.png)
Segmentation du réseau par rapport à la sécurité
La nécessité de la segmentation en tant que stratégie de sécurité a beaucoup évolué. Depuis les premiers jours des réseaux jusqu'aux centres de données complexes et aux environnements en nuage d'aujourd'hui, l'approche de la segmentation adoptée par les entreprises n'a pas suivi le même rythme. Quiconque tente d'utiliser des approches de segmentation traditionnelles pour relever les nouveaux défis en matière de sécurité s'apercevra rapidement qu'elles ne répondent pas aux attentes et aux exigences de sécurité.
Toutefois, cela n'a pas empêché les fournisseurs et certaines organisations d'essayer de faire entrer la proverbiale cheville carrée du réseau dans le trou rond de la sécurité. Alerte au spoiler : ça ne passe pas.
Ce dont vous avez réellement besoin, c'est d'une segmentation de la sécurité.
Dans ce billet, je vais explorer la différence entre la segmentation du réseau et la segmentation de la sécurité, en me concentrant sur le centre de données et sur la façon dont la segmentation du réseau a été mal orientée pour répondre aux exigences de sécurité.
Contrôle au sol pour les principales applications
Lorsque j'ai commencé à travailler en réseau, un segment était un brin de RG-58 COAX. Suis-je en train de sortir avec moi-même ? Oui.
Au fil de ma carrière, j'ai travaillé chez Xylan, un pionnier de la technologie émergente "" VLAN. À l'époque, le défi consistait à interfonctionner tous les supports (Token Ring, FDDI, ATM, Ethernet) avec tous les supports et à étendre les réseaux locaux virtuels (VLAN) - non pas principalement pour des raisons de sécurité, mais plutôt pour réduire les domaines de diffusion - afin de maintenir les performances du réseau et de permettre aux réseaux de s'adapter. Il n'y avait pas de commutateurs de couche 3, et les éléments les plus coûteux du réseau étaient les routeurs logiciels. † Fondamentalement, un segment était devenu un domaine de diffusion logique (et non physique), et il l'est resté jusqu'à ce que les VLAN soient mêlés à la sécurité.
Aujourd'hui, malgré l'argent qu'une organisation consacre aux technologies de détection"" , la plupart des organisations pensent qu'une brèche, sous une forme ou une autre, est inévitable.
"Face à l'inévitabilité d'une brèche, la seule protection réaliste consiste à ériger davantage de murs autour des applications critiques - ou à contrôler le terrain" afin que les mauvais acteurs ne puissent pas se déplacer librement à l'intérieur de votre centre de données et de votre nuage.
Le contrôle du terrain nécessite une nouvelle forme de segmentation.
C'est ce que j'appelle la segmentation de la sécurité, par laquelle une organisation doit filtrer le trafic pour empêcher un mauvais acteur de se déplacer latéralement (est/ouest) à l'intérieur d'un centre de données. C'est bien mieux que "retro segmentation" à travers le réseau, qui nécessite de nouvelles IP, de nouveaux VLAN et de nouveaux équipements.
Peut-on ou doit-on ? Ce n'est pas rien
La segmentation de la sécurité n'a rien à voir avec le transfert de paquets tel qu'il s'effectue dans les réseaux des couches 2 et 3. La segmentation de la sécurité consiste à filtrer les paquets, c'est-à-dire à imposer ce qui doit ou ne doit pas être autorisé entre deux points du réseau.
Je dis toujours que c'est la différence entre "peut " (transfert de paquets) et " doit " (filtrage de paquets). Tous les protocoles et travaux réalisés sur les réseaux des couches 2 et 3 ont porté sur la fiabilité de la livraison des paquets.
- Le réseau de couche 2/3 peut trouver un chemin pour acheminer un paquet entre deux endroits, s'il en existe un.
- Le réseau de couche 2/3 ne sait pas s'il doit transmettre le paquet. Il n'a pas été conçu pour fonctionner de cette manière.
En fait, demander à un dispositif de niveau 2/3 de déterminer ce qui doit se passer, c'est comme demander à Ron Burgundy de ne pas lire tous les mots d'un téléprompteur.
La segmentation de la sécurité, quant à elle, comprend ce qui devrait se produire et met en place des filtres de paquets pour s'assurer que ce qui ne devrait pas se produire ne se produise jamais, comme la propagation d'une brèche.
En fait, la livraison fiable de paquets - sur laquelle nous travaillons depuis 30 ans - et la segmentation de la sécurité sont comme des cousins germains : ils sont apparentés, mais ne devraient pas se marier.
KISS : Vous voulez que les choses restent simples, stupides (et filtrées tous les jours).
L'émergence de ce que j'aime appeler le problème du "firewall on a stick" est l'une des choses qui a mis au premier plan la nécessité d'une segmentation de la sécurité. Il y a dix ans, nous ne voyions pas beaucoup de trafic transféré vers un (ou plusieurs) pare-feu dans les centres de données parce que cela créait une surcharge de trafic, une complexité de configuration et des problèmes d'échelle. Toutefois, au fil du temps, les conceptions de pare-feu sur clé "" se sont multipliées.
PROTÈGE : Chaque fois que vous voyez une technologie sur un bâton, méfiez-vous. Il va se mettre en travers du chemin.
Dans les entreprises, les fournisseurs de réseaux définis par logiciel (SDN) tentent de s'attaquer à la complexité du pare-feu en créant une superposition de réseaux qui achemineront les paquets à travers un ensemble distribué de pare-feu. Pour fonctionner, le SDN s'appuie sur des couches inférieures, des couches supérieures et des tunnels. Cela a créé un tout nouveau niveau de complexité que nous pouvons réserver pour un autre article. Mais il suffit de dire qu'attaquer la complexité par plus de complexité n'est pas une proposition gagnante.
La complexité est l'ennemie de beaucoup de choses, et la sécurité en fait partie.
Contrairement au SDN, la segmentation de la sécurité (ou filtrage des paquets) repose sur le principe KISS de la mise en réseau : Keep It Simple Stupid. Si vous rendez les choses trop complexes, la probabilité d'erreur augmente, de même que la probabilité que les gens cherchent à faire des économies - la dernière chose que vous souhaitez dans le cadre de votre stratégie de sécurité. La simplicité, en revanche, a plus de chances de produire de la fiabilité, et la fiabilité est essentielle en matière de sécurité.
.webp)
