Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Guide de l'architecte pour le déploiement de la microsegmentation : Gérer la relation avec les fournisseurs et l'intégration opérationnelle

Illumio Editorial
Illumio Editorial
Septembre 3, 2020
23 min. lire

Le passage de la segmentation traditionnelle du réseau (comme les pare-feu) à la microsegmentation nécessite un effort orchestré mené par des architectes ou des chefs de projet. En comprenant et en explorant à l'avance les véritables avantages et la voie la plus claire vers l'optimisation, il est possible de réussir tout au long du processus de déploiement.

Cette série a permis de faire le point sur les nombreux aspects à prendre en compte. Dans cette cinquième et dernière partie, j'aborderai la meilleure façon de gérer vos relations avec les fournisseurs et de maintenir l'intégration opérationnelle.

Gérer la relation avec les fournisseurs

Le fournisseur que vous avez choisi souhaite autant que vous voir votre projet de microsegmentation aboutir. Du côté des fournisseurs, nous communiquons régulièrement en interne sur chaque déploiement afin de nous assurer que les fonctionnalités, les ressources et le code sont tous disponibles lorsqu'ils sont nécessaires.

Traitez votre fournisseur comme un partenaire stratégique afin d'obtenir les meilleures performances. Lorsque nous savons non seulement "ce dont vous avez besoin", mais aussi "pourquoi vous en avez besoin" et "quand vous en avez besoin", il est beaucoup plus facile de mobiliser notre équipe élargie. Si vous tenez votre fournisseur à distance et que nous ne pouvons voir que la toute prochaine étape du plan de projet, nous sommes souvent incapables d'avoir une vue d'ensemble et d'apporter notre expertise et les leçons apprises jusqu'à ce qu'il soit trop tard. Tout projet peut être retardé, devoir être achevé plus tôt que prévu ou avoir d'autres conséquences. Communiquez les changements importants dès le début, et votre fournisseur sera le mieux placé pour les absorber et vous aider à ajuster le plan et l'exécution.

Liste de contrôle

Plusieurs partenariats clés doivent être mis en place dans les premières semaines du projet :

  1. Architecte de solutions, ingénieur de services professionnels, chef de projet, responsable technique. Il s'agit de l'équipe de travail technique de base. Ensemble, ils effectueront la plupart des travaux techniques nécessaires à la réussite du projet. Il est important que le dialogue soit libre, ouvert et respectueux.
  2. Architecte du succès client, directeur, architecte de projet. Il s'agit de l'équipe de travail stratégique. Ils doivent savoir ce qui se passe sur le plan technique et anticiper les besoins de l'équipe de projet afin d'éliminer ou de minimiser les obstacles. Cette relation doit être suffisamment confortable pour que les deux parties puissent parler en toute transparence des problèmes et des défis. C'est le premier point d'"escalade" pour les deux parties si quelque chose ne va pas.
  3. Gestionnaire de compte, vice-présidents des vendeurs et sponsor exécutif. Il s'agit de l'équipe de travail au niveau de l'entreprise qui est responsable des résultats. Cette équipe s'occupe de toute escalade entre les entreprises qui pourrait survenir. Chaque partie présente un risque d'exécution qui doit être compris et exprimé à ce niveau. Cette équipe ne doit pas se contenter de discuter du projet en cours, mais aussi de la feuille de route, des opportunités supplémentaires et des points d'appui pour la microsegmentation.

Le parrain exécutif qui veille au bon fonctionnement de chacune de ces équipes sera rarement surpris par les aspects négatifs et constatera que la plupart des problèmes inévitables sont traités sans que l'attention de l'exécutif ne soit attirée, sauf sous la forme de rapports d'étape. Aucun projet n'est "autogéré", mais lorsque ces trois niveaux de relations sont bien entretenus, les projets ont tendance à se dérouler sans heurts.

Gérer l'intégration opérationnelle

Passons maintenant à la vitesse supérieure. La plupart des solutions de microsegmentation comportent quelques composants : un moteur central de politique et un agent basé sur l'hôte au minimum. La complexité liée au déploiement de la microsegmentation vient du fait que ces deux composants touchent à beaucoup d'autres choses dans l'environnement de l'entreprise. Il existe plusieurs "meilleures pratiques" qui faciliteront l'intégration opérationnelle avec les systèmes existants.

Créer un environnement de test QA ou de pré-production

Alors que les équipes internes et celles du fournisseur se concentreront naturellement sur les instances PROD de la solution, veillez à ce que l'équipe mette en place une petite version QA de la solution de microsegmentation dans un environnement de non-production. Cette plateforme servira plusieurs objectifs. Au début, il s'agira d'un endroit où les développeurs internes et les équipes chargées des outils d'automatisation pourront tester et développer du code. Les équipes opérationnelles peuvent tester les intégrations de journalisation et la gestion des événements. Les classes de formation internes peuvent utiliser le système pour se familiariser avec le système.

