Exploration de l’accès zéro confiance

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • L’accès zéro confiance (ZTA) est un modèle de sécurité qui suppose qu’aucun utilisateur ou appareil n’est approuvé par défaut.

    ZTA garantit que tous les accès aux applications et aux données sont accordés sur la base du moindre privilège, uniquement après vérification de l’identité de l’utilisateur et évaluation des risques.

    Zéro confiance : accès à la session basé sur des politiques

    ServiceNow Zero Trust : accès à la session basé sur des règles (Accès à la session) permet aux organisations de réduire dynamiquement les privilèges des utilisateurs dans une session Web en fonction de divers facteurs, notamment l’adresse IP, l’emplacement, la méthode d’authentification, le rôle de l’utilisateur, le groupe, l’utilisateur disposant de la MFA et les attributs partagés par le fournisseur d’identité (IDP). Cela peut aider à protéger les organisations contre les accès non autorisés et les violations de données, même lorsque des utilisateurs hautement privilégiés accèdent aux applications à partir d’appareils ou d’emplacements non approuvés.

    Elle permet aux administrateurs de sécurité de réduire ou de limiter l’accès des utilisateurs à une session en fonction de l’adresse IP, de l’emplacement, des attributs du fournisseur d’identité et des attributs de l’utilisateur à l’aide de politiques d’authentification adaptative.

    Accès zéro confiance et authentification adaptative
    Remarque :
    • Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
    • L’accès à la session ne prend pas en charge les intégrations.
    • L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, il n’y a aucun changement apporté à la session de connexion. L’utilisateur continue d’accéder à l’instance avec les privilèges affectés.
    • L’accès à la session n’a aucun impact lorsque l’utilisateur est déjà connecté à l’instance et que l’administrateur configure la politique simultanément. L’utilisateur doit se déconnecter de la session pour que la politique soit efficace.
    • L’accès à la session n’a aucun impact lorsque l’utilisateur se trouve dans un réseau de confiance et passe ultérieurement à un VPN (changement d’emplacement ou de réseau) au cours d’une session.
    • L’accès à la session est appliqué au moment de la connexion. Tout changement des paramètres de risque pendant la session n’entraîne pas de réduction de l’accès. Par exemple, si un utilisateur passe d’un réseau d’entreprise à un réseau non approuvé après avoir établi la session, l’accès ne sera pas réduit, sauf s’il se déconnecte et se reconnecte.

    Cas d'utilisation

    Voici quelques-uns des cas d’utilisation de l’accès Zero Trust :

    • Réduisez les privilèges en fonction du risque associé à la session. Par exemple, un utilisateur ayant un rôle de prestataire se connectant en dehors du réseau approuvé peut être configuré pour avoir uniquement le rôle de demandeur pour la session.
    • Réduisez l’accès en fonction de la réponse IdP pour une session utilisateur, si l’utilisateur utilise un appareil non approuvé. Pour plus d'informations, consultez Configurer l’attribut IdP pour l’accès à la session.

    Cette relégation de rôle garantit que l’utilisateur n’a pas d’autres privilèges existants dans une session. Lorsque l’utilisateur se connecte à partir d’un réseau approuvé, tous les privilèges existants sont affectés pour une session.

    Plusieurs conditions IP et plusieurs affectations de rôle ou de groupe peuvent être définies dans le cadre de la politique.

    Accès zéro confiance - Mobile

    Vous pouvez utiliser la stratégie Accès zéro confiance - Accès à la session dans la stratégie d’authentification adaptative pour réduire les rôles ou privilèges d’une session particulière sur mobile.

    Accès zéro confiance : l’accès à la session mobile peut être activé en activant glide.authenticate.session_access.mobile.enabled dans la table des propriétés système.

    Pour utiliser l’accès zéro confiance : accès à la session mobile avec les attributs IdP, vous pouvez configurer le champ glide.authenticate.session_access.mobile.refresh_token_interval . Cela permet aux administrateurs de contrôler efficacement l’accès à la session en fonction du jeton d’actualisation.

    Pour plus d'informations, consultez Configure Zero Trust Access for mobile.