Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Comment Cloudflare propose la sécurité Zero Trust

24/06/2022

8 min. de lecture
How Cloudflare Security does Zero Trust

Tout au long de la Cloudflare One week, nous avons fourni des guides sur la façon dont vous pouviez remplacer les équipements traditionnels par des services Zero Trust. Notre équipe a toujours eu pour habitude d'utiliser nos propres produits et nous souhaitons raconter l'expérience qui a été la nôtre lorsque nous avons mis en œuvre le modèle Zero Trust.

Notre parcours a été semblable à celui d'un grand nombre de nos clients. Non seulement nous voulions de meilleures solutions de sécurité, mais les outils que nous utilisions rendaient notre travail plus difficile qu'il n'aurait dû l'être. Au début nous cherchions simplement à nous débarrasser de la connexion à distance sur VPN, peu pratique, mais très rapidement nous avons déployé des solutions Zero Trust qui protègent nos employés lors de la navigation sur internet et dans les e-mails. Pour la suite, nous sommes impatients de faire évoluer notre sécurité SAAS avec notre nouveau produit CASB.

Nous savons combien la mise en route avec le Zero Trust peut sembler insurmontable mais nous espérons que vous saurez vous inspirer de notre expérience et de la manière dont cela nous a été bénéfique.

Remplacement d'un VPN : lancement de Cloudflare Access

En 2015, un VPN physique permettait de contrôler l'accès à toutes les applications hébergées en interne chez Cloudflare. Les techniciens d'astreinte devaient lancer un logiciel sur leur ordinateur portable, se connecter au réseau privé virtuel (VPN) et ouvrir une session sur Grafana. Cette procédure était lente et frustrante.

La plupart des produits conçus par Cloudflare sont directement inspirés des problématiques auxquelles notre propre équipe tente de trouver des solutions, et Access en est un parfait exemple. D'abord lancé comme un projet interne en 2015, Access a permis aux employés d'accéder à des applications internes par le biais de notre fournisseur d'identité. Nous avons commencé avec une seule application derrière Access, avec l'objectif d'améliorer notre temps de réponse aux incidents. Les techniciens qui recevaient une notification sur leur téléphone pouvaient ouvrir un lien et, après s'être authentifiés dans leur navigateur, ils accédaient immédiatement à ce dont ils avaient besoin. Dès que nos employés ont commencé à utiliser la nouvelle méthode d'authentification, ils ont voulu qu'elle soit généralisée. Notre équipe de sécurité a fini par nous demander de protéger toutes nos applications avec Access, mais c'était une évidence depuis longtemps : les équipes étaient impatientes de pouvoir l'utiliser.

L'authentification se produisant à la périphérie de notre réseau, nous étions en mesure de prendre en charge des effectifs répartis dans le monde entier, et ce, sans la latence d'un VPN, et surtout en toute sécurité. Qui plus est, notre équipe se consacre à la protection de nos applications internes avec les mécanismes d'authentification les plus sécurisés et les plus simples à adapter, et l'authentification à deux facteurs est un des contrôles de sécurité les plus importants qui puissent être mis en œuvre. Cloudflare Access nous permet d'utiliser les puissants mécanismes d'authentification à deux facteurs de notre fournisseur d'identité.

Tous les seconds facteurs d'authentification n'offrent pas le même niveau de sécurité. Certaines méthodes restent vulnérables aux attaques de l'homme du milieu (MITM). Ces attaques sont souvent le fait d'acteurs malveillants qui volent des mots de passe à usage unique, le plus souvent par le biais d'un hameçonnage, pour accéder à des ressources confidentielles. Pour écarter cette possibilité, nous avons mis en œuvre des clés de sécurité prises en charge par FIDO2. FIDO2 est un protocole d'authentification conçu pour empêcher l'hameçonnage, et à l'époque, nous l'avons vu comme un moyen de réduire notre dépendance aux jetons logiciels.

Certes la mise en œuvre de FIDO2 peut poser des problèmes de compatibilité, nous étions toutefois ravis d'améliorer notre niveau de sécurité. Cloudflare Access nous a permis de limiter l'accès à nos systèmes à FIDO2 uniquement. Les employés de Cloudflare doivent désormais utiliser leurs clés physiques pour accéder à nos applications. L'intégration d'Access nous a non seulement fait gagner beaucoup en simplicité d'utilisation, mais la mise en place des clés de sécurité a considérablement élevé notre niveau de sécurité.