Une fois le déploiement terminé, cette capacité doit être conservée. Veillez à ce que ce système pré-prod gère une image de chacun de vos principaux systèmes d'exploitation. De cette manière, le nouveau code du fournisseur peut être testé dans l'environnement non productif avec l'ensemble des images du système d'exploitation PROD avant que les nouvelles versions ne soient mises en production. Idéalement, l'équipe de déploiement de votre fournisseur peut mettre en place ce système sous la forme d'une seule VM légère.

Mise en place et test de la journalisation et de l'alerte avant le déploiement en production

Sans surprise, les équipes OPS sont plus confiantes lorsque l'intégration opérationnelle complète est achevée avant de coupler les charges de travail de production. Il faut du temps et de l'énergie pour analyser les journaux, déclencher des alertes et créer des tableaux de bord.

Ce travail offre une visibilité totale sur l'état de santé du moteur politique, des agents et des systèmes sous-jacents. Il est beaucoup plus facile pour tout le monde de travailler dans des environnements de production sensibles en sachant que toute l'instrumentation nécessaire est en place. Attendez-vous à ce que les ingénieurs du service professionnel de votre fournisseur vous fassent des recommandations sur les messages clés du journal et vous recommandent des alertes qui ont été appréciées par d'autres clients.

Trois points de vue différents doivent être pris en compte dans le mécanisme d'analyse des journaux et de traitement des événements :

  1. La sécurité. L'équipe de sécurité se concentrera surtout sur les journaux du pare-feu et les mécanismes anti-fraude de l'agent. Ils s'intéressent toujours à la politique et aux violations de celle-ci.
  2. OPS. L'équipe OPS se concentrera sur la charge de travail et la santé du moteur de politique, et voudra savoir comment corréler les événements du système avec d'autres événements du centre de données.
  3. Tableau de bord. Les administrateurs de la direction ou du NOC auront souvent besoin d'une vue consolidée du déploiement de la microsegmentation qui contient les points forts et la possibilité d'effectuer des analyses approfondies.

Lorsque chacune de ces préoccupations est prise en compte dans le mécanisme de traitement des journaux/événements/alertes, la confiance s'installe dans l'ensemble de l'organisation, car de nombreuses équipes diverses se rendent compte que le projet offre une intégration complète qui suit les pratiques existantes.

Investir dans des flux de travail automatisés

Le déploiement d'une micro-segmentation offre de nombreuses possibilités d'automatiser les processus de sécurité qui ont longtemps été purement manuels. En outre, l'étiquetage de la micro-segmentation permettra d'examiner et d'améliorer les sources de métadonnées existantes et de les combiner de manière novatrice. Les métadonnées qui en résultent sont elles-mêmes précieuses et peuvent être conservées pour être utilisées par d'autres systèmes et tâches d'automatisation. Il est courant que les entreprises disposent de meilleures métadonnées après un déploiement réussi de la microsegmentation si un effort modeste est consenti. Cet effort porte ses fruits dans le fonctionnement continu et l'expansion du déploiement initial de la micro-segmentation.

Installation de l'agent

Le déploiement d'un agent de microsegmentation sur des centaines ou des milliers de systèmes implique une certaine forme d'automatisation. Dans certains cas, il s'agira d'outils existants, dans d'autres, d'outils créés de toutes pièces. Mais dans de nombreux cas, le souhait sera d'intégrer l'installation de l'agent aux processus de construction automatisés. Qu'il s'agisse de Chef, Puppet, Ansible, Salt ou d'autres cadres, il est possible d'intégrer la sécurité dans le cycle de vie standard de l'entreprise.

La plupart des centres de données d'entreprise présentent un mélange d'automatisation complète à l'aide de cadres d'orchestration et d'environnements hérités dépourvus de ces outils. Prendre le temps de travailler sur l'intégration avec l'équipe d'orchestration lorsque c'est possible, c'est donner au projet les meilleures chances de réussite. Les environnements plus anciens qui ne bénéficieront pas du cadre d'orchestration peuvent être gérés séparément à l'aide de scripts personnalisés.

Installation du moteur de la politique

Certains de nos clients intègrent également la création du moteur de politique dans leur package d'orchestration. Si l'instanciation des politiques a été automatisée, la reprise après une panne de serveur peut se faire presque aussi rapidement que l'automatisation peut construire un nouveau moteur de politiques. Les organisations qui ont une motion DEV-OPS forte voudront prendre en compte ce point.

Sauvegarde de la base de données du moteur de politique

Tous les moteurs de politique de microsegmentation s'appuient sur une base de données. Si cette base de données est corrompue ou indisponible, il est probable que la solution ne fonctionnera pas du tout ou donnera des résultats indésirables. Assurez-vous que l'équipe OPS dispose des sauvegardes automatisées nécessaires et qu'elle est compétente en matière de restauration et de récupération conformément aux procédures de votre fournisseur.

