Qu'est-ce que la microsegmentation ?

La microsegmentation offre de nombreux avantages aux entreprises, notamment :

• Surface d'attaque réduite : En décomposant le réseau en segments plus petits, la microsegmentation réduit la surface d'attaque et rend plus difficile pour les attaquants d'accéder aux actifs critiques. 
• Amélioration du confinement des brèches : En cas de violation, la microsegmentation peut aider à contenir l’impact de l’attaque en limitant la capacité de l’attaquant à se déplacer sur le réseau. En isolant les zones affectées du réseau, la microsegmentation peut empêcher la propagation de logiciels malveillants ou d’autres activités malveillantes, réduisant ainsi les dommages potentiels causés par la violation. 
• Conformité réglementaire renforcée : De nombreux cadres réglementaires exigent que les organisations mettent en œuvre des contrôles d’accès et des mesures de sécurité stricts pour protéger les données sensibles. En garantissant que seuls les utilisateurs et les applications autorisés peuvent accéder aux ressources sensibles, la microsegmentation peut aider les organisations à démontrer leur conformité aux normes réglementaires. 
• Gestion simplifiée des politiques : La microsegmentation peut simplifier la gestion des politiques en permettant d’appliquer des politiques de sécurité à des segments spécifiques du réseau. Cela peut être particulièrement utile dans les réseaux de grande taille ou complexes, où la gestion des politiques pour chaque appareil ou utilisateur individuel peut être difficile. 

La microsegmentation peut présenter des défis en termes de performances et de sécurité du réseau si elle n’est pas correctement planifiée et mise en œuvre.

• Dégradation des performances . La microsegmentation peut rendre le réseau plus complexe à surveiller et à gérer, et une segmentation trop fine du réseau ou l'application de trop de politiques de sécurité peut avoir un impact sur les modèles de trafic réseau et limiter les performances du réseau. L’application de politiques de sécurité à chaque segment crée une surcharge supplémentaire sur le réseau, ce qui peut entraîner une latence et un ralentissement des performances du réseau.
• Failles de sécurité. Bien que la microsegmentation soit une technique de sécurité puissante, les politiques doivent être configurées correctement pour garantir que tout le trafic est correctement filtré et autorisé/refusé. Des erreurs de configuration et une application incohérente des politiques peuvent entraîner des failles de sécurité, un blocage du trafic légitime et des vulnérabilités potentielles.

Les organisations doivent planifier soigneusement leur stratégie de microsegmentation, y compris le nombre et la taille des segments, les politiques de sécurité à appliquer et l’impact sur les modèles de trafic réseau. Des tests et une surveillance appropriés doivent être effectués pour garantir que la microsegmentation n’a pas d’impact négatif sur les performances du réseau ou n’introduit pas de failles de sécurité.

La microsegmentation permet aux organisations de créer des zones ou des segments sécurisés au sein de leurs réseaux, offrant un contrôle granulaire sur le trafic réseau et minimisant la surface d'attaque. Chaque segment est ensuite sécurisé à l’aide de politiques et de contrôles qui autorisent uniquement le trafic autorisé à circuler entre les segments.

La microsegmentation est généralement mise en œuvre à l'aide d'un réseau défini par logiciel (SDN), qui permet la création de réseaux virtuels indépendants de l'infrastructure du réseau physique. Chacun des segments du réseau est sécurisé à l’aide de politiques qui définissent les types de trafic autorisés à entrer et sortir du segment. Par exemple, les listes de contrôle d’accès (ACL) peuvent être utilisées pour contrôler quels utilisateurs ou quels appareils sont autorisés à accéder à chaque segment. Les systèmes de détection et de prévention des intrusions (IDPS) peuvent être utilisés pour détecter et bloquer les activités malveillantes au sein de chaque segment. Le cryptage peut être utilisé pour protéger les données lorsqu'elles circulent entre les segments.

La microsegmentation offre une visibilité et un contrôle granulaires sur le trafic réseau, ce qui facilite l'identification du trafic non autorisé et des failles de sécurité potentielles et permet de réagir rapidement aux incidents de sécurité.

