Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

6 Exigences de microsegmentation pour les applications modernes

Illumio Editorial
Illumio Editorial
Avril 21, 2020
23 min. lire

L'idée de segmenter le réseau pour renforcer la sécurité n'est pas nouvelle. Mais il a été difficile de réaliser une segmentation granulaire parce que l'informatique et la sécurité ont été liées par la hanche. Cela signifie que toute modification apportée pour atteindre le niveau de sécurité souhaité nécessite des changements au niveau du réseau de transport sous-jacent ou sacrifie la granularité. En outre, les équipes informatiques et de sécurité doivent souvent jongler avec des priorités concurrentes, et la segmentation n'a pas toujours été la stratégie la plus populaire.

L'augmentation de l'ampleur et de la portée des cyberattaques change la donne.

"...il n'y a plus d'excuse pour ne pas activer la microsegmentation pour n'importe quelle entreprise ou infrastructure"

La microsegmentation est un excellent moyen de dissuasion pour les pirates informatiques. De plus en plus d'organisations mettent en œuvre la microsegmentation en tant qu'élément essentiel d'une stratégie de défense en profondeur. Selon une enquête récente menée auprès de plus de 300 professionnels de l'informatique, 45 % d'entre eux ont actuellement un projet de segmentation ou sont en train d'en planifier un. Le rapport Q3 2020 Zero Trust Wave de Forrester Research a renforcé l'importance de la microsegmentation en déclarant "...il n'y a désormais plus d'excuse pour ne pas activer la microsegmentation pour n'importe quelle entreprise ou infrastructure."

Mais comme pour tout contrôle de sécurité, il est important de trouver un équilibre entre la stratégie de l'entreprise et la nécessité de la sécuriser. La segmentation de votre réseau est un projet majeur et une manière totalement différente de gérer votre réseau. Il se peut que vous passiez d'une infrastructure de réseau plat - où les communications sont largement ouvertes - à un réseau qui nécessite des règles de pare-feu tout comme votre infrastructure périmétrique. Une planification minutieuse est nécessaire pour obtenir le résultat souhaité, à savoir un réseau difficile pour les attaquants, mais qui reste gérable pour vous.

Comment y parvenir ?

Pour un déploiement efficace de la microsegmentation, voici une liste de six fonctions et capacités clés que les solutions doivent fournir :

1. Visibilité avec le contexte de l'application

L'adage selon lequel "on ne peut pas protéger ce que l'on ne voit pas" est on ne peut plus vrai. Les entreprises utilisent diverses applications pour fonctionner, chacune d'entre elles communiquant avec les autres et partageant des données. C'est là que réside le défi. Sans visibilité, un utilisateur non autorisé a tout le loisir de s'infiltrer dans une entreprise, d'atterrir sur un bien non protégé ou vulnérable et de se déplacer latéralement vers des biens critiques, le tout sans aucun signe de détection.

Une microsegmentation appropriée des actifs applicatifs peut minimiser ou empêcher la propagation des brèches, mais vous avez besoin d'une visibilité au niveau de la couche applicative. Cela diffère de l'obtention du trafic netflow ou de l'utilisation d'un port SPAN sur le commutateur qui fournit des informations sur les flux du réseau aux niveaux L2 et L3. Vous devez être en mesure de voir comment les composants de l'application communiquent entre eux à différents niveaux (Web, traitement, base de données) et comment les applications interagissent les unes avec les autres.

Les applications ne sont pas isolées. Ils se parlent entre eux, et c'est ainsi que fonctionnent les processus d'entreprise. Par exemple, un système de point de vente (POS) communiquera probablement avec une application de gestion des stocks avant d'exécuter la commande d'un client. C'est logique. Le trafic provenant du système POS doit être autorisé à communiquer avec les applications d'inventaire. D'autre part, un serveur Web public ne devrait pas communiquer directement avec une base de données, mais plutôt passer par le serveur de traitement des applications pour effectuer une transaction ou une requête.

Mais ces flux ne sont pas nécessairement bien connus - en tout cas pas par les équipes chargées des réseaux et peut-être même pas par les équipes chargées de la sécurité. Les développeurs d'applications peuvent avoir ce niveau de clarté, mais pas toujours. Les entreprises ont besoin d'une visibilité intégrée qui montre les dépendances des applications afin d'obtenir une microsegmentation correcte. Dans l'idéal, cela prendrait la forme d'une carte qui montrerait comment les différentes applications communiquent entre elles et à travers les différents niveaux. Cette carte doit également décrire la façon dont les différents environnements (développement, mise en scène, production et régulation) sont organisés et le type de communication qui circule entre eux. Cela aide les organisations à comprendre "ce qui se passe" et "ce qui devrait se passer" en fonction de la posture de sécurité souhaitée.

