Qu'est-ce que la microsegmentation ?

La sécurité du périmètre ou du réseau et la microsegmentation sont deux stratégies de sécurité différentes qui traitent des aspects distincts de la sécurité du réseau. La sécurité périmétrique fournit une première ligne de défense contre les menaces externes en protégeant le périmètre extérieur d'un réseau - généralement à la périphérie du réseau - en limitant l'accès au réseau à partir de sources extérieures. Elle inspecte le trafic « nord-sud » (client vers serveur) qui tente de traverser le périmètre de sécurité et stoppe le trafic malveillant. La sécurité du périmètre est généralement assurée par des technologies telles que les pare-feu, les systèmes de détection et de prévention des intrusions, ou encore les réseaux privés virtuels (VPN).

La microsegmentation se concentre sur la sécurité interne d'un réseau en divisant celui-ci en segments ou zones de plus petite taille et en appliquant des contrôles de sécurité granulaires à chaque segment. Cela permet aux entreprises de contrôler le trafic latéral « est-ouest » au sein du réseau et au niveau de l'application ou de la charge de travail afin de réduire la surface d'attaque potentielle.

La microsegmentation peut poser des problèmes de performance et de sécurité du réseau si elle n'est pas correctement planifiée et mise en œuvre.

• Dégradation des performances. La microsegmentation peut rendre le réseau plus complexe à surveiller et à gérer, et une segmentation trop fine du réseau ou l'application d'un trop grand nombre de politiques de sécurité peut avoir un impact sur les schémas de trafic du réseau et limiter ses performances. L'application de politiques de sécurité à chaque segment crée une surcharge supplémentaire sur le réseau, ce qui peut entraîner une latence et un ralentissement des performances du réseau.
• Lacunes de sécurité. Si la microsegmentation est une technique de sécurité puissante, les politiques doivent être configurées correctement pour que l'ensemble du trafic soit correctement filtré et autorisé/bloqué. Une mauvaise configuration et une application incohérente des politiques peuvent entraîner des lacunes de sécurité, le blocage du trafic légitime et des vulnérabilités potentielles.

Les entreprises doivent planifier avec soin leur stratégie de microsegmentation, y compris le nombre et la taille des segments, les politiques de sécurité à appliquer et l'impact sur les modèles de trafic du réseau. Des tests et une surveillance appropriés doivent être effectués pour s'assurer que la microsegmentation n'a pas d'impact négatif sur les performances du réseau ou qu'elle n'introduit pas de lacunes de sécurité.

La microsegmentation permet aux entreprises de créer des zones ou des segments sécurisés au sein de leurs réseaux, offrant ainsi un contrôle granulaire sur le trafic réseau et minimisant la surface d'attaque. Chaque segment est ensuite sécurisé à l'aide de politiques et de contrôles qui ne laissent que le trafic autorisé circuler entre les segments.

La microsegmentation est généralement mise en œuvre à l'aide d'un réseau défini par logiciel (SDN), qui permet de créer des réseaux virtuels indépendants de l'infrastructure réseau physique. Chacun des segments du réseau est sécurisé à l'aide de politiques qui définissent les types de trafic autorisés à entrer et à sortir du segment. Par exemple, des listes de contrôle d'accès (ACL) peuvent être utilisées pour contrôler quels utilisateurs ou appareils sont autorisés à accéder à chaque segment. Des systèmes de détection et de prévention des intrusions (IDPS) peuvent être utilisés pour détecter et bloquer les activités malveillantes au sein de chaque segment. Un chiffrement peut être utilisé pour protéger les données lorsqu'elles se déplacent entre les segments.

La microsegmentation offre une visibilité et un contrôle granulaires sur le trafic réseau, ce qui facilite l'identification du trafic non autorisé et des failles de sécurité potentielles, et permet de réagir rapidement aux incidents de sécurité.

Il existe trois principaux types de contrôles de la microsegmentation.

