en particulier dans le cadre de la transition vers le télétravail.

Comment fonctionne un SDP ?

  1. La confiance n’est jamais implicite : la sécurité réseau traditionnelle procure aux utilisateurs une confiance excessive. Avec un SDP, cette confiance doit être méritée. Les SDP n’accordent l’accès à une application qu’aux utilisateurs authentifiés et spécifiquement autorisés à utiliser cette application. De plus, les utilisateurs autorisés n’ont accès qu’à l’application, et non au réseau.
  2. Aucune connexion entrante : contrairement à un réseau privé virtuel (VPN), qui écoute les connexions entrantes, les SDP n’en reçoivent aucune. En répondant par des connexions sortantes uniquement, les SDP maintiennent l’infrastructure du réseau et des applications invisible ou masquée sur Internet, et donc impossible à attaquer.
  3. Segmentation des applications, pas du réseau : auparavant, les entreprises devaient effectuer une segmentation complexe du réseau pour empêcher un utilisateur (ou une infection) de se déplacer latéralement sur le réseau. Cette méthode fonctionnait assez bien, mais elle n’était jamais granulaire et exigeait une maintenance constante. Le SDP fournit une segmentation native des applications qui réduit les contrôles d’accès à une base individuelle. La segmentation est donc beaucoup plus granulaire et beaucoup plus facile à gérer.
  4. Utilisation sécurisée d’Internet : avec des utilisateurs disséminés et des applications sorties de votre data center, votre entreprise doit délaisser son approche centrée sur le réseau. Vous devez déplacer la sécurité là où se trouvent vos utilisateurs, ce qui signifie exploiter Internet en tant que nouveau réseau d’entreprise. Le SDP se concentre sur la sécurisation des connexions utilisateur-application sur Internet plutôt que sur la sécurisation de l’accès des utilisateurs à votre réseau.

D’un point de vue architectural, le SDP diffère fondamentalement des solutions centrées sur le réseau. Les SDP éliminent les frais généraux de l’entreprise liés au déploiement et à la gestion des appliances. L’adoption d’une architecture SDP simplifie également votre pile de données entrantes en réduisant la dépendance à l’égard des VPN, de la protection DDoS, de l’équilibrage de charge global et des pare-feu.

Cas d’utilisation du SDP

Bien que le SDP propose de nombreux cas d’utilisation, beaucoup d’entreprises choisissent de commencer par l’un des quatre aspects suivants :

Sécuriser l’accès multicloud

De nombreuses entreprises exploitent un modèle multicloud en combinant, par exemple, Workday et Microsoft 365, ainsi que des services d’infrastructure d’AWS et d’Azure. Elles peuvent également avoir recours à une plateforme cloud pour le développement, le stockage, etc. La nécessité de sécuriser ces environnements incite les entreprises à se tourner vers les SDP en raison de leur capacité à sécuriser les connexions sur la base d’une politique, quel que soit l’emplacement d’où les utilisateurs se connectent ou l’endroit où les applications sont hébergées.

Réduire les risques liés aux tiers

La plupart des utilisateurs tiers bénéficient d’un accès trop privilégié, ce qui crée une faille de sécurité pour l’entreprise. Les SDP réduisent considérablement les risques liés aux tiers en garantissant que les utilisateurs externes n’accèdent jamais au réseau et que les utilisateurs autorisés n’ont accès qu’aux applications qu’ils sont habilités à utiliser.

Accélérer l’intégration des fusions et acquisitions

Dans le cadre des fusions et acquisitions traditionnelles, l’intégration informatique peut durer des années. En effet, les entreprises doivent faire converger leurs réseaux et gérer le chevauchement des adresses IP, ce qui représente un processus incroyablement complexe. Un SDP simplifie le processus en réduisant le temps nécessaire à la réussite des fusions et acquisitions et en apportant une valeur immédiate à l’entreprise.

Remplacer le VPN

Les entreprises cherchent à réduire ou éliminer l’utilisation des VPN, car ceux-ci nuisent à l’expérience utilisateur, introduisent des risques de sécurité et sont difficiles à gérer. Les SDP répondent directement aux problèmes notoires des VPN en améliorant la capacité d’accès à distance.

Selon Cybersecurity Insiders, 41 % des entreprises souhaitent réévaluer leur infrastructure d’accès sécurisé et envisagent de recourir à un SDP, la majorité d’entre elles nécessitant un déploiement informatique hybride et un trimestre pour la mise en œuvre d’un SaaS.

