VPN vs ZTNA

Dès la démocratisation d’Internet, à la fin des années 1990, les VPN (Virtual Private Network) ont été utilisés par les entreprises pour donner à leurs collaborateurs des accès distants privés et sécurisés à leur système d’information. Aujourd’hui déployés dans de nombreuses organisations, les VPN n’en demeurent pas moins sans risque pour l’intégrité des systèmes d’information. Pour y pallier, les solutions de ZTNA (Zero Trust Network Access), bien plus sécurisées, sont amenées à remplacer progressivement les VPN au sein des organisations.

Le VPN : faire communiquer deux réseaux de confiance ensemble

Le rôle originel du VPN est de faire communiquer deux réseaux de confiance ensemble. Il s’agit de permettre, par exemple, à une entreprise, de relier deux sites au travers un VPN pour échanger des données entre les deux systèmes d’information de ces deux sites. Par facilité, le VPN a aussi été traditionnellement utilisé pour des accès externes mais par définition, dans ce cas de figure, un des deux sites n’est pas de confiance.

Le fonctionnement d’un VPN est assez simple, un poste utilisateur s’authentifie sur un serveur VPN ; celui-ci va vérifier son identité auprès d’un annuaire d’entreprise et une fois cette identité validée, va autoriser l’accès à un réseau et ainsi permettre l’accès aux différentes ressources situées sur celui-ci.

Le VPN n’est pas une solution totalement fiable, la presse fait, en effet, régulièrement état d’attaques informatiques s’appuyant sur ses vulnérabilités, ce qui pousse notamment les organisations à se tourner vers une autre solution, le ZTNA, qui devrait, selon le Gartner, remplacer les VPN au sein des entreprises et devenir la principale solution d’accès distant sécurisé d’ici 2023.

 

Le ZTNA : gérer l’autorisation d’accès au niveau de l’application

La plateforme sociale et communautaire betterWE définit le ZTNA comme étant un modèle de sécurité qui vise à ne faire confiance à personne par défaut, en gérant l’autorisation d’accès au niveau de l’application et non au niveau de l’accès au réseau comme le propose le VPN.

Du point de vue de l’architecture, le ZTNA s’appuie sur deux briques ; la première étant un serveur de médiation, la deuxième étant le ou les serveurs gateway, qui vont être au plus près des applications, des ressources auxquelles on souhaite donner accès. Dans un premier temps, la gateway se connecte au serveur de médiation, indiquant ainsi qu’elle existe, qu’elle peut être contactée et les ressources auxquelles elle peut donner accès. L’utilisateur va s’authentifier sur ce serveur de médiation qui va vérifier son identité auprès d’un annuaire d’entreprise. Une fois que cette identité est validée, il visualise une liste d’applications auxquelles il peut demander accès. Lorsqu’il réclame l’accès à une application, le serveur de médiation contacte la gateway pour autoriser un flux de communication vers celle-ci et la gateway va établir la session auprès de l’application et non plus du réseau.

VPN vs ZTNA

L’architecture ZTNA est donc beaucoup plus sécurisée que l’architecture VPN. Le VPN donne accès à un réseau, là où le ZTNA donne accès à une application ou une ressource, ce qui permet une granularité des accès. Du point de vue de la traçabilité, le VPN permet de savoir qui s’est connecté mais une fois qu’une personne est connectée, il n’y a aucune information relative à ses actions tandis que le ZTNA permet de savoir qui s’est connecté à quelles ressources et éventuellement d’aller plus loin en s’interconnectant de manière transparente avec un outil de PAM (Privileged Access Management), ce qui n’est pas possible avec un VPN.

Le ZTNA permet par ailleurs de donner très rapidement accès à des applications, déclarer de nouveaux accès et attribuer ces nouveaux accès. Ces accès peuvent être donnés sans qu’il y ait nécessairement d’agent en local, sur le poste de l’utilisateur. Le ZTNA va permettre un contrôle de conformité très fin, beaucoup plus granulaire qu’avec un VPN. Enfin, si le VPN gère l’authentification primaire (le compte utilisé pour s’authentifier au VPN pour passer la porte) le ZTNA va aussi gérer l’authentification secondaire, c’est-à-dire les comptes qui sont utilisés pour accéder aux applications et aux ressources dans un deuxième temps.

 VPNZTNA
ArchitectureSimple barrièreDouble barrières
ArchitectureMono siteMulti sites
AccèsRéseauApplication/ressource
TraçabilitéQui s’est connectéQui s’est connecté à quoi
TraçabilitéNon interconnectable avec un PAMInterconnexion transparente avec un PAM
AdministrationPas de déclaration d’application et attribution d’accès complexeDéclaration des applications et attribution d’accès rapide
AgentNécessaireAccès possible sans agent
Contrôle de conformitéSimpleGranulaire
Gestion de l’authentificationGestion de l’authentification primaireGestion de l’authentification primaire et secondaire