Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Guide de l'architecte pour le déploiement de la microsegmentation : Implications de la modification du modèle de sécurité

Illumio Editorial
Illumio Editorial
Juillet 17, 2020
23 min. lire

Un architecte ou un chef de projet pour un déploiement de microsegmentation bénéficie d'une image claire des résultats souhaités et de la façon dont le déploiement aura un impact réel sur son organisation. Dans le même temps, l'obtention de ces informations nécessite souvent le soutien d'autres membres de l'équipe, dont certains ne font même pas partie de l'équipe informatique. Qu'est-ce qu'un architecte ou un chef de projet doit savoir sur les déploiements de microsegmentation pour lancer un nouveau projet, le maintenir sur la bonne voie et obtenir des résultats optimaux ?

Cette série explorera ces questions et examinera les éléments clés qui permettront à votre équipe de s'aligner de manière optimale pour fournir les résultats que vous attendez et que vous devez fournir à l'entreprise - en s'appuyant sur l'expérience acquise lors de centaines de déploiements de microsegmentation.

Dans la première partie, j'aborderai les implications de la modification de votre modèle de sécurité. Le passage à une solution de microsegmentation modifie le modèle réseau/périmètre existant de plusieurs manières importantes, décrites ci-dessous. Chacune de ces modifications permet d'obtenir certains des avantages qui ont rendu la micro-segmentation attrayante au départ, et chacune de ces modifications a des implications pour l'entreprise.

Le point d'application passe du réseau à l'hôte

Traditionnellement, la sécurité est placée aux points d'étranglement du périmètre, que ce soit à la limite d'un VLAN, de l'environnement PROD ou de l'Internet. Dans ce modèle, il y a peu d'interaction directe avec les équipes chargées des applications, de l'exploitation des serveurs ou de l'automatisation. Le passage à une application basée sur l'hôte signifie que

  • Questions relatives à la combinaison des systèmes d'exploitation et au soutien des agents
  • Disponibilité & La cohérence des outils d'automatisation et d'administration aura un impact sur le déploiement des agents et la rapidité avec laquelle ils seront déployés.
  • Les propriétaires d'applications, les administrateurs de systèmes et les développeurs d'automatisation interagiront d'une manière nouvelle pour eux et pour l'équipe chargée de la sécurité.
  • L'intégration de la sécurité dans le système d'exploitation est une nouveauté pour les équipes chargées de l'application et de l'administration, qui devront comprendre ce que cela signifie pour elles.

La politique de sécurité passe d'un modèle mixte liste noire/liste blanche à un modèle purement liste blanche.

Les pare-feu matériels utilisent une combinaison d'instructions d'autorisation et de refus. Cela signifie que l'ordre des règles dans chaque dispositif est très important. Dans les meilleures politiques de microsegmentation, il n'y a que des déclarations d'autorisation. Naturellement, il s'agit de la mise en œuvre pratique des principes de la confiance zéro pour la segmentation. Mais il élimine également les problèmes d'ordonnancement des règles et permet des politiques multidimensionnelles flexibles. Il s'agit d'une manière différente de travailler et de spécifier les politiques qui connaîtra une brève période de transition, le temps que les auteurs des politiques apprennent une nouvelle manière d'exprimer leurs souhaits. Elle crée une politique beaucoup plus simple et plus facile à "lire", ce qui facilite grandement les audits et la vérification de la conformité. Attendez-vous à passer du temps avec ces équipes pour les informer sur le nouveau modèle de politique.

Les déclarations de politique de sécurité passent de déclarations dépendantes du réseau/IP à des déclarations basées sur des métadonnées.

Les pare-feu matériels dépendent des adresses IP, des ports et des protocoles pour la rédaction des règles. Tous les fournisseurs de microsegmentation proposent un certain type d'étiquettes ou de métadonnées pour exprimer des déclarations de politique sans aucune référence à des constructions de réseau. Cela signifie que la politique de sécurité ne sera pas comprise uniquement par les équipes chargées du réseau ou de la sécurité du réseau. Les mécanismes graphiques de "pointer-cliquer" pour la rédaction des règles offrent également un moyen presque non technique de créer une politique de sécurité. Combiné à un puissant contrôle d'accès basé sur les rôles(RBAC), il devient possible d'envisager une distribution plus large de la rédaction des règles au sein de l'organisation. La question de savoir si cela est souhaitable ou non sera spécifique à l'organisation.

