Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Obtenir une bonne segmentation avec le contrôle des politiques structurées

Dorothy Moore
Directeur de l'intelligence compétitive
Illumio Editorial
Juin 20, 2022
23 min. lire

En fin de compte, la segmentation zéro confiance consiste à établir et à appliquer des règles de sécurité.

En établissant des politiques d'accès soigneusement définies, la segmentation zéro confiance empêche les violations de se propager dans les systèmes et environnements informatiques.

Dans toute organisation, il est inévitable qu'au moins un dispositif d'extrémité soit violé par des attaquants. Mais si l'organisation a mis en place une sécurité de type "Zero Trust Segmentation", la violation peut être limitée à ce point de terminaison initial, qu'il s'agisse d'un ordinateur portable, d'un ordinateur de bureau, d'un serveur ou même d'une machine virtuelle.

Les politiques de segmentation empêcheront les logiciels malveillants d'accéder aux ports et aux protocoles du réseau dont ils ont besoin pour se copier sur d'autres serveurs et centres de données critiques ou pour explorer le réseau à la recherche de données précieuses. La segmentation piège l'attaque sur place, comme une mouche sous une vitre.

Segmentation zéro confiance : Deux approches

Un moteur de règles est un logiciel qui définit la syntaxe des règles de segmentation. Il applique également ces règles une fois qu'elles sont définies. En général, les fournisseurs de logiciels de segmentation adoptent deux approches différentes lorsqu'ils conçoivent des moteurs de règles pour leurs clients.

La première approche consiste à offrir aux clients une flexibilité maximale, en permettant aux parties prenantes de l'organisation de définir des règles avec les catégories ou les étiquettes de leur choix.

L'autre approche consiste à adopter une philosophie de conception connue sous le nom de contrôle structuré des politiques. Cette approche limite le nombre d'étiquettes disponibles pour les règles de segmentation. Elle place également l'élaboration des règles sous le contrôle d'une équipe centralisée d'experts en sécurité informatique. Les fournisseurs qui adoptent cette approche estiment qu'en fin de compte, la simplicité sera plus efficace pour limiter les attaques que la complexité.

Nous allons maintenant examiner ces approches et comparer leurs avantages et leurs difficultés dans le cadre de déploiements réels.

L'approche de la segmentation par la flexibilité maximale

Dans toute organisation, les exigences en matière de sécurité varient d'un service à l'autre et d'un cas d'utilisation à l'autre. Des règles différentes s'appliquent à des applications différentes. Une même application peut avoir des règles différentes selon le centre de données dans lequel elle s'exécute, la version du logiciel qu'elle utilise, les ressources sur lesquelles elle s'appuie, etc.

De nombreux fournisseurs de solutions de segmentation répondent à ce besoin de flexibilité en permettant à différents utilisateurs et propriétaires d'applications de définir leurs propres règles pour leur domaine d'expertise ou de responsabilité.

En règle générale, ces fournisseurs prennent en charge trois types de règles :

  • Règles de "blocage" pour empêcher la circulation sur certains sentiers
  • Règles "Allow" pour autoriser certains types de trafic à emprunter un chemin.
  • Les règles "Override" permettent d'écarter d'autres règles afin de bloquer ou d'autoriser le trafic dans des situations particulières.

À première vue, cette approche distribuée de l'élaboration flexible des règles semble prometteuse. Après tout, les propriétaires de biens informatiques devraient avoir la connaissance du domaine dont ils ont besoin pour définir les règles de segmentation les mieux adaptées à un bien informatique particulier ou à un groupe de biens connexes. Et le fait de proposer trois types de règles - blocage, autorisation et annulation - semble offrir aux équipes de sécurité informatique et aux parties prenantes de l'entreprise la précision nécessaire pour définir les bonnes politiques de sécurité afin de protéger les actifs informatiques.

Malheureusement, dans la plupart des entreprises, en particulier les grandes entreprises avec des dizaines ou des centaines de milliers de charges de travail réparties entre les environnements en nuage, sur site et les points d'extrémité, cette approche aboutit rapidement au "Far West".

Bien sûr, les parties prenantes de l'organisation ont défini des règles pour protéger les biens informatiques de valeur. Mais cela conduit finalement au chaos parce qu'il y a trop de règles, de trop nombreuses sortes différentes, pour pouvoir les gérer efficacement.

Comme l'élaboration des règles est distribuée et non coordonnée, l'ensemble des règles finit par présenter des conflits et des omissions, ce qui permet aux attaquants de se faufiler dans les mailles du filet. Une gouvernance centrale et cohérente est pratiquement impossible.

Voici ce qui crée ces conditions "Far West" :

  • Les domaines de responsabilité se chevauchent souvent.
    Par exemple, une personne peut être responsable d'une application commerciale et une autre d'une base de données. L'application peut s'appuyer sur la base de données, mais les règles d'accès définies pour l'application et la base de données sont développées indépendamment. Par conséquent, les deux ensembles de règles risquent d'être incohérents, surtout si d'autres applications utilisent également la base de données.