Les contrôles de microsegmentation basés sur des agents utilisent des agents logiciels installés sur des terminaux, tels que des serveurs, des postes de travail ou d'autres périphériques réseau, pour appliquer les politiques de segmentation du réseau. L'agent surveille et applique en permanence les politiques spécifiques à ce terminal et peut être géré de manière centralisée via une console de gestion, ce qui simplifie la configuration et le déploiement des politiques sur l'ensemble du réseau d'une entreprise.

Les contrôles de microsegmentation basés sur le réseau utilisent le SDN pour créer des segments de réseau virtuels, chacun avec son propre ensemble de politiques et de contrôles de sécurité. Ces segments virtuels sont isolés les uns des autres, ce qui limite le potentiel de mouvement latéral des attaquants. Les politiques et les contrôles sont appliqués au niveau du réseau, plutôt qu'au niveau du terminal. Cela permet de segmenter le trafic réseau en fonction d'un large éventail de facteurs, y compris l'identité de l'utilisateur, le type d'application et l'emplacement sur le réseau.

Les contrôles de microsegmentation cloud natifs sont spécifiquement conçus pour les environnements cloud. Ils utilisent des fonctions de sécurité cloud natives, telles que les groupes de sécurité réseau et les clouds privés virtuels, pour créer des segments de réseau virtuels et appliquer des politiques de sécurité. Ces contrôles exploitent les fonctions de sécurité natives de la plateforme cloud pour fournir des politiques de sécurité granulaires appliquées automatiquement à toutes les instances de cloud.

Les entreprises peuvent choisir de mettre en œuvre un ou plusieurs types de microsegmentation en fonction de leurs besoins et objectifs spécifiques. Les types de microsegmentation les plus courants sont indiqués ci-dessous.

Segmentation des applications

La segmentation des applications protège les applications individuelles en créant des politiques de sécurité qui contrôlent l'accès à des ressources d'application spécifiques, telles que les bases de données, les API et les serveurs Web, ce qui contribue à empêcher les accès non autorisés et les violations de données. Elle permet également aux entreprises d'appliquer des contrôles d'accès de type « moindre privilège », garantissant que les utilisateurs et les applications n'ont accès qu'aux ressources dont ils ont besoin pour exécuter leurs fonctions spécifiques.

Segmentation des niveaux

La segmentation des niveaux sécurise les différents niveaux ou couches d'une pile d'applications, tels que le niveau Web, le niveau d'application et le niveau de base de données, afin d'empêcher les attaquants de se déplacer latéralement au sein de la pile d'applications et d'accéder à des données ou des ressources sensibles.

Segmentation des environnements

La sécurisation des différents environnements ou zones d'un réseau, tels que les environnements de développement, de test et de production, permet aux entreprises d'appliquer des contrôles d'accès stricts à ces environnements et de garantir que les données et ressources sensibles ne sont accessibles qu'aux utilisateurs et applications autorisés.

Segmentation des conteneurs

La segmentation des conteneurs sécurise les conteneurs individuels ou les groupes de conteneurs dans un environnement de conteneur, réduisant ainsi la surface d'attaque et aidant à empêcher les attaquants de se déplacer latéralement dans l'environnement du conteneur. Sans une segmentation appropriée, les conteneurs peuvent potentiellement accéder aux données et aux fichiers de configuration les uns des autres, ce qui peut entraîner des vulnérabilités de sécurité.