Atténuer les menaces et empêcher les fuites de données : Gateway et Isolation du navigateur à distance

Déploiement d'un DNS sécurisé dans nos bureaux

Quelques années plus tard, en 2020, les équipes de sécurité de nombreux clients peinaient à élargir les contrôles qu'ils avaient activés dans leurs bureaux pour les appliquer aux employés en télétravail. C'est pour eux que nous avons lancé Cloudflare Gateway, dans le but de proposer à nos clients une protection contre les logiciels malveillants, les rançongiciels, le hameçonnage, les attaques de type Command & Control, les phénomènes de Shadow IT et d'autres risques liés à Internet sur l'ensemble des ports et protocoles. Gateway oriente et filtre le trafic en fonction des politiques mises en œuvre par le client.

Notre équipe de sécurité a commencé à utiliser Gateway pour appliquer un filtrage DNS à l'ensemble de nos bureaux. Gateway s'appuyant sur le même réseau que 1.1.1.1, le résolveur DNS le plus rapide du monde, tous les bureaux de Cloudflare, que ce soit aujourd'hui ou dans le futur, bénéficieront du filtrage DNS sans latence supplémentaire. Chaque bureau se connecte au datacenter le plus proche et est protégé.

Déploiement d'un DNS sécurisé pour nos utilisateurs distants

Le client WARP de Cloudflare repose également sur notre résolveur DNS 1.1.1.1. Il étend aux appareils de l'entreprise se trouvant à distance la sécurité et les performances offertes dans les bureaux. Lorsque le client WARP est déployé, les appareils d'entreprise se connectent au datacenter Cloudflare le plus proche et sont acheminés vers Cloudflare Gateway. Dans la mesure où il se trouve entre l'appareil d'entreprise et Internet, l'ensemble de la connexion provenant de l'appareil est sécurisée, tandis que la vitesse et la confidentialité sont garanties.

Nous avons cherché à étendre le filtrage DNS sécurisé à nos effectifs en télétravail et nous avons déployé le client WARP de Cloudflare à l'ensemble de nos terminaux. Le déploiement a permis à nos équipes de sécurité de mieux préserver notre confidentialité en chiffrant le trafic DNS avec DoH (DNS over HTTPS). Parallèlement, Cloudflare Gateway classe les domaines en fonction de Radar, notre plateforme d'information sur les menaces, qui nous permet de bloquer les domaines à haut risque ou suspects pour les utilisateurs du monde entier.

Ajout du filtrage HTTPS et de l'isolation du navigateur

Le filtrage DNS est un outil précieux pour la sécurité, mais il se limite à bloquer des domaines entiers. Notre équipe souhaitait un instrument précis qui permette de ne bloquer que les URL malveillantes, pas des domaines entiers. Cloudflare One étant une plateforme intégrée, la plus grande partie du déploiement était déjà terminée. Tout ce dont nous avions besoin était d'ajouter Cloudflare Root CA à nos points de terminaison et d'activer le filtrage HTTP dans le tableau de bord Zero Trust. Ces quelques étapes nous ont permis en toute simplicité de mettre en œuvre des contrôles de blocage plus granulaires.

Grâce au filtrage HTTP, nous sommes en mesure d'exercer non seulement un blocage de précision mais également un contrôle des utilisateurs. Avec ce contrôle, les politiques HTTP de Gateway règlementent l'accès aux applications SaaS de l'entreprise. Les politiques sont mises à œuvre à l'aide d'en-têtes personnalisés. Si la requête comporte l'en-tête personnalisé et qu'elle est envoyée à un compte de l'organisation, l'accès est accordé. Si elle comporte l'en-tête mais qu'elle est adressée à un compte extérieur à l'organisation, tel qu'un compte personnel, la requête peut être bloquée ou ouverte dans un navigateur isolé.

