La microsegmentation est une technique permettant de diviser un réseau en segments distincts au niveau de la couche applicative afin d'accroître la sécurité et de réduire l'impact d'une violation.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité Zero Trust
Qu'est-ce que le ZTNA ?
Principe du moindre privilège
Sécurité de type « château entouré de douves »
Qu'est ce qu'une menace interne ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La microsegmentation divise un réseau en petites sections discrètes, dont chacune possède ses propres politiques de sécurité et est accessible séparément. L'objectif de la microsegmentation est de renforcer la sécurité du réseau en confinant les menaces et les brèches au segment compromis, sans incidence sur le reste du réseau.
Les grands navires sont souvent divisés en compartiments sous le pont, chacun d'entre eux étant étanche et pouvant être isolé des autres. Ainsi, même si une fuite remplit un compartiment d'eau, le reste des compartiments reste sec et le navire reste à flot. Le concept de microsegmentation du réseau est similaire : un segment du réseau peut être compromis, mais il peut être facilement isolé du reste du réseau.
La microsegmentation est un élément clé d'une architecture Zero Trust . Une telle architecture part du principe que tout trafic entrant, sortant ou entrant dans un réseau peut constituer une menace. La microsegmentation permet d'isoler ces menaces avant qu'elles ne se propagent, empêchant ainsi mouvement latéral.
Les organisations peuvent micro-segmenter à la fois leurs data centers sur site et leurs déploiements cloud computing — c.-à-d. tout emplacement où des charges de travail sont exécutées.Les serveurs, les machines virtuelles, les conteneurs, et les microservices peuvent tous être segmentés de cette manière, chacun ayant sa propre politique de sécurité.
La microsegmentation peut être réalisée à des niveaux extrêmement granulaires d'un réseau, jusqu'à l'isolement de charges de travail individuelles (par opposition à l'isolement d'applications, de dispositifs ou de réseaux), une "charge de travail" étant tout programme ou application qui utilise une certaine quantité de mémoire et de CPU.
Les techniques de microsegmentation d'un réseau ne varient que légèrement entre elles. Mais quelques principes clés s'appliquent presque toujours :
Les solutions de microsegmentation prennent en compte les applications qui envoient du trafic sur le réseau. La microsegmentation permet de savoir quelles applications communiquent entre elles et comment le trafic réseau circule entre elles. C'est l'un des aspects qui distingue la microsegmentation de la division d'un réseau à l'aide de réseaux locaux virtuels (VLAN) ou d'une autre méthode de la couche réseau.
La microsegmentation est configurée par logiciel.La segmentation étant virtuelle, les administrateurs n'ont pas besoin d'ajuster les routeurs, les commutateurs, ou tout autre équipement réseau pour la mettre en œuvre.
La plupart des solutions de microsegmentation utilisent les pare-feu de nouvelle génération (dits NGFW) pour séparer leurs segments. Contrairement aux pare-feu traditionnels , les NGFW sont sensibles aux applications, ce qui leur permet d'analyser le trafic réseau au niveau de la couche d'application, et pas seulement des couches réseau et transport.
En outre, les pare-feu basés sur le cloud peuvent être utilisés pour microsegmenter les déploiements de cloud computing.Certains fournisseurs d'hébergement en nuage offrent cette possibilité grâce à leurs services de pare-feu intégrés.
Les administrateurs peuvent personnaliser les politiques de sécurité pour chaque charge de travail, s'ils le souhaitent.Une charge de travail peut permettre un accès large, tandis qu'une autre peut être fortement restreinte, en fonction de l'importance de la charge de travail donnée et des données qu'elle traite. Une charge de travail peut accepter des requêtes API provenant d'une série de points de terminaison ; une autre peut ne communiquer qu'avec un serveur spécifique.
Les fonctionnalités typiques de journalisation d'un réseau fournissent des informations sur le réseau et la couche de transport, telles que les ports et les adresses IP. La micro-segmentation fournit également un contexte tenant compte des applications et des charges de travail. En surveillant l'ensemble du trafic réseau et en ajoutant le contexte des applications, les entreprises peuvent assurer l'application cohérente de politiques de segmentation et de sécurité sur l'ensemble de leurs réseaux. Cette approche fournit également les informations nécessaires pour ajuster les politiques de sécurité, selon le besoin.
La microsegmentation empêche les menaces de se propager sur l'ensemble d'un réseau, limitant ainsi les conséquences négatives d'une cyberattaque. L'accès des attaquants est limité et ils ne peuvent pas atteindre les données confidentielles.
Par exemple, un réseau dont les charges de travail sont exécutées dans un centre de données microsegmenté peut contenir des dizaines de zones distinctes et sécurisées. Un utilisateur ayant accès à une zone a besoin d'une autorisation distincte pour chacune des autres zones. Cela permet de minimiser les risques d'escalade des privilèges (lorsqu'un utilisateur dispose d'un accès trop important) et les menaces internes (lorsque des utilisateurs compromettent, sciemment ou non, la sécurité de données confidentielles).
Autre exemple, supposons qu'un conteneur présente une vulnérabilité. L'attaquant exploite cette vulnérabilité via un code malveillant et peut maintenant modifier les données dans le conteneur. Dans un réseau protégé uniquement sur le périmètre , l'attaquant pourrait se déplacer latéralement vers d'autres parties du réseau, augmenter ses privilèges et finalement extraire ou modifier des données très précieuses. Dans un réseau microsegmenté, il est plus que probable que l'attaquant ne puisse le faire sans trouver un point d'entrée distinct.
L'expression Zero Trust désigne une philosophie et une vision de la sécurité des réseaux qui part du principe que les menaces sont déjà présentes à l'intérieur et à l'extérieur d'un environnement sécurisé. De nombreuses organisations adoptent une architecture Zero Trust pour prévenir les attaques et de limiter au minimum les dommages causés par les attaques réussies.
Si la microsegmentation est un élément clé d'une stratégie Zero Trust, elle n'en est cependant pas le seul. Les autres principes de la doctrine Zero Trust sont les suivants :
Pour savoir comment Cloudflare aide les organisations à mettre en œuvre ces composants, lisez la plateforme Zero Trust Cloudflare.