Comment Illumio vous aide : La carte des dépendances applicatives d'Illumio montre clairement comment les composantes des applications interagissent et comment les différentes applications communiquent entre elles. Cette carte, connue sous le nom d'Illumination, offre non seulement une visibilité inégalée, mais recommande également des politiques basées sur la granularité souhaitée. Les politiques sont définies en langage naturel à l'aide d'étiquettes et ne nécessitent pas d'informations sur la couche réseau. Cette approche fait le gros du travail et calcule les règles L2/L3/L4 précises sur la base de ces politiques en langage naturel. Cela facilite le développement d'une posture de sécurité alignée sur les objectifs de l'organisation.

2. Architecture évolutive

Il existe plusieurs façons de réaliser la microsegmentation. Bien que chaque approche ait ses mérites, vous devez tenir compte de l'évolutivité, de l'efficacité et de la granularité de la solution, de la facilité d'utilisation et, enfin, du rapport coût-efficacité.

Les approches typiques sont les suivantes :

  • Segmentation à l'aide du réseau : Programmation de listes de contrôle d'accès (ACL) sur les équipements du réseau (commutateurs, routeurs, pare-feu, etc.). Bien que cette approche permette d'obtenir une séparation grossière, elle est très lourde, sujette aux erreurs et coûteuse. Les réseaux sont censés transporter des paquets d'un point A à un point B aussi rapidement que possible, et l'attribution d'ACL pour la segmentation revient à arrêter chaque paquet pour voir s'il doit être autorisé. Ces deux objectifs sont diamétralement opposés et lorsque nous les mélangeons, les choses commencent à se gâter.
  • Segmentation avec SDN : L'automatisation de ce qui précède avec le réseau défini par logiciel (SDN) permet aux utilisateurs d'accéder à un contrôleur centralisé pour définir des règles qui sont transmises aux dispositifs de réseau appropriés. Cette approche permet d'alléger la configuration, mais à bien des égards, elle n'est pas plus efficace que l'utilisation de périphériques de réseau. En outre, la plupart des systèmes SDN ont été conçus pour assurer l'automatisation du réseau, et non des fonctions de sécurité. Ce n'est que récemment que les fournisseurs ont pris conscience des cas d'utilisation en matière de sécurité et ont essayé de réorienter les systèmes SDN pour fournir une microsegmentation, avec un succès marginal.
  • Microsegmentation basée sur l'hôte : Cette approche est différente sur le plan architectural. Au lieu d'appliquer les règles quelque part dans le réseau, les entreprises peuvent utiliser la puissance des pare-feu intégrés avec état pour appliquer les règles à la vitesse de ligne sans aucune pénalité de performance. En outre, il s'agit de la seule architecture évolutive, ce qui signifie que vous augmentez la capacité au fur et à mesure que vous ajoutez des charges de travail. Il a été prouvé que les architectures évolutives suivent bien la croissance des composants du système sans sacrifier les performances. N'oubliez pas que pour que l'application de la loi ait lieu, l'entité chargée de l'application de la loi doit voir le trafic. Dans le cas des pare-feu (ou des dispositifs de réseau qui font le travail), ils doivent voir le trafic. À un moment donné, le volume de trafic dépassera la capacité du dispositif d'exécution, laissant une organisation exposée sans protection. Le pilotage du trafic constitue un défi de taille et entraîne parfois des perturbations au niveau de la couche réseau ou une grande complexité.

Comme la périphérie du réseau ne se situe pas au niveau du pare-feu périmétrique, mais au niveau des segments internes, plus les segments sont granulaires, meilleure est la protection. Si vous approfondissez ce concept, vous vous rendez compte que le meilleur segment est un segment de un - la charge de travail devient le nouveau bord. Tout ce qui se trouve en dehors de la charge de travail n'est pas fiable et toutes les mesures d'autorisation ou d'arrêt du trafic sont prises au niveau de la charge de travail sans sacrifier les performances. C'est exactement ce que font les systèmes basés sur l'hôte.

Comment Illumio vous aide : Très tôt, nous avons reconnu que la seule façon évolutive de réaliser à la fois une segmentation grossière et une microsegmentation granulaire était d'utiliser une architecture basée sur l'hôte. Cette approche rapproche la sécurité de l'action et les contrôles sont indépendants du réseau. En tirant parti des capacités de l'hôte et de son aptitude à appliquer le pare-feu dynamique du noyau du système d'exploitation, nous découplons la segmentation du réseau et vous offrons un moyen évolutif de segmenter en éliminant les points d'étranglement présents dans les pare-feu et en augmentant la capacité au fur et à mesure que de nouvelles charges de travail sont mises en ligne.

