Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

La microsegmentation basée sur l’identité est essentielle à la sécurité du cloud : protégez-vous contre l’usurpation d’identité.

image
PETER SMITH
octobre 21, 2020 - 5 Min de lecture

La microsegmentation basée sur l’identité s’est rapidement imposée comme une bonne pratique pour la sécurité du cloud et comme un catalyseur du Zero Trust. Dans le rapport Gartner d’avril 2020, Guide du marché des plateformes de protection des charges de travail dans le cloud (abonnement à Gartner requis), les analystes Neil MacDonald et Tom Croll écrivent :

« Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge le besoin croissant de « microsegmentation » basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero Trust) du trafic est/ouest dans les data centers. »

De plus, la segmentation basée sur l’identité et la visibilité du réseau représentent un contrôle fondamental dans la hiérarchie des contrôles de protection de la charge de travail basée sur le risque de Gartner.

Lorsque des plateformes prétendent élaborer des politiques Zero Trust sur la base de l’identité, il est essentiel de s’assurer qu’elles ne se contentent pas d’apposer une étiquette sur des politiques basées sur le pare-feu, qui exposent aux mêmes risques de sécurité qu’une solution traditionnelle qui base ses politiques sur des adresses réseau.
 

Microsegmentation basée sur l’identité comparée aux méthodes traditionnelles

L’identité est la clé de politiques Zero Trust efficaces. La plupart des solutions de microsegmentation et de Zero Trust sont basées sur les pare-feu, lesquels s’appuient sur les adresses réseau. Cette approche est problématique pour de nombreuses raisons. Premièrement, les réseaux changent constamment, ce qui signifie que les politiques liées au réseau doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent. C’était déjà difficile à réaliser dans un data center, mais c’est impossible dans le cloud et d’autres environnements d’autoscaling où les adresses IP sont éphémères.

Plus grave encore, l’utilisation d’approches de segmentation basées sur les adresses réseau ne permet pas d’identifier *ce qui* communique (c’est-à-dire l’identité du logiciel qui communique) ; ces approches ne peuvent que vous dire *comment* l’entité communique (par exemple, à partir de quelle adresse IP, de quel port ou de quel protocole). C’est comme si le FBI interceptait une conversation entre deux espions présumés, et dès qu’ils vérifient que leurs suspects parlent en anglais (c’est-à-dire, le protocole) sur un réseau cellulaire national (par exemple, les appareils), les agents supposent que ces communications sont complètement innocentes sans aucune considération pour l’identité des espions. C’est presque exactement ce que font les systèmes de sécurité basés sur le réseau. Ils n’examinent que le protocole et l’adresse réseau. Tant qu’elles sont jugées « sûres », les communications sont autorisées, même si les services informatiques n’ont aucune idée de l’identité des entités qui tentent de communiquer.

Un autre avantage d’une approche basée sur l’identité est qu’elle simplifie grandement la gestion des politiques pour la microsegmentation : vous pouvez protéger un segment avec seulement sept politiques basées sur l’identité contre des centaines de règles basées sur l’adresse. Pour illustrer ceci, prenons un environnement type comportant 15 milliards d’événements réseau. Si nous les « rendons uniques » et éliminons les événements redondants, ce chiffre tombera à un à deux millions d’événements réseau uniques. Mais nous pouvons aller plus loin : dédupliquons ces un à deux millions d’événements sur la base d’applications similaires (c’est-à-dire utilisant l’identité) avec des interactions similaires. Nous descendons maintenant à 26 000, mais nous n’avons pas terminé. Utilisons l’apprentissage automatique (AA) pour réduire ce chiffre davantage via un score de similarité. Cela nous amène à 40 000 interactions uniques, qui peuvent être codifiées en moins de 100 politiques basées sur l’identité pour l’ensemble de l’environnement, contre des dizaines de milliers de règles basées sur l’adresse.

Lorsque vous observez les interactions sur un réseau, vous constatez un grand nombre d’éléments aléatoires (telle adresse vers telle autre adresse sur tel port), en bref une myriade d’interactions désordonnées, compliquées et difficiles à manier. Vous ne pourrez jamais obtenir un résultat de microsegmentation simplement en l’observant. Mais en faisant appel à l’AA et à l’identité, le service informatique peut tout compresser en un très petit ensemble de politiques gérables. L’utilisation de l’identité transforme la microsegmentation en un problème pouvant être résolu.
 

Comment Zscaler applique le modèle Zero Trust basé sur l’identité

Zscaler Workload Segmentation commence par mapper la topologie de communication des applications à l’aide de l’AA, un processus qui prend environ 72 heures (une énorme amélioration par rapport aux mois nécessaires à une exécution manuelle). Une fois le processus terminé, nous pouvons mesurer le nombre total de chemins d’accès au réseau disponibles et les chemins d’accès aux applications qui sont réellement requis par les applications d’entreprise. Généralement, seule une fraction des chemins est nécessaire. Nous pouvons éliminer tous les chemins de communication inutiles pour réduire la surface d’attaque. En général, notre algorithme d’AA peut réduire le nombre de chemins d’environ 90 %, tout en assurant une couverture complète de l’environnement.

Pour permettre une microsegmentation basée sur l’identité, une identité unique et immuable est attribuée à chaque appareil et à chaque ressource logicielle en fonction de dizaines de propriétés de la ressource elle-même, telles que le hachage SHA-256 d’un binaire ou l’UUID du BIOS. Les identités s’étendent jusqu’au niveau des sous-processus, de sorte que nous pouvons identifier de manière unique même les fichiers JAR Java et les scripts Python individuels. La création et la gestion des identités sont entièrement automatisées afin de simplifier les opérations.

Zscaler vérifie les identités des logiciels communicants en temps réel. Cette approche Zero Trust empêche les logiciels non approuvés et malveillants de communiquer. Les attaques par piggybacking (ou ferroutage) utilisant des règles de pare-feu approuvées font partie du passé. L’identité est le secret qui permet de simplifier les opérations et d’offrir une protection plus forte que les contrôles de sécurité réseau traditionnels.

Les identités des logiciels communicants étant particulièrement spécifiques, Zscaler simplifie le nombre de politiques nécessaires pour protéger un segment. Comme mentionné ci-dessus, notre plateforme ne construit pas plus de sept politiques pour chaque segment qui définissent exactement quelles applications et quels appareils peuvent communiquer entre eux. Et parce que les politiques de segmentation sont construites en utilisant l’identité logicielle, même si le réseau sous-jacent change, les politiques ne se rompent pas. Si le système ne peut pas vérifier l’identité unique de ce qui tente de communiquer, aucune communication n’a lieu.

Avec Zscaler Workload Segmentation, la création de segments et de politiques associées ne prend que quelques secondes en un seul clic.

 


Peter Smith est le vice-président de Zscaler responsable de Secure Workload Communication.

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.