Il existe trois principaux types de contrôles de microsegmentation.

Les contrôles de microsegmentation basés sur des agents utilisent des agents logiciels installés sur des points de terminaison, tels que des serveurs, des postes de travail ou d'autres périphériques réseau, pour appliquer des politiques de segmentation du réseau. L'agent surveille et applique en permanence les politiques spécifiques à ce point de terminaison et peut être géré de manière centralisée via une console de gestion, simplifiant ainsi les politiques de configuration et de déploiement sur le réseau d'une organisation.

Les contrôles de microsegmentation basés sur le réseau utilisent SDN pour créer des segments de réseau virtuels, chacun avec son propre ensemble de politiques et de contrôles de sécurité. Ces segments virtuels sont isolés les uns des autres, ce qui limite le potentiel de mouvement latéral des attaquants. Les politiques et les contrôles sont appliqués au niveau de la couche réseau, plutôt qu’au niveau du point de terminaison. Cela permet de segmenter le trafic réseau en fonction d’un large éventail de facteurs, notamment l’identité de l’utilisateur, le type d’application et l’emplacement du réseau.

Les contrôles de microsegmentation cloud natifs sont spécifiquement conçus pour les environnements cloud. Ils utilisent des fonctionnalités de sécurité natives du cloud, telles que des groupes de sécurité réseau et des clouds privés virtuels pour créer des segments de réseau virtuel et appliquer des politiques de sécurité. Ces contrôles exploitent les fonctionnalités de sécurité natives de la plateforme cloud pour fournir des politiques de sécurité granulaires qui sont automatiquement appliquées sur toutes les instances cloud.

Les organisations peuvent choisir de mettre en œuvre un ou plusieurs types de microsegmentation en fonction de leurs besoins et objectifs spécifiques. Les types courants de microsegmentation sont les suivants.

Segmentation des applications

La segmentation des applications protège les applications individuelles en créant des politiques de sécurité qui contrôlent l'accès à des ressources d'application spécifiques, telles que les bases de données, les API et les serveurs Web, contribuant ainsi à prévenir les accès non autorisés et les violations de données. Il permet également aux organisations d’appliquer des contrôles d’accès au moindre privilège, garantissant que les utilisateurs et les applications ont accès uniquement aux ressources dont ils ont besoin pour exécuter leurs fonctions spécifiques.

Segmentation par niveaux

La segmentation par niveaux sécurise différents niveaux ou couches d'une pile d'applications, tels que le niveau Web, le niveau d'application et le niveau de base de données, pour empêcher les attaquants de se déplacer latéralement dans la pile d'applications et d'accéder à des données ou des ressources sensibles.

Segmentation environnementale

La sécurisation de différents environnements ou zones au sein d'un réseau, tels que les environnements de développement, de test et de production, permet aux organisations d'appliquer des contrôles d'accès stricts à ces environnements et de garantir que les données et ressources sensibles ne sont accessibles qu'aux utilisateurs et applications autorisés.

Segmentation des conteneurs

La segmentation des conteneurs sécurise les conteneurs individuels ou les groupes de conteneurs au sein d'un environnement conteneurisé, réduisant ainsi la surface d'attaque et empêchant les attaquants de se déplacer latéralement dans l'environnement du conteneur. Sans segmentation appropriée, les conteneurs peuvent potentiellement accéder aux données et aux fichiers de configuration des autres, ce qui peut entraîner des vulnérabilités de sécurité.

