Formal Security of Zero Trust Architectures
Sécurité Formelle des Architectures Zéro Confiance
Résumé
The security architecture of Information Technology (IT) systems has traditionally been based on the perimeter security model, in which resources are grouped into perimeters isolated through network mechanisms, and devices are authenticated to access perimeters. Once within a perimeter, devices are implicitly trusted, and enjoy unrestricted access to resources within that perimeter. However, history has shown that such trust is misplaced, as numerous security threats and successful attacks against perimeter-based architectures have been documented. Furthermore, the emergence of new IT usages, such as cloud services, work-from-home, and service providers and subsidiaries relationships, has challenged the relevance of considering a monolithic, trusted network for accessing resources. These considerations have led to the emergence of a novel security paradigm, called by zero trust. Founded on the principle "never trust, always verify", this approach transforms the notion of perimeter and establishes a set of security principles that prioritize context-aware and dynamic authorization. Nevertheless, implementing zero trust poses significant challenges, due to a lack of clear guidelines for defining zero trust.In this context, this thesis investigates whether, and how, it is possible to develop a practical and formal framework for reasoning about the security of IT architectures. First, a thorough survey of zero trust is conducted, and a taxonomy of existing zero trust technologies and architectures is developed, enabling a comprehensive understanding of zero trust. This leads to the development of an evaluation framework, that is used to identify gaps within zero trust research. This thesis provides contributions aiming to address some of these gaps, for enhancing the state of zero trust technology development. These improvements are integrated into a proof-of-concept zero trust architecture implemented for this thesis, illustrating a method for extending an existing zero trust architecture. Finally, the thesis takes a step back, and evaluates the extent to which the zero trust framework addresses real-world problems, demonstrating that the zero trust framework alone is not sufficient for protecting sensitive data and services.
La sécurité des systèmes d'information repose traditionnellement sur le modèle de sécurité du périmètre, qui compartimentalise le réseau en différents périmètres isolés qui regroupent les ressources. Un système accède à un périmètre en s'authentifiant, et une fois au sein d'un périmètre, il est implicitement considéré comme étant de confiance, jouissant d'un accès non restreint à toutes les ressources de ce périmètre. Cependant, de nombreuses attaques envers les architectures périmétriques ont montré les limites de cette confiance. De plus, la transformation des systèmes d'information, par exemple l'émergence des services en nuage (cloud services), le télétravail ou l'usage de prestataires, a remis en cause la vision d'un réseau monolithique de confiance. Ainsi, un nouveau paradigme de sécurité a émergé, appelé zéro confiance. Fondé sur le principe "ne jamais faire confiance, toujours vérifier", ce paradigme transforme la notion de périmètre, en établissant un ensemble de principes de sécurité reposant sur une autorisation contextuelle et dynamique. Cependant, mettre en œuvre une architecture zéro confiance pose de nombreux défis, en particulier car il n'existe pas de définition claire du paradigme zéro confiance.Dans ce contexte, cette thèse explore comment développer un cadre pratique et formel pour raisonner sur la sécurité des systèmes d'information. Tout d'abord, une étude approfondie du modèle zéro confiance est conduite, puis une taxonomie des technologies et architectures zéro confiance existantes est établie, ce qui permet une compréhension exhaustive du paradigme zéro confiance. Cela mène à la création d'une méthode d'évaluation des architectures, qui permet également d'identifier des lacunes dans la recherche sur le zéro confiance. Cette thèse propose plusieurs contributions pour combler ces lacunes, afin d'améliorer l'état de l'art pour le zéro confiance. Ces améliorations sont intégrées au sein d'un démonstrateur d'architecture zéro confiance, illustrant comment une architecture zéro confiance peut être complémentée par de nouvelles technologies pour améliorer sa maturité. Enfin, cette thèse prend du recul et évalue comment le paradigme zéro confiance répond aux problèmes de sécurité auxquels font face les entreprises, démontrant qu'il n'est pas suffisant seul pour protéger les données et services sensibles.
Origine | Version validée par le jury (STAR) |
---|