Après avoir protégé le trafic de nos utilisateurs aux niveaux DNS et HTTP, nous avons mis en œuvre l'isolation du navigateur. Lorsque l'isolation du navigateur est en place, tout le code du navigateur s'exécute dans le cloud sur le réseau Cloudflare. Cette procédure isole nos terminaux des attaques malveillantes et des techniques courantes d'exfiltration de données. Certains produits d'isolation du navigateur distant induisent de la latence, ce qui contrarie les utilisateurs. L'isolation du navigateur de Cloudflare met à profit la puissance de notre réseau pour garantir une expérience fluide à nos employés. Elle a rapidement élevé notre niveau de sécurité sans aucun compromis pour l'expérience utilisateur.

Prévention des attaques par hameçonnage : intégration de la solution de sécurité des e-mails Area 1

Début 2020, notre équipe de sécurité a par ailleurs remarqué un accroissement des tentatives d'hameçonnage signalées par nos employés. Notre fournisseur de messagerie électronique basé sur le cloud disposait d'une puissante fonctionnalité de filtrage du spam, mais ne parvenait pas à bloquer les menaces malveillantes et d'autres attaques avancées. Tandis que nous observions une augmentation du volume et de la fréquence des attaques par hameçonnage, il nous a semblé qu'il était temps d'envisager plus sérieusement des options de protection des e-mails.

L'équipe a considéré les prestataires sous quatre angles principaux : la possibilité d'analyser les pièces jointes, la capacité d'analyse des liens malveillants, la protection contre la compromission des adresses e-mail et la robustesse des API intégrées aux fournisseurs de messagerie électronique cloud-native. Après avoir testé plusieurs prestataires, Area 1 s'imposa comme le choix le plus évident pour protéger nos collaborateurs. Nous avons mis la solution d'Area 1 en œuvre au début de l'année 2020 et les résultats se sont révélés fantastiques.

Compte tenu des retours plus que positifs concernant le produit et de notre désir d'élargir notre portefeuille de produits Zero Trust, Cloudflare a fait l'acquisition d'Area 1 Email Security en avril 2022. Nous sommes ravis de proposer à nos clients la même protection que celle dont nous bénéficions.

Et ensuite ? Mise en route avec le CASB de Cloudflare

Cloudflare a fait l'acquisition de Vectrix en février 2022. Le CASB de Vectrix CASB propose des fonctionnalités que nous sommes heureux d'ajouter à Cloudflare One. La sécurité SaaS occupe de plus en plus de nombreuses équipes de sécurité. Les outils Saas stockent de plus en plus de données d'entreprises confidentielles, c'est pourquoi les erreurs de configuration ou les accès provenant de l'extérieur représentent des menaces considérables. Toutefois, la sécurisation de ces plateformes implique parfois de grandes difficultés en matière de ressources. L'examen manuel des configurations malheureuses ou des fichiers partagés en externe prend beaucoup de temps, et c'est pourtant une procédure nécessaire pour de nombreux clients. Le CASB soulage nos équipes de cette tâche fastidieuse ; il garantit des normes de sécurité avec une analyse des instances SaaS et l'identification des vulnérabilités en quelques clics seulement.

Nous voulons être certain d'appliquer les meilleures pratiques pour la sécurité SaaS et à l'instar d'un grand nombre de nos clients, nous avons de nombreuses applications SaaS à sécuriser. Nous sommes constamment à la recherche d'opportunités qui permettraient de rendre nos processus plus efficaces, nous nous réjouissons donc d'intégrer un des plus récents de nos produits Zero Trust.

Toujours en quête d'amélioration

Chez Cloudflare, nous sommes fiers de déployer et tester nos propres produits. Notre équipe de sécurité travaille directement avec le produit, ce qui lui permet d'être la première à le tester en situation réelle. Nous avons pour mission de contribuer à bâtir un internet meilleur et cela implique un retour pertinent de la part de nos équipes internes. Premier client des produits Cloudflare, l'équipe de sécurité ne contribue pas uniquement à la sécurité de l'entreprise, elle contribue également à la création de meilleurs produits pour les clients.

Nous espérons que vous avez apprécié la Cloudflare One week. C'est avec beaucoup de plaisir que nous vous avons fait part de notre propre expérience. Si vous souhaitez un récapitulatif de la semaine, consultez le segment Cloudflare TV que nous lui consacrons.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Cloudflare One Week (FR)Security (FR)Cloudflare Zero Trust (FR)Zero Trust (FR)Cloudflare Access (FR)Dogfooding (FR)Français

Suivre sur X

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

Publications associées