Bonnes pratiques en matière de segmentation des conteneurs

• Isolation du conteneur. Utilisez des technologies telles que Docker ou Kubernetes pour garantir que les conteneurs sont isolés du système hôte et des autres conteneurs sur le même système. Cela empêche les conteneurs d’accéder aux ressources en dehors de leur portée désignée.
• Segmentation du réseau. Utilisez la segmentation du réseau pour limiter la communication entre les conteneurs et les autres ressources réseau. Cela implique la création de réseaux distincts pour chaque conteneur et la configuration de règles de pare-feu pour autoriser ou refuser le trafic entre les conteneurs et garantir que seules les communications autorisées sont autorisées.
• Contrôle d'accès basé sur les rôles. Implémentez un contrôle d’accès basé sur les rôles (RBAC) pour garantir que seuls les utilisateurs autorisés peuvent accéder et modifier les conteneurs et les ressources associées. Les frameworks RBAC tels que Kubernetes RBAC peuvent être implémentés pour définir et appliquer les rôles et les autorisations des utilisateurs.
• Signature d'image. Utilisez la signature d’image pour garantir que seules des images fiables sont utilisées pour créer des conteneurs. Les signatures numériques peuvent aider à empêcher que les images des conteneurs soient falsifiées ou modifiées.
• Protection d'exécution. Utilisez la protection d’exécution pour détecter et répondre aux menaces de sécurité pendant l’exécution du conteneur. Des outils tels que les agents de sécurité d’exécution et les scanners de vulnérabilité peuvent surveiller les conteneurs à la recherche de signes de compromission et prendre les mesures appropriées pour atténuer les risques.

Segmentation des utilisateurs dans la sécurité du cloud

• RBAC attribue les utilisateurs à des rôles ou groupes spécifiques en fonction de leurs responsabilités et de leurs besoins d'accès. Chaque rôle est associé à un ensemble d’autorisations et de contrôles d’accès appropriés à ce rôle. RBAC garantit que les utilisateurs peuvent uniquement accéder aux ressources et aux données dont ils ont besoin pour effectuer leur travail.
• L'authentification multifacteur (MFA) exige que les utilisateurs fournissent deux ou plusieurs formes d'authentification avant d'être autorisés à accéder à un système ou à une application. Cela peut inclure un mot de passe, un jeton de sécurité, un code d’accès à usage unique ou des données biométriques. L’authentification multifacteur est un moyen efficace d’empêcher l’accès non autorisé aux ressources cloud, en particulier lorsqu’elle est associée à RBAC.
• La surveillance continue implique l'analyse régulière de l'activité des utilisateurs et des journaux système pour détecter tout comportement suspect ou menace potentielle pour la sécurité. Il peut aider à identifier un comportement anormal en alertant les équipes de sécurité d'une activité qui ne correspond pas aux modèles d'accès ou aux comportements normaux d'un utilisateur.
• La séparation des tâches garantit qu’aucun utilisateur n’a le contrôle total d’un processus ou d’un système critique. La segmentation des utilisateurs en différents rôles et responsabilités réduit le risque de fraude ou d’erreurs et garantit que les opérations sensibles sont effectuées par plusieurs employés.
• L’examen régulier des accès implique l’évaluation régulière de l’accès des utilisateurs aux systèmes et aux applications pour garantir que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin. Les examens d’accès peuvent aider à identifier et à supprimer les droits d’accès inutiles, réduisant ainsi le risque d’accès non autorisé.

Les charges de travail sont un aspect essentiel de la microsegmentation car elles constituent les unités de calcul ou de traitement qui s’exécutent sur un réseau. Les charges de travail peuvent être des applications, des services ou des processus qui doivent communiquer entre eux pour fonctionner correctement. La microsegmentation fournit un contrôle de sécurité granulaire au niveau de la charge de travail, permettant aux organisations d'isoler et de protéger des charges de travail spécifiques contre les menaces potentielles. En segmentant les charges de travail, une organisation peut limiter la surface d’attaque potentielle, empêcher le mouvement latéral des menaces et appliquer des politiques de sécurité en fonction de chaque charge de travail.

Les charges de travail peuvent avoir des dépendances, ce qui signifie qu'elles ont des relations et des interactions avec différentes applications et services au sein d'un environnement en réseau. La compréhension des dépendances est importante pour des stratégies de microsegmentation efficaces, car les modifications d’accès à une application ou à un service peuvent avoir un impact sur les performances ou la sécurité d’autres applications et services. Les dépendances doivent être mappées avant de mettre en œuvre la microsegmentation. 