    Autre exemple : Une personne est chargée de l'application de gestion de la relation client (CRM) de l'entreprise. Une autre personne est chargée du centre de données de l'entreprise à New York, où tourne l'application CRM. Même si ces deux personnes sont d'accord sur les philosophies de sécurité, il est très peu probable que leurs implémentations indépendantes des règles de segmentation fonctionnent parfaitement ensemble. Les adresses IP, les ports et les protocoles sont trop complexes pour que des dizaines ou des centaines de règles puissent être créées de manière indépendante et efficace.
     
  • Le contrôle de la segmentation est distribué plutôt que centralisé, de sorte que les tests sont rares.
    Le contrôle étant réparti entre de nombreuses parties prenantes, il est difficile pour l'organisation informatique de tester toutes les règles de segmentation avant de les activer. L'absence de tests augmente le risque d'erreurs et d'oublis. Cela peut même conduire à un blocage involontaire du trafic critique pour l'entreprise.
     
  • La prise en charge d'un nombre illimité ou élevé d'étiquettes est source de confusion.
    Les produits de segmentation qui distribuent le contrôle de cette manière permettent généralement aux clients de définir leurs propres catégories ou étiquettes pour la segmentation.

    Grâce à cette flexibilité, les clients disposent bientôt de vingt, trente étiquettes, voire plus, pour leurs politiques de segmentation. Par exemple, un client peut apposer une étiquette "Conformité PCI" sur tous les actifs informatiques concernés par la conformité PCI. Ils peuvent également étiqueter tous les actifs dans un lieu spécifique avec le nom du lieu ou avoir des étiquettes pour les unités commerciales, les applications, les environnements (par exemple, test vs. production), les réglementations gouvernementales supplémentaires (telles que le GDPR), et ainsi de suite.

    En théorie, cette prolifération de labels apporte précision et visibilité. Dans la pratique, cela conduit à des modèles de sécurité trop complexes pour être gérés efficacement.

    Les équipes peuvent tenter de réduire ce chaos en ordonnant les règles - par exemple, en structurant les ensembles de règles de manière à appliquer d'abord les règles du centre de données, puis les règles de l'application, et enfin les règles relatives aux réglementations ou aux unités commerciales. Dans la pratique, cependant, ce type de structuration conduit à des politiques labyrinthiques, ce qui rend très difficile de savoir quelles règles sont en vigueur dans certaines conditions.
     
  • Les règles décentralisées sont plus difficiles à gérer lorsque les employés changent d'emploi.
    Un autre problème lié à l'élaboration de règles distribuées est qu'il est plus difficile pour les équipes informatiques et de sécurité d'une organisation de garder une trace des règles qui ont été créées et des raisons qui les ont motivées.

    L'auteur d'une règle, par exemple le propriétaire d'une application, peut ne pas avoir documenté la réflexion qui a présidé à l'élaboration des règles de segmentation. Si cet employé quitte l'entreprise, des connaissances vitales en matière de sécurité et d'exploitation sont perdues.

Le plus gros problème de cette approche très flexible ? Il laisse des failles que les attaquants peuvent exploiter. Les rançongiciels s'infiltrent toujours, malgré tout le temps, l'argent et les efforts qu'une organisation a investis dans la segmentation de ses réseaux.

L'approche de la segmentation par le contrôle structuré des politiques

Contrairement à l'approche "maximum flexibility" pour créer des règles de segmentation, un fournisseur de segmentation peut limiter le nombre d'étiquettes qui peuvent être créées.

Le nombre d'étiquettes autorisées pourrait n'être que de quatre, couvrant uniquement les rôles, les applications, les environnements et les lieux. Ou bien le nombre pourrait être un peu plus élevé, mais loin d'être aussi élevé que le nombre autorisé dans le cadre de l'approche de flexibilité maximale discutée ci-dessus.

Il s'avère que la restriction des étiquettes fonctionne bien dans la pratique. En fait, les plus grands déploiements réussis de la segmentation zéro confiance adoptent tous cette approche, limitant les étiquettes à dix ou moins, même si ces politiques protègent des environnements informatiques hybrides très complexes.

Voici pourquoi l'approche du contrôle structuré des politiques fonctionne si bien :

  • Les labels limités obligent à centraliser et à coordonner dès le départ.
    Pour que la gestion des politiques de segmentation fonctionne bien, une organisation a besoin d'une équipe centrale chargée d'analyser le trafic du réseau et de développer conjointement les politiques de segmentation à appliquer.

