La micro-segmentation est un moyen de créer des zones sécurisées dans les centres de données et les déploiements cloud qui vous permettent d’isoler les charges de travail et de les protéger individuellement.
La micro-segmentation est une méthode de création de zones sécurisées dans les centres de données et les déploiements cloud qui permet aux entreprises d’isoler les charges de travail les unes des autres et de les sécuriser individuellement. Il vise à rendre la sécurité réseau plus granulaire.
Micro-segmentation vs VLANs, pare-feu et ALC
La segmentation du réseau n’est pas nouvelle. Les entreprises se sont appuyées sur des pare-feu, des réseaux virtuels locaux (VLAN) et des listes de contrôle d’accès (ACL) pour la segmentation du réseau pendant des années. Avec la micro-segmentation, les stratégies sont appliquées aux charges de travail individuelles pour une plus grande résistance aux attaques.
« Lorsque les VLAC vous permettent de faire une segmentation à grain très grossier, la micro-segmentation vous permet de faire plus de segmentation à grain fin.
Donc, partout où vous devez descendre à la partition granulaire du trafic, c’est là que vous le trouverez », explique l’analyste Zeus Kerravala, fondateur de ZK Research et un contributeur à Network World.
L’essor des réseaux définis par logiciel et de la virtualisation des réseaux a ouvert la voie à la micro-segmentation. « Nous pouvons faire des choses dans les logiciels, dans une couche qui est découplée du matériel sous-jacent, dit Kerravala. « Cela rend la segmentation beaucoup plus facile à déployer. »
Comment la micro-segmentation gère le trafic des centres de données
Les pares-feu traditionnels, les systèmes de prévention des intrusions (IPS) et d’autres systèmes de sécurité sont conçus pour inspecter et sécuriser le trafic qui entre dans le centre de données dans une direction nord-sud.
La micro-segmentation donne aux entreprises un plus grand contrôle sur la quantité croissante de communication est-ouest ou latérale qui se produit entre les serveurs, en contournant les outils de sécurité axés sur le périmètre. En cas de violation, la micro-segmentation limite l’exploration latérale potentielle des réseaux par les pirates.
« La plupart des entreprises placent tous leurs outils de sécurité de grande valeur au cœur du centre de données : pare-feu, IPSes.
Ainsi, le trafic se déplaçant du nord au sud doit passer par ces pares-feux. S’il se déplace d’est en ouest, il contourne ces outils de sécurité », explique M. Kerravala. « Vous pourriez mettre des pares-feux à chaque point d’interconnexion, mais ce serait prohibitif. Ce n’est pas non plus très agile.
Les professionnels du réseau ou de la sécurité conduisent-ils à la micro-segmentation ?
La micro-segmentation prend de l’ampleur, mais il y a encore des questions sur qui devrait en être propriétaire. Dans une grande entreprise, un ingénieur en sécurité réseau peut diriger l’effort. Dans les petites entreprises, une équipe impliquant des opérations de sécurité et de réseau peut diriger des déploiements de micro-segmentation.
« Je ne sais pas s’il y a vraiment un groupe qui a la charge de celui-ci. Je pense que cela dépend de ce que vous utilisez pour », dit Kerravala. Il voit l’intérêt des professionnels de la sécurité et du réseau.
« Je pense que parce qu’il fonctionne comme une superposition de réseau, dans la plupart des cas, il est facile pour les opérations de sécurité de déployer et ensuite l’exécuter sur le dessus du réseau. Et je vois les gens des opérations réseau le faire aussi, comme un moyen de sécuriser les appareils IoT, par exemple. Ce sont vraiment les deux publics primaires.
Avantages en matière de micro-segmentation et problèmes de sécurité
Avec la micro-segmentation, les professionnels de l’informatique peuvent adapter les paramètres de sécurité à différents types de trafic, en créant des stratégies qui limitent les flux de réseau et d’application entre les charges de travail à ceux qui sont explicitement autorisés.
Dans ce modèle de sécurité à confiance zéro, une entreprise pourrait mettre en place une politique, par exemple, qui stipule que les dispositifs médicaux ne peuvent parler qu’à d’autres dispositifs médicaux. Et si un périphérique ou une charge de travail se déplace, les stratégies de sécurité et les attributs se déplacent avec lui.
L’objectif est de réduire la surface d’attaque réseau : en appliquant des règles de segmentation jusqu’à la charge de travail ou à l’application, l’informatique peut réduire le risque qu’un attaquant se déplace d’une charge de travail ou d’une application compromise à une autre.
Un autre moteur est l’efficacité opérationnelle. Les listes de contrôle d’accès, les règles de routage et les stratégies de pare-feu peuvent devenir lourds et introduire beaucoup de frais généraux de gestion, rendant les stratégies difficiles à mettre à l’échelle dans des environnements en évolution rapide.
La micro-segmentation se fait généralement dans les logiciels, ce qui facilite la définition de segments à grain fin.
Et avec la micro-segmentation, l’informatique peut travailler à centraliser la stratégie de segmentation du réseau et à réduire le nombre de règles de pare-feu nécessaires.
Certes, ce n’est pas une mince tâche, il ne sera pas facile de consolider des années de règles de pare-feu et de listes de contrôle d’accès et de les traduire en politiques qui peuvent être appliquées dans les environnements d’entreprise complexes et distribués d’aujourd’hui.
Pour commencer, la cartographie des connexions entre les charges de travail, les applications et les environnements nécessite une visibilité qui manque à de nombreuses entreprises.
« L’un des grands défis de la segmentation, c’est qu’il faut savoir quoi segmenter. Mes recherches montrent que 50% des entreprises ont peu ou pas confiance qu’elles savent quels sont les appareils informatiques sur le réseau. Si vous ne savez même pas quels appareils sont sur le réseau, comment savez-vous quel type de segments créer ? Il y a un manque de visibilité sur les flux des centres de données », explique Kerravala.
Source : What is microsegmentation? How getting granular improves network security | Network World