Maintenant que nous avons traité du fonctionnement interne et des cas d’utilisation de SDP, examinons un réseau privé virtuel, ou VPN.

Qu’est-ce qu’un réseau privé virtuel (VPN) ?

Un réseau privé virtuel (VPN) est un tunnel chiffré qui permet à un client d’établir une connexion Internet à un serveur sans avoir de contact avec le trafic Internet. Grâce à cette connexion VPN, l’adresse IP de l’utilisateur est masquée, ce qui garantit sa confidentialité en ligne lorsqu’il accède à Internet ou aux ressources du réseau de l’entreprise, même sur les réseaux Wi-Fi publics ou les points d’accès mobiles et sur les navigateurs publics tels que Chrome ou Firefox.

Avant la première itération du VPN, connue sous le nom de « point-to-point tunneling protocol » ou PPTP, l’échange sécurisé d’informations entre deux ordinateurs nécessitait une connexion câblée, ce qui était inefficace et peu pratique à grande échelle. 

Avec le développement des normes de chiffrement et l’évolution des exigences matérielles sur mesure pour construire un tunnel sans fil sécurisé, le PPTP a finalement évolué pour devenir ce qu’il est aujourd’hui : le serveur VPN. Pouvant être appliqué sans fil, il a permis aux entreprises, qui avaient besoin d’un transfert d’informations sans fil sécurisé, d’économiser du temps et de l’argent. À partir de là, de nombreuses entreprises, dont Cisco, Intel et Microsoft, ont construit leurs propres services VPN physiques et logiciels/cloud.

Comment fonctionne un VPN ?

Un VPN fonctionne à partir d’une connexion standard entre l’utilisateur et Internet en créant un tunnel virtuel et chiffré qui relie l’utilisateur à une appliance dans un data center. Ce tunnel protège le trafic en mouvement et empêche ainsi les acteurs malveillants, qui utilisent des robots d’exploration et déploient des malwares, de voler des informations de l’utilisateur ou de l’entité. AES ou « Advanced Encryption Standard », l’un des algorithmes de chiffrement les plus couramment utilisés pour les VPN, consiste en un chiffrement par bloc symétrique (à clé unique) conçu pour protéger les données en mouvement.

Le plus souvent, seuls les utilisateurs authentifiés peuvent envoyer leur trafic via le tunnel VPN. En fonction du type de VPN ou de son fournisseur, les utilisateurs peuvent être amenés à s’authentifier à nouveau pour que leur trafic continue de transiter par le tunnel et soit à l’abri des hackers.

Comment les entreprises utilisent les VPN

Les entreprises ont recours aux VPN pour sécuriser les utilisateurs qui travaillent à distance et utilisent des appareils mobiles ou d’autres terminaux qui peuvent ne pas être considérés comme sûrs. Par exemple, les entreprises peuvent fournir des ordinateurs portables Windows ou Mac pour permettre à leurs employés de travailler à domicile si nécessaire. Bien entendu, cette notion est désormais largement répandue à la suite de la pandémie de COVID-19.

Les entreprises déploient des VPN pour permettre aux utilisateurs distants d’accéder en toute sécurité aux ressources de l’entreprise via des réseaux non protégés, que ce soit à domicile, dans un café, un hôtel ou ailleurs. La plupart des fournisseurs de services Internet (FAI) disposent de protocoles de sécurité satisfaisants pour protéger les données non sensibles circulant sur les réseaux domestiques. Cependant, lorsqu’il s’agit de données sensibles, les mesures de sécurité du réseau Wi-Fi domestique ne sont pas assez solides pour les protéger à elles seules, ce qui conduit les entreprises à superposer des protocoles VPN pour renforcer la sécurité.

Les VPN permettent aux entreprises de couper le flux de trafic par défaut entre le routeur et le data center, et de l’envoyer via un tunnel chiffré qui protège les données et sécurise l’accès à Internet des utilisateurs qui travaillent à distance, réduisant (mais n’éliminant pas) la surface d’attaque d’une entreprise.

SDP ou VPN : quelles sont les différences ?

La véritable différence entre le SDP et le VPN réside dans leur méthode de connectivité. Les VPN centrent la connexion des appareils des utilisateurs aux réseaux sur l’adresse IP et le réseau. Le SDP quant à lui permet d’établir des connexions sécurisées entre les utilisateurs et les applications autorisés, et non avec le réseau.