    Les propriétaires d'applications se coordonnent avec les propriétaires de bases de données, qui à leur tour se coordonnent avec les gestionnaires de pare-feu. Parce qu'ils travaillent à partir d'une analyse et d'une compréhension communes des modèles de trafic autorisés, ils peuvent définir des règles de segmentation cohérentes et mutuellement compatibles qui assurent la sécurité dont ils ont besoin.
     
  • Il s'appuie sur la visibilité globale du réseau que le contrôle structuré des politiques peut fournir.
    Pour coordonner l'élaboration des règles entre les différentes applications, bases de données et autres ressources, les équipes informatiques et de sécurité ont besoin d'une visibilité complète du trafic réseau de leur organisation. Ils peuvent ainsi identifier le trafic légitime sur lequel reposent leurs applications et leurs services.

    Une fois que ce trafic essentiel est identifié, il devient plus facile de rédiger des politiques qui bloquent tout le reste. Il est également plus facile pour les différentes parties prenantes de se mettre d'accord sur le trafic à autoriser. Lorsque les parties prenantes peuvent travailler à partir d'une compréhension commune de l'utilisation du réseau, la collaboration devient simple.
     
  • Il offre une plus grande simplicité en refusant tout trafic par défaut pour une sécurité de type "Zero Trust".
    Au lieu de donner aux parties prenantes des options pour bloquer le trafic, l'autoriser ou passer outre les règles de segmentation précédentes, une approche stratégique structurée peut commencer par bloquer tout le trafic par défaut pour n'importe quel système ou environnement. Ensuite, à partir d'une carte de visualisation montrant tout le trafic légitime dans l'organisation, les équipes informatiques et de sécurité peuvent rédiger des politiques pour autoriser uniquement le trafic dont l'application, la base de données ou le service a besoin.

    En ne faisant confiance à rien par défaut, les fournisseurs de contrôle structuré des politiques offrent la sécurité rigoureuse "Zero Trust" recommandée par le National Institute of Standards and Technologies (NIST), la Maison Blanche des États-Unis dans son décret sur l'amélioration de la cybersécurité nationale et d'autres autorités en matière de sécurité informatique.
     
  • L'élaboration des règles étant centralisée, les équipes informatiques et de sécurité peuvent tester et définir les règles avant de les appliquer.
    Un autre avantage d'une approche centralisée de l'élaboration des règles est que, comme il existe un modèle cohérent pour les règles, l'ensemble du modèle peut fonctionner en mode test. En outre, les voies de communication entre les charges de travail peuvent être cartographiées visuellement avant la mise en œuvre des règles, ce qui permet d'alerter les équipes sur les problèmes potentiels. Les équipes informatiques et de sécurité ont ainsi la possibilité de dépanner et d'affiner les règles avant de les appliquer.

Conclusion : Flexibilité ou évolutivité

Le choix entre ces deux approches se pose avec acuité lorsque vous mettez en œuvre des règles à grande échelle.

Même dans les petites organisations, l'approche très flexible devient rapidement intenable. Les lacunes en matière de sécurité persistent inévitablement dans le maquis des ensembles de règles élaborés indépendamment les uns des autres. Les attaques passent ou une règle de sécurité bien intentionnée bloque accidentellement le trafic critique parce qu'il n'y a pas de coordination unifiée.

En revanche, en imposant une discipline de conception dès le départ, l'approche de la segmentation fondée sur le contrôle des politiques structurées aide les équipes informatiques et de sécurité à protéger simplement et efficacement tout type d'environnement informatique, depuis les start-ups jusqu'aux réseaux mondiaux les plus vastes et les plus complexes.

Pour en savoir plus sur la solution Illumio pour la segmentation zéro confiance :

Sujets connexes

No items found.

Articles connexes

Pourquoi est-il important de pouvoir mettre en œuvre la microsegmentation de manière progressive ?
Segmentation sans confiance

Pourquoi est-il important de pouvoir mettre en œuvre la microsegmentation de manière progressive ?

Presque tous les informaticiens s'accordent à dire que la segmentation est d'autant plus efficace qu'elle est fine.

Read more
5 raisons de ne pas manquer la toute première tournée mondiale d'Illumio à New York
Segmentation sans confiance

5 raisons de ne pas manquer la toute première tournée mondiale d'Illumio à New York

Ne manquez pas cet événement exclusif sur la cybersécurité ! Attendez-vous à une plongée en profondeur dans la segmentation Illumio Zero Trust, Zero Trust et les tendances de l'industrie de la sécurité lors de la toute première tournée mondiale d'Illumio à New York.

Read more
La tournée mondiale d'Illumio arrive à Sydney ! Voici tout ce que vous devez savoir
Segmentation sans confiance

La tournée mondiale d'Illumio arrive à Sydney ! Voici tout ce que vous devez savoir

Rejoignez l'Illumio World Tour à Sydney le 20, 2024, au Hyatt Regency pour rencontrer les meilleurs experts en cybersécurité.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more