Meilleures pratiques en matière de segmentation des conteneurs

• Isolement des conteneurs. Utiliser des technologies telles que Docker ou Kubernetes pour s’assurer que les conteneurs sont isolés du système hôte et des autres conteneurs sur le même système. Cela empêche les conteneurs d'accéder à des ressources en dehors de leur champ d'application désigné.
• Segmentation du réseau. Utiliser la segmentation du réseau pour limiter la communication entre les conteneurs et les autres ressources du réseau. Cela implique de créer des réseaux distincts pour chaque conteneur et de configurer des règles de pare-feu pour autoriser ou refuser le trafic entre les conteneurs et s'assurer que seules les communications autorisées sont permises.
• Contrôle d'accès basé sur les rôles. Mettre en œuvre un contrôle d'accès basé sur les rôles (RBAC) pour s'assurer que seuls les utilisateurs autorisés peuvent accéder et modifier les conteneurs et les ressources associées. Des cadres RBAC tels que Kubernetes RBAC peuvent être mis en œuvre pour définir et appliquer les rôles et les permissions des utilisateurs.
• Signature des images. Recourir à la signature des images pour s'assurer que seules les images fiables sont utilisées pour créer des conteneurs. Les signatures numériques permettent d'éviter que les images des conteneurs ne soient manipulées ou modifiées.
• Protection de l'exécution. Utiliser la protection de l'exécution pour détecter les menaces de sécurité et y répondre pendant l'exécution du conteneur. Des outils tels que les agents de sécurité de l'exécution et les scanners de vulnérabilité peuvent surveiller les conteneurs pour détecter les signes de compromission et prendre les mesures appropriées pour atténuer les risques.

Segmentation des utilisateurs dans le cadre de la sécurité du cloud

• Le contrôle d'accès basé sur les rôles (RBAC) affecte les utilisateurs à des rôles ou à des groupes spécifiques en fonction de leurs responsabilités et de leurs besoins d'accès. Chaque rôle est associé à un ensemble d'autorisations et de contrôles d'accès qui lui sont propres. Le RBAC garantit que les utilisateurs ne peuvent accéder qu'aux ressources et aux données dont ils ont besoin pour accomplir leur travail.
• L'authentification multifactorielle (AMF) exige des utilisateurs qu'ils fournissent au moins deux formes d'authentification avant de se voir accorder l'accès à un système ou à une application. Il peut s'agir d'un mot de passe, d'un jeton de sécurité, d'un code d'accès à usage unique ou de données biométriques. L'AMF est un moyen efficace d'empêcher l'accès non autorisé aux ressources en cloud, en particulier lorsqu'elle est combinée au RBAC.
• La surveillance en continu consiste à analyser régulièrement l'activité des utilisateurs et les journaux du système pour y déceler des comportements suspects ou des menaces potentielles pour la sécurité. Elle permet d'identifier les comportements anormaux en alertant les équipes de sécurité sur les activités qui sortent des schémas d'accès ou des comportements normaux d'un utilisateur.
• La séparation des tâches permet de s'assurer qu'aucun utilisateur n'a le contrôle total d'un processus ou d'un système critique. La segmentation des utilisateurs en fonction de leurs rôles et responsabilités réduit le risque de fraude ou d'erreur et garantit que les opérations sensibles sont effectuées par plusieurs employés.
• L'examen régulier des accès consiste à évaluer régulièrement l'accès des utilisateurs aux systèmes et aux applications afin de s'assurer qu'ils n'ont accès qu'aux ressources dont ils ont besoin. L'examen des accès peut contribuer à identifier et à supprimer les droits d'accès superflus, réduisant ainsi le risque d'accès non autorisé.

La microsegmentation offre de nombreux avantages aux entreprises, notamment :

• Réduction de la surface d'attaque : en divisant le réseau en segments plus petits, la microsegmentation réduit la surface d'attaque et rend plus difficile l'accès des attaquants aux ressources critiques.
• Amélioration de l'endiguement des brèches : en cas de brèche, la microsegmentation peut contribuer à endiguer l'impact de l'attaque en limitant la capacité du pirate à se déplacer dans le réseau. En isolant les zones affectées du réseau, la microsegmentation peut empêcher la propagation de logiciels malveillants ou d'autres activités malveillantes, réduisant ainsi les dommages potentiels causés par la brèche.
• Conformité réglementaire renforcée : de nombreux cadres réglementaires exigent que les entreprises mettent en œuvre des contrôles d'accès et des mesures de sécurité solides pour protéger les données sensibles. En garantissant que seuls les utilisateurs et les applications autorisés peuvent accéder aux ressources sensibles, la microsegmentation peut aider les entreprises à démontrer leur conformité avec les normes réglementaires.
• Gestion simplifiée des politiques : la microsegmentation peut simplifier la gestion des politiques en permettant d'appliquer des politiques de sécurité à des segments spécifiques du réseau, ce qui peut s'avérer particulièrement utile dans les réseaux étendus ou complexes, où la gestion des politiques pour chaque appareil ou utilisateur individuel peut s'avérer difficile.