Bien que les métadonnées n'aient pas été historiquement importantes pour l'équipe de sécurité, les parties de l'organisation plus large concernées par l'automatisation en font un usage intensif. La confluence des équipes de sécurité et d'automatisation qui génèrent et consomment des métadonnées implique qu'une attention particulière à la conception, au stockage, à la modification, etc. des métadonnées est un effort nécessaire et utile qui peut avoir un impact positif sur l'agilité de l'ensemble de l'organisation. Cette conversation plus large est plus efficace lorsque les dirigeants dépassent les silos et les groupes de travail et rassemblent l'ensemble des parties prenantes concernées pour trouver une solution commune.

L'automatisation de la sécurité pilotée par API est disponible

Si l'automatisation et l'orchestration sont des notions courantes dans le domaine des applications et des systèmes informatiques, elles ne le sont pas autant dans les équipes chargées des réseaux et de la sécurité. Mais une bonne solution de microsegmentation offre un flux de travail entièrement piloté par l'API. Toutes les fonctionnalités de la plateforme doivent être accessibles via l'API. Cela signifie que la capacité d'automatiser la sécurité n'est limitée que par l'imagination, le temps et l'attention. Là encore, l'organisation devra faire appel à une équipe interfonctionnelle pour comprendre les possibilités, hiérarchiser les souhaits d'automatisation et mettre en œuvre les plans qui en découlent en respectant les phases appropriées. Le temps consacré à la propreté et à l'organisation des métadonnées sera très utile lors de l'automatisation de la politique de microsegmentation.

Dans chacune de ces observations, le point commun est que ce déploiement dépassera les lignes organisationnelles internes. Il offrira des capacités qui n'ont jamais existé et générera et consommera des données nouvelles pour l'équipe. En d'autres termes, il s'agit de "changement", et non de "plus de la même chose". Chaque organisation aura sa propre attitude à l'égard du changement et la plus grande tâche de gestion consiste à faire correspondre ce changement à la capacité de l'organisation à l'absorber.

Aujourd'hui, nous avons exploré comment la microsegmentation modifie fondamentalement le modèle de réseau/périmètre existant avec lequel votre organisation est probablement "à l'aise". Dans la deuxième partie, nous aborderons le prochain point clé qui permettra à votre équipe de déployer la microsegmentation avec le plus grand succès : comment constituer une équipe de déploiement.

Pour approfondir et lire tout ce que vous devez savoir pour déployer avec succès la microsegmentation, consultez l'eBook Secure Beyond Breach : A Practical Guide to Building a Defense-in-Depth Cybersecurity Strategy Through MicroSegmentation.

Sujets connexes

No items found.

Articles connexes

10 raisons de choisir Illumio pour la segmentation
Segmentation sans confiance

10 raisons de choisir Illumio pour la segmentation

Découvrez comment Illumio rend la segmentation plus intelligente, plus simple et plus solide dans le cadre de votre stratégie de sécurité Zero Trust.

Read more
Brèche dans le système SolarWinds : Un changement de paradigme vers la confiance zéro
Segmentation sans confiance

Brèche dans le système SolarWinds : Un changement de paradigme vers la confiance zéro

La compromission de SolarWinds et ses retombées actuelles ont mis en évidence la difficulté de contrôler et de valider chaque point de contact d'une entreprise avec ses dépendances externes (qu'il s'agisse d'un fournisseur, d'un client ou d'un partenaire) et soulignent le vieil adage selon lequel "une chaîne n'est aussi solide que son maillon le plus faible".

Read more
Comment West Bend Mutual Insurance a surmonté les défis de la migration vers l'informatique en nuage avec Illumio
Segmentation sans confiance

Comment West Bend Mutual Insurance a surmonté les défis de la migration vers l'informatique en nuage avec Illumio

Hébergé en mode SaaS, compatible avec de nombreux systèmes d'exploitation et moins complexe que d'autres solutions similaires, voici comment Illumio est la solution de cybersécurité de West Bend.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more