La sécurité du périmètre ou du réseau et la microsegmentation sont deux stratégies de sécurité différentes qui traitent des aspects distincts de la sécurité du réseau. La sécurité périmétrique fournit une première ligne de défense contre les menaces externes en protégeant le périmètre extérieur d'un réseau - généralement à la périphérie du réseau - en limitant l'accès au réseau à partir de sources extérieures. Elle inspecte le trafic « nord-sud » (client vers serveur) qui tente de traverser le périmètre de sécurité et stoppe le trafic malveillant. La sécurité du périmètre est généralement assurée par des technologies telles que les pare-feu, les systèmes de détection et de prévention des intrusions, ou encore les réseaux privés virtuels (VPN).

La microsegmentation se concentre sur la sécurité interne d'un réseau en divisant celui-ci en segments ou zones de plus petite taille et en appliquant des contrôles de sécurité granulaires à chaque segment. Cela permet aux entreprises de contrôler le trafic latéral « est-ouest » au sein du réseau et au niveau de l'application ou de la charge de travail afin de réduire la surface d'attaque potentielle.

La segmentation et la microsegmentation du réseau améliorent toutes deux la sécurité et les performances du réseau, mais elles sont fondamentalement différentes. La segmentation de réseau traditionnelle (parfois appelée macro-segmentation) consiste à diviser un réseau en segments plus grands en fonction de la fonction ou de l'emplacement. Il se concentre généralement sur le trafic circulant « nord-sud » (du client au serveur) entrant et sortant du réseau.  

La microsegmentation divise un réseau en segments plus petits et leur applique des politiques de sécurité uniques, offrant un niveau de contrôle plus granulaire sur l'accès au réseau est-ouest, avec la possibilité d'appliquer des contrôles d'accès à confiance zéro. La microsegmentation applique des politiques de sécurité au niveau de la charge de travail individuelle ou de l'application, plutôt qu'au niveau du réseau.

Les politiques de pare-feu sont des règles qui définissent la manière dont les pare-feu d’une organisation autorisent ou refusent le trafic entre différents segments d’un réseau ou entre un réseau et Internet. Les politiques de pare-feu sont les règles qui déterminent comment le trafic est autorisé ou refusé entre ces segments et couches. 

Les pare-feu contrôlent l’accès à un réseau en filtrant le trafic en fonction de règles prédéfinies. Alors que les pare-feu peuvent être utilisés pour contrôler l’accès entre les segments, la microsegmentation divise un réseau en segments plus petits et applique des politiques de sécurité uniques à chaque segment. Cela fournit un niveau de contrôle plus granulaire sur l’accès au réseau, permettant aux organisations de limiter l’accès à des applications et services spécifiques. 

Un réseau virtuel fonctionne au sein d'une infrastructure réseau physique mais utilise un logiciel pour connecter des ordinateurs, des machines virtuelles et des serveurs ou des serveurs virtuels sur un réseau sécurisé. Ceci est différent du modèle de réseau physique traditionnel dans lequel le matériel et les câbles connectent les systèmes de réseau. Les réseaux virtuels peuvent être utilisés pour créer des environnements isolés au sein d'un réseau plus vaste, permettant aux organisations de microsegmenter des applications ou des services spécifiques.  

La microsegmentation peut aider les organisations à mieux protéger leurs applications et leurs données dans leurs réseaux contre les menaces potentielles, car elle limite la surface d'attaque disponible pour un attaquant. De plus, la microsegmentation peut offrir une meilleure visibilité et un meilleur contrôle du trafic réseau, facilitant ainsi l’identification et la réponse aux incidents de sécurité.

F5 propose des produits et services qui peuvent aider les organisations à mettre en œuvre et à gérer la microsegmentation et d’autres contrôles de sécurité dans leurs réseaux. Découvrez comment F5 offre une connectivité simple et sécurisée sur les clouds publics et hybrides, les centres de données et les sites périphériques. Découvrez comment F5 fournit un réseau sécurisé au niveau de la couche applicative et un provisionnement automatisé du réseau cloud pour une efficacité opérationnelle améliorée