La segmentation des réseaux consiste à diviser les réseaux en sections plus petites et isolées afin de réduire les mouvements latéraux et d'améliorer les performances du réseau.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
La segmentation du réseau consiste à diviser un réseau* en sections plus petites et isolées.Ces partitions peuvent être créées et sécurisées à l'aide de matériel physique ou de logiciels, chacun d'entre eux posant ses propres problèmes de mise en œuvre.
En cloisonnant les différents segments d'un réseau, les entreprises peuvent plus facilement empêcher les mouvements latéraux, exercer un contrôle granulaire sur le trafic réseau et améliorer les performances du réseau. Ils peuvent même définir des politiques pour des charges de travail et des applications individuelles, une technique connue sous le nom de microsegmentation.
*Un réseau est un groupe d'ordinateurs connectés les uns aux autres.
La segmentation du réseau divise un réseau en plusieurs sections, auxquelles différents contrôles peuvent être appliqués. En règle générale, ce processus s'effectue selon l'une des deux méthodes suivantes : la segmentation physique et la segmentation logique.
La segmentation physique nécessite des équipements matériels tels que des routeurs, des commutateurs et des pare-feu pour séparer un réseau en sections distinctes.Ces appareils contrôlent le type de trafic autorisé à entrer et à sortir de chaque section en s'appuyant sur des politiques de segmentation qui peuvent être configurées en fonction de critères spécifiques (p. ex. source du trafic, destination, etc.)
La segmentation physique (également appelée segmentation basée sur le périmètre) est souvent coûteuse et laborieuse à mettre en place et à entretenir.Elle part également du principe que la plupart des organisations conservent un périmètre réseau physique.
Avec l'avènement de l'informatique cloud, ce périmètre a presque complètement. En effet les utilisateurs peuvent accéder aux données et aux applications par Internet, plutôt que sur les réseaux internes gérés par les services informatiques. Même les organisations qui utilisent une infrastructure sur site autorisent souvent les utilisateurs à se connecter aux ressources internes à partir d'appareils et de logiciels externes.
La segmentation logique, ou segmentation virtuelle du réseau, utilise un logiciel pour diviser un réseau en sections plus petites.Ces segments peuvent être créés par le biais de sous-réseaux, de réseaux locaux virtuels (VLAN) et de plans d'adressage de réseau.
À l'instar de la segmentation physique, la segmentation logique utilise également des politiques de segmentation pour restreindre le flux de trafic entrant et sortant de chaque segment de réseau.
La segmentation logique n'impliquant pas de configuration, maintenance ni mise à jour d'appareils matériels multiples, elle est largement considérée comme une méthode plus souple, plus évolutive et plus rentable de séparation et de sécurisation d'un réseau.
Lorsqu'elle est correctement mise en œuvre, la segmentation du réseau permet aux entreprises d'améliorer plus efficacement la sécurité, les performances et la conformité. Voici quelques les avantages parmi les plus significatifs :
La segmentation du réseau divise un réseau en sections plus petites, auxquelles différents contrôles et politiques de sécurité sont appliqués.
La microsegmentation est un autre type de segmentation du réseau qui permet d'appliquer des contrôles encore plus granulaires aux charges de travail individuelles. (Une charge de travail est un programme ou une application, par exemple un serveur, une machine virtuelle ou une fonction serverless, qui consomme une certaine quantité de mémoire et de ressources informatiques. Il fait partie d'un modèle de sécurité Zero Trust, dans lequel aucun utilisateur ou appareil n'est considéré comme fiable par défaut.
Pour mieux comprendre les avantages de la segmentation du réseau par rapport à la microsegmentation sur le plan de la sécurité, imaginons qu'un roi possède une grande quantité d'or et de bijoux qu'il souhaite protéger. Il a la possibilité de placer tous ses trésors dans plusieurs chambres fortes secrètes, chacune d'elles ne pouvant être déverrouillée qu'à l'aide d'une clé spécifique (segmentation du réseau). Si un voleur dérobe la clé d'une chambre forte, il pourra peut-être s'emparer du trésor qui s'y trouve, mais il ne pourra pas accéder à d'autres chambres fortes sans voler d'autres clés de ces salles. De la même manière, un attaquant qui s'introduit dans un sous-réseau peut compromettre les données qui s'y trouvent, mais ne pourra pas passer librement à un autre sous-réseau.
Par ailleurs, le roi peut ne pas se contenter de son trésor entre plusieurs chambres fortes et aller plus loin en le plaçant dans des coffres verrouillés à l'intérieur de ces chambres et en veillant à ce que chaque coffre ne puisse être déverrouillé qu'avec sa propre clé (microsegmentation). Ainsi, si un voleur s'empare de la clé d'une des chambres fortes, il ne peut pas déverrouiller les coffres individuels sans se procurer d'autres clés. De même, dans un réseau microsegmenté, même si un attaquant compromet une charge de travail, il ne sera pas forcément en mesure de compromettre (ni même d'accéder) à d'autres charges de travail.
En savoir plus sur la façon dont la microsegmentation aide les entreprises à atteindre un niveau de sécurité "Zero Trust".