3. Politiques de sécurité abstraites

Traditionnellement, la sécurité est liée au réseau, mais les deux entités ont des objectifs différents. Les réseaux sont synonymes de vitesse et de débit. La sécurité est une question d'isolement et de prévention. Lorsque nous mélangeons les deux, nous obtenons le pire des deux mondes. C'est comme une course à trois jambes où les deux participants vont dans des directions différentes. Inutile de dire que le scénario ne se termine pas bien. Les politiques de sécurité devraient être dissociées du réseau afin qu'une posture de sécurité souhaitée puisse être atteinte indépendamment de l'infrastructure sous-jacente.

Comment Illumio vous aide : En découplant la segmentation du réseau, nous fournissons un flux de travail permettant aux organisations d'élaborer des politiques basées sur des étiquettes axées sur les affaires et facilement compréhensibles. Les charges de travail sont organisées en fonction de quatre dimensions d'étiquettes, et les politiques sont rédigées à l'aide de ces étiquettes. Tout le travail de mise en correspondance des politiques abstraites avec l'application au niveau du réseau est effectué par le biais d'un modèle qui vous permet de tester les politiques avant de les appliquer. Cela vous permet d'obtenir le résultat souhaité - la microsegmentation - sans interrompre aucune application.

4. Contrôles granulaires

Les entreprises disposent de nombreuses applications dont la criticité varie. Ainsi, les exigences de sécurité diffèrent en fonction de l'importance et, parfois, des exigences réglementaires associées à cette application. Vous avez besoin d'un mécanisme permettant de définir différentes mesures de sécurité pour des environnements informatiques uniques. Parfois, il peut être judicieux de séparer simplement différents environnements (par exemple, séparer le développement de la production ou séparer les actifs réglementaires du champ d'application de tout le reste). Pour des contrôles plus stricts, vous devrez peut-être verrouiller les niveaux d'application (Web, traitement, base de données) et contrôler quel niveau peut communiquer avec quel autre. Ces options devraient faire partie du flux de travail de la politique et devraient être faciles à mettre en œuvre sans modifier le réseau.

Comment Illumio vous aide : Notre modèle de politique est simple, mais puissant et facile à utiliser. La carte des dépendances applicatives offre non seulement une visibilité sur la couche applicative, mais elle permet également de créer des politiques en recommandant différentes options, du simple cloisonnement à la séparation par niveaux, en passant par la segmentation basée sur les ports, les processus et les services.

5. Un cadre stratégique cohérent pour l'ensemble de votre parc informatique

Les entreprises deviennent de plus en plus hybrides et multi-cloud, et l'empreinte d'une application est souvent dispersée sur différents sites sur place, dans des installations d'hébergement et dans des nuages publics, en fonction des exigences de résilience, de fonctionnalité, de performance et de résidence des données. Vous devez développer un mécanisme de sécurité cohérent qui transcende les solutions individuelles incompatibles applicables à un environnement particulier.

Les modèles de sécurité sont différents dans les nuages publics par rapport aux déploiements sur site. Les nuages publics fonctionnent selon un modèle de sécurité partagée. Les fournisseurs d'informatique en nuage assurent la sécurité de base de l'infrastructure et les clients sont responsables de la sécurisation de leurs actifs et de leurs applications. En outre, les outils utilisés pour sécuriser les déploiements sur site sont différents de ceux disponibles dans les nuages publics. La plupart des nuages publics proposent des groupes de sécurité (dont les noms varient en fonction du fournisseur) qui offrent un pare-feu de base par réseau privé virtuel. Ces groupes de sécurité sont limités en termes d'échelle, présentent les mêmes problèmes que les pare-feu en termes de complexité de configuration et ne sont pas compatibles avec les nuages. Cela peut être un défi pour les clients qui sont vraiment hybrides multi-cloud et qui ont besoin d'un mécanisme de sécurité cohérent.

Comment Illumio vous aide : Notre solution est indépendante de l'emplacement et du facteur de forme de la charge de travail. Vos charges de travail peuvent résider n'importe où. Nous offrons une visibilité totale ainsi qu'un modèle de sécurité cohérent applicable à l'ensemble du parc informatique.

6. Intégration à votre écosystème de sécurité

La définition d'un dispositif de sécurité et l'application de ses règles contribuent au bon fonctionnement de l'entreprise. Cet élément doit s'intégrer fermement aux processus et aux outils utilisés par une organisation pour créer de nouveaux actifs, déployer des applications, rendre les systèmes opérationnels, etc. La plupart des entreprises disposent de systèmes qui les aident dans leurs activités quotidiennes. Par exemple, SecOps peut utiliser Splunk comme centre de contrôle principal, et d'autres systèmes devraient envoyer des notifications et des alertes à ce système. Il est peu probable que les SecOps surveillent quotidiennement plusieurs outils pour assurer le bon fonctionnement de l'entreprise. Si la sécurité ne s'intègre pas à ces processus, elle constituera toujours un défi et créera des silos et de la complexité.