Q. : En quoi la segmentation du réseau diffère-t-elle de la microsegmentation ?

R. : La segmentation du réseau et la microsegmentation améliorent toutes deux la sécurité et les performances du réseau, mais elles sont fondamentalement différentes. La segmentation traditionnelle du réseau (parfois appelée macro-segmentation) consiste à diviser un réseau en segments plus importants sur la base de la fonction ou de l'emplacement. Elle se concentre généralement sur le trafic « nord-sud » (de client à serveur) à l'intérieur et à l'extérieur du réseau.

La microsegmentation divise un réseau en segments plus petits et leur applique des politiques de sécurité qui leur sont propres, offrant un niveau de contrôle plus granulaire sur l'accès au réseau « est-ouest », avec la possibilité d'appliquer des contrôles d'accès de confiance zéro. La microsegmentation applique des politiques de sécurité au niveau de la charge de travail ou de l'application individuelle, plutôt qu'au niveau du réseau.

Q. : Qu'est-ce qu'une dépendance applicative ?

R. : La dépendance applicative fait référence aux relations et aux interactions entre les différentes applications et les différents services au sein d'un environnement en réseau. Il est important de comprendre les dépendances des applications pour mettre en place des stratégies de microsegmentation efficaces, car les changements d'accès à une application ou à un service peuvent avoir un impact sur les performances ou la sécurité d'autres applications et services. Les dépendances applicatives doivent être cartographiées avant de mettre en œuvre la microsegmentation.

Q. : Qu'est-ce qu'une politique de pare-feu ?

R. : Les politiques de pare-feu sont des règles qui définissent comment les pare-feu d'une entreprise autorisent ou refusent le trafic entre les différents segments d'un réseau ou entre un réseau et Internet. Les politiques de pare-feu sont les règles qui déterminent comment le trafic est autorisé ou refusé entre ces segments et ces couches.

Q. : En quoi les pare-feu diffèrent-ils de la microsegmentation ?

R. : Les pare-feu contrôlent l'accès à un réseau en filtrant le trafic sur la base de règles prédéfinies. Alors que les pare-feu peuvent être utilisés pour contrôler l'accès entre les segments, la microsegmentation divise un réseau en segments plus petits et applique des politiques de sécurité propres à chaque segment. Cela fournit un niveau de contrôle de l'accès au réseau plus granulaire, permettant aux entreprises de limiter l'accès à des applications et à des services spécifiques.

Q. : Qu'est-ce qu'un réseau virtuel ?

R. : Un réseau virtuel fonctionne au sein d'une infrastructure de réseau physique, mais utilise un logiciel pour connecter des ordinateurs, des machines virtuelles et des serveurs ou des serveurs virtuels sur un réseau sécurisé, contrairement au modèle de réseau physique traditionnel où du matériel et des câbles connectent les systèmes du réseau. Les réseaux virtuels peuvent être utilisés pour créer des environnements isolés au sein d'un réseau plus vaste, ce qui permet aux entreprises de microsegmenter des applications ou des services spécifiques.

La microsegmentation peut aider les entreprises à mieux protéger leurs applications et leurs données sur leurs réseaux contre les menaces potentielles, car elle limite la surface d'attaque exposée aux pirates. En outre, la microsegmentation peut offrir une plus grande visibilité et un meilleur contrôle du trafic réseau, ce qui facilite l'identification des incidents de sécurité et la réponse à y apporter.

F5 offre des produits et des services qui peuvent aider les entreprises à mettre en œuvre et à gérer la microsegmentation et d'autres contrôles de sécurité dans leurs réseaux. Découvrez comment F5 assure une connectivité simple et sécurisée à travers les clouds publics et hybrides, les centres de données et les sites périphériques. Explorez comment F5 effectue une mise en réseau sécurisée des couches applicatives et offre un provisionnement automatisé en réseau cloud pour une efficacité opérationnelle améliorée.