Qu’est-ce qu’une stratégie d’identité Zero-Trust ?
L’identité est le fondement d’un cadre de confiance zéro plutôt qu’une simple étape dans sa mise en œuvre. L’environnement de confiance zéro d’une organisation de soins de santé ne peut exister sans tenir compte de toutes les caractéristiques discrètes de l’anatomie de l’identité. Cela devrait être intégré dans tous les aspects de l’infrastructure de confiance zéro. Cependant, l’identité de confiance zéro ne peut pas être obtenue via une solution ponctuelle. La réalisation d’une stratégie de confiance zéro doit tenir compte des personnes, des processus et de la technologie.
L’identité zéro confiance commence par la gouvernance, les cadres et les flux de travail. Les enregistrements d’identité, les mécanismes d’authentification, les politiques d’accès, les analyses et les moteurs d’automatisation et d’orchestration doivent tous être corrélés et codés pour s’exécuter dans une structure de gouvernance des politiques unique. Dans un écosystème privé, chaque entité est contrôlée par un moteur intégré de politique en tant que code pour s’assurer qu’elle est connue du réseau.
L’objectif d’une stratégie d’identité zéro confiance est de confirmer l’identité de chaque personne lorsqu’elle tente d’accéder aux ressources d’un établissement de santé. Lorsqu’une tentative de connexion est effectuée, l’environnement fait référence à un magasin d’identités contrôlé pour vérifier l’identité d’une entité numérique et si elle dispose des privilèges d’état actuels pour accéder à une ressource spécifique. Cela s’applique que la ressource soit un appareil, un service, une application ou des données.
DÉCOUVRIR: Comment la confiance zéro protège les données des patients contre les menaces de sécurité les plus graves.
Comment mettre en œuvre une stratégie d’identité Zero-Trust
Un plan réussi tient compte de la participation d’un cadre de gouvernance interministériel. L’absence d’un cadre holistique centré sur l’identité peut augmenter la surface d’attaque et laisser une organisation avec un faux sentiment de sécurité.
Un engagement typique dans le cadre d’une stratégie d’identité zéro confiance se décompose en trois principaux composants d’évaluation :
- Relation de composant : Cela inclut le matériel et l’interopérabilité matérielle. L’interopérabilité est essentielle pour assurer une surveillance et une exécution des politiques de bout en bout. Toutes les solutions de sécurité doivent pouvoir communiquer pour garantir la sécurité de l’ensemble du réseau.
- Planification du flux de travail : Cela inclut les processus métier, le mappage des données et la catégorisation des workflows.
- Politiques d’accès : Ces politiques doivent être considérées du point de vue des composants ainsi que de manière holistique.
Il est courant d’ouvrir la voie en découvrant les composants réseau, les services, les flux de données et les applications métier de base pour créer le noyau d’une architecture zéro confiance. Ceci est suivi d’une évaluation des politiques de réseau existantes telles que les pare-feu, les systèmes de prévention de détection d’intrusion, les configurations de réseau local virtuel et les systèmes de prévention de perte de données qui peuvent exister dans l’écosystème. La phase de déploiement commence alors et utilise cette architecture de référence, suivie du moteur de politique principal.
Toutes les politiques que chaque composant exécute individuellement sont corrélées et canalisées vers une politique principale qui coordonne chaque événement de bout en bout. Une fois en opération, l’environnement et les règles de politique sont surveillés en permanence pour en vérifier l’efficacité.
LIRE LE LIVRE BLANC : Découvrez comment une architecture Zero Trust améliore la protection des données.
Considérations pour une stratégie d’identité Zero-Trust dans les soins de santé
Les organisations de santé doivent résister à la tentation de mettre en place elles-mêmes des architectures de confiance zéro. Il existe aujourd’hui de nombreuses solutions sur le marché qui prétendent atteindre la confiance zéro. Bien que le matériel soit extrêmement important, il ne représente qu’environ 20 % de la réalisation d’une confiance zéro. Quatre-vingt pour cent de l’effort consistera à gérer la gouvernance et à comprendre le flux de travail, puis à les noter dans un code exécutable que le système devra gérer.
Pour organiser ce type d’approche de la sécurité centrée sur l’identité, des professionnels chevronnés doivent aider à la planification, à l’évaluation et au déploiement de la confiance zéro pour garantir un résultat réussi. Dans les déploiements réussis, la gouvernance est au premier plan de la collaboration interministérielle. C’est l’approche qui fonctionne le mieux pour la mise en œuvre de la confiance zéro. Dans le domaine de la santé, des défis particuliers doivent être pris en compte, notamment en ce qui concerne les dispositifs médicaux et certains flux de travail propres à la prestation des soins. Ces défis sont mieux gérés lorsque les organisations intègrent les partenariats dans leurs stratégies.
CDW connaît les soins de santé. Bon nombre de nos conseillers stratégiques et de nos compétences techniques proviennent du milieu de la santé lui-même. CDW a l’expérience de la réalisation d’évaluations de confiance zéro, permettant aux organisations de soins de santé d’aligner l’ensemble de leurs infrastructures et opérations commerciales dans ce cadre cohérent. CDW propose des services de conseil, des services professionnels, des produits et des services gérés pour répondre à chaque composant du modèle zéro confiance.
Cet article fait partie de SantéTechc’est Série de blogs Monitor. Veuillez vous joindre à la discussion sur Twitter en utilisant #WellnessIT.