Comment Illumio vous aide: Notre solution est entièrement pilotée par API, ce qui signifie qu'elle s'intègre facilement à l'écosystème plus large d'une organisation. Tout ce que vous pouvez faire avec l'interface graphique d'Illumio peut être fait via des appels API à partir de votre système de choix. En outre, nous prenons en charge les intégrations qui permettent d'améliorer les fonctionnalités. Parmi les intégrations notables, on peut citer

  • ServiceNow : Illumio peut ingérer les attributs de l'hôte à partir de ServiceNow et les utiliser pour créer des étiquettes qui sont assignées à chaque charge de travail et utilisées pour définir des politiques. En outre, Illumio peut envoyer des informations sur toute divergence (sur la base d'une carte en temps réel) à ServiceNow et corriger les informations pour rendre la CMDB plus précise.
  • Splunk : Illumio peut envoyer toutes les alertes et notifications à des SIEM comme Splunk, en signalant des éléments tels que le trafic bloqué, les événements d'altération, les violations de règles, etc.
  • Les scanners de vulnérabilité (Qualys, Tenable, Rapid7) : Unique à Illumio, nous pouvons ingérer des informations sur les vulnérabilités et les superposer à une carte de dépendance des applications pour visualiser et quantifier les risques, ce qui vous donne une carte des vulnérabilités. Ces informations peuvent ensuite être utilisées pour élaborer des politiques de microsegmentation afin de tenir compte des vulnérabilités, en utilisant essentiellement la microsegmentation comme un contrôle compensatoire lorsqu'il n'est pas possible d'appliquer immédiatement des correctifs.
  • AWS Security Hub : Comme Splunk, Illumio s'intègre à AWS Security Hub, qui offre une fonctionnalité SIEM pour les déploiements en nuage.
     

En résumé, voici les principaux avantages de la microsegmentation :

  • Amélioration de la sécurité : Le trafic réseau peut être isolé et/ou filtré pour limiter ou empêcher l'accès entre les segments du réseau.
  • Meilleur confinement : Lorsqu'un problème de réseau survient, son effet est limité au sous-réseau local.
  • Meilleur contrôle d'accès : Autorisez les utilisateurs à n'accéder qu'à des ressources réseau spécifiques.
  • Conformité : Les organisations soumises à des exigences de conformité réglementaires ou imposées par le client peuvent démontrer que les mesures appropriées ont été prises et passer les audits en temps voulu.
  • Amélioration de la surveillance : Permet d'enregistrer les événements, de surveiller les connexions internes autorisées et refusées, et de détecter les comportements suspects.


La microsegmentation est une approche très efficace pour prévenir les mouvements latéraux non autorisés au sein de votre organisation, et ce n'est pas un hasard si elle est devenue un élément clé du cadre de la confiance zéro. Les violations peuvent être préjudiciables, mais l'absence d'un réseau segmenté en interne peut l'être tout autant.

La plupart des brèches très médiatisées laissent les organisations paralysées parce qu'un intrus a traversé le réseau sans être détecté pendant des semaines ou des mois, se déplaçant latéralement pour accéder à des actifs de grande valeur. La microsegmentation empêche ce mouvement afin que votre organisation ne devienne pas la prochaine entreprise à faire la une des journaux à subir une attaque.

Prêt à franchir la première étape de votre parcours de segmentation ? Inscrivez-vous pour un essai gratuit de 30 jours.

Sujets connexes

No items found.

Articles connexes

Comment assurer la réussite des projets de microsegmentation : 6 risques majeurs
Segmentation sans confiance

Comment assurer la réussite des projets de microsegmentation : 6 risques majeurs

Il y a une raison pour laquelle tant d'organisations n'ont pas encore mis en œuvre la microsegmentation pour établir une meilleure protection de la sécurité Zero Trust.

Read more
8 raisons pour lesquelles le secteur bancaire devrait utiliser la segmentation zéro confiance d'Illumio
Segmentation sans confiance

8 raisons pour lesquelles le secteur bancaire devrait utiliser la segmentation zéro confiance d'Illumio

Lisez pourquoi la principale cible des cyberattaques au cours des cinq dernières années, le secteur des services bancaires et financiers, a besoin de la segmentation zéro confiance d'Illumio.

Read more
C'est un oiseau, c'est un avion, c'est... un superamas !
Segmentation sans confiance

C'est un oiseau, c'est un avion, c'est... un superamas !

Les grandes entreprises disposent souvent de centres de données situés dans différentes régions géographiques. Les centres de données répartis permettent à ces organisations d'installer leurs applications à proximité de leurs clients et de leurs employés, de se conformer aux exigences en matière de résidence des données et d'assurer la reprise après sinistre de leurs applications commerciales essentielles.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more