Attribution des étiquettes

L'attribution initiale d'étiquettes aux charges de travail se fait généralement par le biais d'une sorte de téléchargement en masse dans le moteur de politique. Cela produira des étiquettes correctes pour les systèmes initiaux, dans un état initial. Au fil du temps, les étiquettes changeront. De nouveaux systèmes seront ajoutés, d'autres disparaîtront. Plus ce flux de travail sera automatisé, plus il sera facile pour toutes les parties concernées. Il s'agira de codifier l'attribution des étiquettes dans la documentation de conception interne et de décider de la manière de les stocker, de les mettre à jour et de les récupérer.

Votre solution de microsegmentation utilisera toujours des étiquettes, mais ces étiquettes peuvent être mieux gérées grâce à une gestion centralisée des métadonnées. Votre équipe DEV OPS aura probablement une opinion bien arrêtée sur la gestion des métadonnées, et il est judicieux de faire entendre sa voix.

Gestion des métadonnées

Le déploiement d'une microsegmentation permet d'élaborer une politique de sécurité en fonction de l'affectation des métadonnées. Cela signifie qu'au fil du temps, votre solution de micro-segmentation disposera d'un ensemble d'étiquettes et d'autres métadonnées décrivant la manière dont les éléments doivent interagir. Ces étiquettes ne sont généralement pas créées sur mesure par votre fournisseur - elles sont réutilisées à partir d'une source de vérité existante.

Il s'agit d'une opportunité d'automatisation. Une bonne solution de microsegmentation recalculera toujours la politique lorsque les étiquettes changent. Ainsi, si les métadonnées sont gérées en dehors de votre solution de microsegmentation, cette séparation des tâches peut être exploitée pour l'automatisation. Lorsque la solution de microsegmentation fait référence à une "source de vérité" externe, toute modification des métadonnées peut être notifiée à votre moteur de politique de manière programmatique, et les règles sont automatiquement mises à jour.

Avec la microsegmentation, une gestion plus intelligente des métadonnées équivaut à une gestion plus intelligente des politiques et des règles. Il est toujours utile de réfléchir à l'endroit où sont stockées les métadonnées utilisées pour créer les étiquettes et à la manière dont elles sont mises à jour, récupérées et transmises à un moteur d'élaboration des politiques. Dans d'autres cas, les informations provenant du moteur de politique peuvent être utiles pour mettre à jour les systèmes CMDB existants. Le déploiement de la microsegmentation fournira une excellente raison de réfléchir à la manière dont les métadonnées sont utilisées et exploitées dans l'entreprise, et pourra donner l'impulsion nécessaire à l'automatisation de ces améliorations.

Tout ramener à la maison

Un déploiement réussi de la microsegmentation améliorera le modèle de segmentation interne, le dialogue sur les politiques et le niveau d'automatisation de la sécurité. Conduire l'équipe vers cette destination impliquera de nouveaux apprentissages et de nouvelles opportunités. La microsegmentation modifiera certaines parties du modèle opérationnel existant et sera mieux servie par une équipe de déploiement interfonctionnelle.

En tant que responsable, votre contribution sera nécessaire à plusieurs moments clés. En insistant sur les bonnes conversations autour des métadonnées et de l'élaboration des politiques, vous avez la possibilité de faire une différence durable dans la rapidité et l'agilité de l'entreprise. Vous pouvez réellement bénéficier d'un contrôle fin et d'une automatisation rapide en même temps. J'espère vous entendre parler de votre succès dans le déploiement, l'opérationnalisation et l'exploitation de votre propre déploiement de microsegmentation.

Pour une lecture plus approfondie de tout ce que vous devez savoir pour mettre en œuvre une stratégie de microsegmentation du début à la fin, ne manquez pas de consulter l'eBook, Secure Beyond Breach : Un guide pratique pour élaborer une stratégie de cybersécurité de défense en profondeur grâce à la microsegmentation.

Sujets connexes

No items found.

Articles connexes

Un pirate informatique explique trois raisons pour lesquelles la segmentation zéro confiance est son pire cauchemar.
Segmentation sans confiance

Un pirate informatique explique trois raisons pour lesquelles la segmentation zéro confiance est son pire cauchemar.

Découvrez les tactiques que les acteurs de la menace conservent dans leur boîte à outils de piratage et les façons dont la segmentation zéro confiance les rend rapidement inefficaces.

Read more
Comment résoudre les 3 principaux défis de la sécurisation des conteneurs et des environnements Kubernetes ?
Segmentation sans confiance

Comment résoudre les 3 principaux défis de la sécurisation des conteneurs et des environnements Kubernetes ?

Découvrez comment déployer une sécurité à la fois cohérente et flexible dans des conteneurs et des environnements Kubernetes en constante évolution.

Read more
Principales actualités de mai 2025 en matière de cybersécurité
Segmentation sans confiance

Principales actualités de mai 2025 en matière de cybersécurité

Découvrez les principales actualités de la cybersécurité de mai 2025, y compris les idées du RSAC sur l'IA et la confiance zéro, une attaque de ransomware qui perturbe les chaînes d'approvisionnement alimentaire du Royaume-Uni, et les avis d'experts d'Illumio sur la résilience dans le monde post-fraude d'aujourd'hui.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more