5 raisons pour lesquelles votre équipe de pare-feu va adorer la microsegmentation

Je n'oublierai jamais un incident qui s'est produit au début de l'histoire de notre clientèle. Nous venions de terminer une formation avec les équipes d'architecture et de mise en œuvre des pare-feu d'un grand client. L'un des principaux administrateurs de pare-feu a levé la main et a déclaré : "Si j'ai bien compris, je n'aurai plus jamais à écrire une règle de pare-feu". J'ai souri et j'ai dit : "C'est vrai."

Six mois plus tard, nous nous trouvions dans l'ascenseur et il m'a dit avec enthousiasme à quel point il aimait la microsegmentation. Je lui ai demandé pourquoi et il m'a répondu : "Vous aviez raison. Je ne rédige plus d'ACL et notre politique est beaucoup plus stricte".

Ce fut un grand moment, mais le fait est que la microsegmentation est excellente pour les équipes d'exploitation des pare-feux. Voici cinq raisons principales pour lesquelles il en est ainsi.

1. Finies les listes de contrôle d'accès manuelles. D'un point de vue conceptuel, l'écriture de règles de pare-feu est "facile" : il suffit de taper les règles pour ce que vous voulez autoriser et tout le reste sera refusé. C'est vrai à un haut niveau d'abstraction, mais près du travail, c'est une simplification excessive. Dans un pare-feu traditionnel, chaque souhait de politique doit être traduit de la manière dont les propriétaires d'applications parlent de leurs systèmes au langage des adresses IP, des sous-réseaux et des zones. Avec la microsegmentation, le point d'application est déplacé vers l'instance d'application elle-même, ce qui signifie que la segmentation ne repose sur aucune construction de réseau pour l'application. Associé à un puissant moteur de calcul de politiques, l'administrateur peut rédiger des politiques en langage clair : "Le serveur web communique avec le serveur d'application, qui communique à son tour avec la base de données. Les serveurs web ne communiquent jamais entre eux ni directement avec la base de données". Une simple politique peut être transformée en une base de règles applicables sans qu'aucun humain n'ait besoin de connaître une adresse IP, un sous-réseau ou une zone. La microsegmentation libère les administrateurs de pare-feu de l'écriture des listes de contrôle d'accès (ACL).
    
2. Obtenir un modèle de politique évolutif. Bien que les pare-feu sortent de la boîte avec un refus par défaut au bas de la table des règles, ils se développent rapidement pour avoir un mélange complexe d'instructions d'autorisation et de refus. Ces politiques mixtes denylist et allowlist sont peu évolutives car l'héritage est limité. Tant que les règles sont des déclarations mixtes d'autorisation et de refus, l'ordre des règles est important et cela limite l'héritage - quel ordre doit respecter une politique fusionnée ? La microsegmentation fonctionne sur un modèle de confiance zéro. Étant donné qu'il n'y a que des déclarations d'autorisation, l'héritage des politiques est facile - tout ce qui peut arriver, c'est qu'une chose soit autorisée plus d'une fois. Il est ainsi facile de définir une politique à n'importe quel niveau d'abstraction. Un serveur particulier peut hériter d'une politique applicable à l'ensemble du centre de données et d'une politique applicable à l'environnement de production et aux bases de données en général. Lorsque de grandes parties de la politique proviennent de modèles, le travail de rédaction de la politique se simplifie et s'adapte beaucoup mieux.
    
3. Sachez que la politique est correcte. L'élaboration d'une politique de pare-feu n'est pas chose aisée. Tout le trafic d'application doit être caractérisé jusqu'au port et au protocole. Ces informations échappent souvent aux équipes chargées de l'infrastructure et de la sécurité. Pire, même l'équipe chargée de l'application n'est souvent pas au courant, car l'application peut avoir été installée par un fournisseur ou un sous-traitant qui n'est plus impliqué. La microsegmentation permet d'établir une carte des dépendances des applications que l'ensemble de l'équipe peut comprendre. Comme la carte n'affiche que les données de l'application et non les dispositifs du réseau, les équipes chargées des applications et du DevOps peuvent facilement comprendre les flux que leur application génère et ce qui doit être protégé. La microsegmentation facilite l'obtention d'un consensus sur la protection des applications critiques et fournit des informations précises à l'équipe chargée de l'élaboration des politiques.
    
4. Sachez que la police est sûre. Comment tester une règle de pare-feu ? Ce n'est pas le cas. Les pare-feu ne fonctionnent pas de cette manière : nous saisissons les règles et, en cas de problème, le téléphone sonne. En 2021, cela ne suffira plus. Dans le cas d'une toute nouvelle application, il est possible de faire des allers-retours avec l'équipe chargée de l'application pour la mettre en production. Mais avec les applications existantes, toute erreur dans la politique de segmentation entraîne une panne. La microsegmentation offre une meilleure solution. Les politiques suivent un cycle de vie qui comprend des étapes distinctes d'élaboration, de test et d'application. De cette manière, tout le monde, du propriétaire de l'application aux équipes de sécurité et d'infrastructure, peut valider que la politique est "telle qu'elle a été conçue" et qu'elle couvre toutes les communications nécessaires. La simple carte des dépendances de l'application permet de savoir facilement que la politique est sûre et qu'elle peut être mise en œuvre.
    
5. Obtenez l'aide des propriétaires de l'application. Dans toutes les organisations, l'équipe chargée des applications est bien plus nombreuse que l'équipe chargée de la sécurité. Et si l'on considère le nombre de demandes par rapport au nombre d'auteurs de politiques de segmentation, le contraste serait encore plus grand. Compte tenu de cette disparité, il est toujours difficile d'aider chaque équipe à comprendre ce dont l'équipe chargée du pare-feu a besoin et à l'obtenir en temps voulu. La microsegmentation fournit des visualisations et des flux de travail conçus pour que les propriétaires d'applications fassent partie du processus. Lorsque l'équipe chargée de l'application est impliquée dans le projet de microsegmentation, il lui est beaucoup plus facile de soutenir les objectifs des équipes chargées de la sécurité et de l'infrastructure pour l'application. Cela renforce la confiance et élimine les reproches lorsque chacun peut voir comment fonctionne l'application et l'interaction de la politique de segmentation avec ces flux. Les propriétaires d'applications peuvent facilement valider à la fois les flux et la partie application de la politique, ce qui accélère les progrès vers l'application.

La microsegmentation est très utile pour les administrateurs de pare-feu. Remplacez les règles de pare-feu manuelles par une politique simple en langage naturel qui ne nécessite aucune connaissance en matière de réseau. Bénéficiez d'un véritable modèle de politique de confiance zéro qui s'adapte facilement à l'héritage complet. Toutes les politiques de segmentation doivent être correctes et complètes. La microsegmentation en fait un processus graphique simple dans lequel les propriétaires des applications peuvent être impliqués. Avec eux à vos côtés, le projet de segmentation devient plus rapide, plus facile et plus agréable. La microsegmentation est la mise à jour que les administrateurs de pare-feu attendaient.