Qu'est-ce que la microsegmentation ?

La microsegmentation est une technique permettant de diviser un réseau en segments distincts au niveau de la couche applicative afin d'accroître la sécurité et de réduire l'impact d'une violation.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la microsegmentation
  • Expliquez comment la microsegmentation améliore la sécurité
  • Décrire comment la microsegmentation s'intègre dans une architecture de type "Zero Trust".

Copier le lien de l'article

Qu'est-ce que la microsegmentation ?

La microsegmentation divise un réseau en petites sections discrètes, dont chacune possède ses propres politiques de sécurité et est accessible séparément.L'objectif de la microsegmentation est de renforcer la sécurité en confinant les menaces et les brèches au segment compromis, sans avoir d'impact sur le reste du réseau.

Les grands navires sont souvent divisés en compartiments sous le pont, chacun d'entre eux étant étanche et pouvant être isolé des autres. Ainsi, même si une fuite remplit un compartiment d'eau, le reste des compartiments reste sec et le navire reste à flot. Le concept de microsegmentation du réseau est similaire : un segment du réseau peut être compromis, mais il peut être facilement isolé du reste du réseau.

La microsegmentation est un élément clé d'une architecture Zero Trust . Une telle architecture part du principe que tout trafic entrant, sortant ou entrant dans un réseau peut constituer une menace. La microsegmentation permet d'isoler ces menaces avant qu'elles ne se propagent, empêchant ainsi mouvement latéral.

Où se produit la microsegmentation ?

Les organisations peuvent micro-segmenter à la fois leurs data centers sur site et leurs déploiements cloud computing — c.-à-d. tout emplacement où des charges de travail sont exécutées.Les serveurs, les machines virtuelles, les conteneurs, et les microservices peuvent tous être segmentés de cette manière, chacun ayant sa propre politique de sécurité.

La microsegmentation peut être réalisée à des niveaux extrêmement granulaires d'un réseau, jusqu'à l'isolement de charges de travail individuelles (par opposition à l'isolement d'applications, de dispositifs ou de réseaux), une "charge de travail" étant tout programme ou application qui utilise une certaine quantité de mémoire et de CPU.

Comment fonctionne la microsegmentation ?

Les techniques de microsegmentation d'un réseau ne varient que légèrement entre elles. Mais quelques principes clés s'appliquent presque toujours :

Visibilité de la couche application

Les solutions de microsegmentation prennent en compte les applications qui envoient du trafic sur le réseau. La microsegmentation permet de savoir quelles applications communiquent entre elles et comment le trafic réseau circule entre elles. C'est l'un des aspects qui distingue la microsegmentation de la division d'un réseau à l'aide de réseaux locaux virtuels (VLAN) ou d'une autre méthode de la couche réseau.

Basé sur le logiciel et non sur le matériel

La microsegmentation est configurée par logiciel.La segmentation étant virtuelle, les administrateurs n'ont pas besoin d'ajuster les routeurs, les commutateurs, ou tout autre équipement réseau pour la mettre en œuvre.

Utilisation de pare-feu de nouvelle génération (NGFW)

La plupart des solutions de microsegmentation utilisent les pare-feu de nouvelle génération (dits NGFW) pour séparer leurs segments. Contrairement aux pare-feu traditionnels , les NGFW sont sensibles aux applications, ce qui leur permet d'analyser le trafic réseau au niveau de la couche d'application, et pas seulement des couches réseau et transport.

En outre, les pare-feu basés sur le cloud peuvent être utilisés pour microsegmenter les déploiements de cloud computing.Certains fournisseurs d'hébergement en nuage offrent cette possibilité grâce à leurs services de pare-feu intégrés.

Les politiques de sécurité diffèrent selon les segments

Les administrateurs peuvent personnaliser les politiques de sécurité pour chaque charge de travail, s'ils le souhaitent.Une charge de travail peut permettre un accès large, tandis qu'une autre peut être fortement restreinte, en fonction de l'importance de la charge de travail donnée et des données qu'elle traite. Une charge de travail peut accepter des requêtes API provenant d'une série de points de terminaison ; une autre peut ne communiquer qu'avec un serveur spécifique.

Visibilité de l'ensemble du trafic réseau

La journalisation typique d'un réseau fournit des informations sur le réseau et la couche de transport, comme les ports et les adresses IP. La microsegmentation offre également un contexte d'application et de charge de travail. En surveillant l'ensemble du trafic réseau et en ajoutant le contexte applicatif, les entreprises peuvent appliquer de manière cohérente des politiques de segmentation et de sécurité sur l'ensemble de leurs réseaux. Cela fournit également les informations nécessaires pour ajuster les politiques de sécurité si nécessaire.

Comment la microsegmentation améliore-t-elle la sécurité ?

La microsegmentation empêche les menaces de se propager sur l'ensemble d'un réseau, limitant ainsi les conséquences négatives d'une cyberattaque. L'accès des attaquants est limité et ils ne peuvent pas atteindre les données confidentielles.

Par exemple, un réseau dont les charges de travail sont exécutées dans un centre de données microsegmenté peut contenir des dizaines de zones distinctes et sécurisées. Un utilisateur ayant accès à une zone a besoin d'une autorisation distincte pour chacune des autres zones. Cela permet de minimiser les risques d'escalade des privilèges (lorsqu'un utilisateur dispose d'un accès trop important) et les menaces internes (lorsque des utilisateurs compromettent, sciemment ou non, la sécurité de données confidentielles).

Autre exemple, supposons qu'un conteneur présente une vulnérabilité. L'attaquant exploite cette vulnérabilité via un code malveillant et peut maintenant modifier les données dans le conteneur. Dans un réseau protégé uniquement sur le périmètre , l'attaquant pourrait se déplacer latéralement vers d'autres parties du réseau, augmenter ses privilèges et finalement extraire ou modifier des données très précieuses. Dans un réseau microsegmenté, il est plus que probable que l'attaquant ne puisse le faire sans trouver un point d'entrée distinct.

Quels sont les autres composants d'un réseau Zero Trust ?

L'expression "Zero Trust" désigne une philosophie et une approche de la sécurité des réseaux qui part du principe que les menaces sont déjà présentes à l'intérieur et à l'extérieur d'un environnement sécurisé. De nombreuses organisations adoptent une architecture de confiance zéro afin de prévenir les attaques et de minimiser les dommages causés par les attaques réussies.

Si la microsegmentation est un élément clé d'une stratégie Zero Trust, elle n'en est cependant pas le seul. Les autres principes de la doctrine Zero Trust sont les suivants :

  • Contrôle et validation continus : Aucun dispositif ou utilisateur ne bénéficie automatiquement de la confiance, même ceux qui ont déjà été authentifiés. Les ouvertures de session et les connexions expirent périodiquement, ce qui entraîne une revérification continue des utilisateurs et des appareils.
  • Principe du moindre privilège : Les utilisateurs n'ont accès qu'aux systèmes et aux données qui sont absolument nécessaires.
  • Contrôle de l'accès aux dispositifs : L'accès aux dispositifs est suivi et restreint comme l'accès des utilisateurs.
  • Authentification multifactorielle (AMF) : L'authentification se fait à l'aide d'au moins deux facteurs d'identité , au lieu de s'appuyer uniquement sur des mots de passe, des questions de sécurité ou d'autres méthodes basées sur la connaissance.

Pour savoir comment Cloudflare aide les organisations à mettre en œuvre ces éléments, lisez la brochure sur la plate-forme Cloudflare Zero Trust .