Avec ScaleFT, Okta s’apprête à dépoussiérer le contrôle d’accès

Ce n’est probablement pas un rachat très onéreux, et annoncé au milieu de la torpeur estivale, il pourrait presque passer inaperçu. Mais sur le fond, l’acquisition de ScaleFT par Okta constitue un tournant important.

Créée en 2015 par quatre anciens de Rackspace, la jeune pousse a levé moins de 3 M$ pour développer une plateforme de gestion des contrôles d’accès inspirée de l’initiative BeyondCorp de Google.

Dévoilée début 2015, cette initiative vise à renoncer au concept de périmètre protégé, et réputé sûr, pour miser sur une approche en profondeur de la sécurité. Elle repose en particulier sur une gestion du contrôle d’accès extrêmement granulaire et basée sur des niveaux de confiance. Ceux-ci reflètent en fait le niveau croissant de sensibilité des ressources – applications, services et infrastructures sujets au contrôle d’accès. Un niveau de confiance minimum requis est associé à chacune de ces ressources.

Le niveau de confiance associé à une entité tentant d’accéder à une ressource est déterminé par un système dédié qui analyse et annote l’état de l’appareil en continu. C’est lui qui affecte donc à un appareil le niveau de confiance maximal auquel il est susceptible d’accéder en fonction de son état.

Un dispositif de contrôle d’accès se charge alors de faire respecter les règles définies par les administrateurs, en fonction des informations contenues dans le registre d’inventaire des entités. Ce contrôle d’accès s’étend à tous les composants de l’infrastructure susceptibles de jouer un rôle de passerelle vers les ressources : commutateurs réseau, serveurs SSH, proxies Web, etc.

En fait, dans cette approche, toute entité – définie comme « une collection de composants physiques et virtuels qui agit comme un ordinateur » – est potentiellement suspecte. Le niveau de confiance qui lui est attribué est ainsi évalué et ajusté en continu.

Depuis plusieurs années maintenant, Google applique graduellement cette approche à l’ensemble de son infrastructure. ScaleFT avait l’ambition de l’ouvrir à n’importe quelle entreprise, pour le contrôle d’accès à ses ressources sensibles, qu’il s’agisse de serveurs ou simplement d’applications Web.

La plateforme développée par la jeune pousse assure donc l’évaluation du niveau de confiance à accorder à un équipement ou un utilisateur en continu. Un reverse-proxy positionné devant chaque ressource couverte se charge de décider, pour chaque requête, si le niveau de confiance présenté est satisfaisant, compte tenu des règles définies par les administrateurs. Les échanges nécessaires pour l’attribution des niveaux de confiance sont assurés par un bus de messages Kafka. Chaque requête acceptée induit la génération d’un certificat ou d’un jeton unique à durée de vie extrêmement limitée.

La plateforme s’intègre avec n’importe quel système fournisseur d’identités, comme un annuaire Active Directory ou LDAP, et supporte également SAML. Elle supporte également l’intégration avec des systèmes de gestion de journaux d’activité, et d’informations et d’événements de sécurité (SIEM).

Dans un billet de blog, Frederic Kerrest, co-fondateur d’Okta, explique avoir l’ambition d’apporter, avec ScaleFT, « des capacités d’authentification continue de nouvelle génération pour sécuriser les accès aux serveurs, depuis le cloud jusqu’au sol ». Ce qui ne manque pas de s'inscrire dans la stratégie de l'éditeur en faveur du contrôle d'accès conditionnel.

Dans un communiqué de presse, le spécialiste du contrôle d’accès en mode cloud (IDaaS) indique que ses clients pourront ainsi profiter d’une plateforme « qui fournit aux employés une expérience transparente et permet aux équipes IT d’améliorer la posture de sécurité de leur entreprise ».