Avec les solutions SDP, une connexion directe est établie de l’utilisateur vers l’application, au lieu de permettre à l’appareil d’accéder au réseau. Ces connexions d’interaction directe garantissent l’invisibilité des adresses IP des applications sur Internet tout en dissociant l’accès aux applications du réseau. Les utilisateurs n’ayant aucun accès au réseau, la surface d’attaque est fortement réduite, et les utilisateurs bénéficient d’un accès rapide et direct aux applications, sans latence liée au réseau, une expérience utilisateur bien supérieure à celle qu’offre le VPN.

Les entreprises cherchent à réduire ou éliminer l’utilisation des VPN, car ceux-ci nuisent à l’expérience utilisateur, introduisent des risques de sécurité et sont difficiles à gérer. Les SDP répondent directement aux problèmes notoires des VPN en améliorant la capacité d’accès sécurisé à distance.

SDP et Zero Trust Network Access (ZTNA)

Le modèle ZTNA est devenu un cadre de sécurité reconnu, mais nombreux sont ceux qui ne savent pas qu’il repose sur les mêmes principes que le SDP. En réalité, le ZTNA utilise les principes et les fonctionnalités du SDP. Dans les deux cas, il n’y a pas de réseau interne et les utilisateurs ne sont autorisés à accéder aux ressources que si le contexte de la requête (utilisateur, appareil, identité, etc.) peut être validé.

Pour aider les entreprises à atteindre un tel niveau de sécurité, les fournisseurs prétendent fournir un cadre ZTNA capable de sécuriser le réseau, les données et les ressources cloud de l’entreprise. Mais la plupart de ces cadres ne sont que des plateformes de sécurité cloud ajoutées tant bien que mal à des appliances existantes. Ou pire, ils sont conçus par des fournisseurs de réseaux qui collent un module de sécurité dans le but d’entrer dans l’univers de la sécurité.

Ces plateformes n’offrent pas l’évolutivité, la flexibilité ni, surtout, la sécurité qu’une plateforme conçue dans le cloud, pour le cloud, peut offrir.

Zscaler, SDP et ZTNA

Le Zscaler Zero Trust Exchange™ comprend Zscaler Private Access™ (ZPA), la seule plateforme ZTNA de nouvelle génération du secteur, construite sur les principes d’un SDP. ZPA redéfinit la connectivité et la sécurité des applications privées pour le personnel hybride moderne en appliquant le principe du moindre privilège qui offre aux utilisateurs une connectivité directe et sécurisée aux applications privées exécutées sur site ou dans le cloud public tout en éliminant les accès non autorisés et les déplacements latéraux.

Zscaler Private Access permet à votre entreprise de :

  • Stimuler la productivité du personnel hybride grâce à un accès rapide et homogène aux applications privées, que vos utilisateurs travaillent à domicile, au bureau ou ailleurs
  • Atténuer le risque de violation de données en dissimulant les applications aux yeux des hackers, tout en appliquant l’accès sur la base du moindre privilège, en minimisant efficacement votre surface d’attaque et en éliminant les déplacements latéraux
  • Arrêter les adversaires les plus sophistiqués grâce à la protection des applications privées, première du genre, qui minimise le risque de compromission des utilisateurs et d’attaques actives
  • Étendre la sécurité Zero Trust aux applications, aux charges de travail et à l’IoT grâce à la plateforme ZTNA la plus complète au monde qui assure l’accès sur la base du moindre privilège aux applications privées, aux charges de travail et aux dispositifs OT/IIoT

Réduire la complexité opérationnelle grâce à une plateforme cloud native qui supprime les VPN traditionnels peu évolutifs, difficiles à gérer et à configurer dans un monde axé sur le cloud.

promotional background

Les VPN exposent vos réseaux aux attaques. Abandonnez en toute confiance vos VPN avec Zscaler.

En savoir plus

Ressources suggérées

Raisons pour lesquelles ZTNA est la meilleure alternative au VPN
Visitez notre page Web
Qu’est-ce qu’un VPN ?
Lire l'article
Qu’est-ce qu’un périmètre défini par logiciel ?
Lire l'article
Zscaler Private Acccess
Visitez notre page Web
Utilisation du SDP comme alternative au VPN : 6 questions fréquemment posées par les administrateurs réseau
Lire le blog
Trois raisons pour lesquelles les SDP, et maintenant ZTNA, remplacent les VPN
Lire le blog
01 / 04
Foire aux questions