Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Microsegmentation 101

image
RICH CAMPAGNA
avril 01, 2021 - 6 Min de lecture

La microsegmentation peut s’avérer une stratégie de cybersécurité très efficace, car elle permet de stopper les déplacements latéraux des menaces, et de minimiser ainsi le rayon d’action et les dommages causés par un incident de cybersécurité. En dépit de son énorme potentiel, divers défis majeurs ont empêché une adoption plus large de la microsegmentation. 
 

Pourquoi avons-nous besoin de microsegmentation ?

La plupart des attaques et incidents de sécurité notoires impliquent une infiltration initiale via un système ou une personne vulnérable, suivie d’un déplacement latéral à travers le réseau de l’entreprise. C’est ce déplacement latéral qui permet généralement aux attaquants d’augmenter l’ampleur des dégâts qu’ils peuvent infliger. 

Le hacker peut d’abord infiltrer ou compromettre une application qui n’est pas considérée comme essentielle et qui, par conséquent, n’a pas été corrigée, pour ensuite utiliser ce système comme point de départ vers d’autres systèmes contenant des informations sensibles. Le système initial peut également être la première machine infectée à partir de laquelle une souche de ransomware commence à se frayer un chemin à travers le réseau vers d’autres machines. 

Sur un réseau ouvert et plat avec très peu de contrôles internes, ce genre de situation se produit trop souvent. Malheureusement, la plupart des efforts ont été concentrés sur la création d’un périmètre de défense solide, négligeant les contrôles et les défenses internes. Compte tenu de la nature poreuse du périmètre d’entreprise actuel et de la persistance des acteurs malveillants, la plupart des systèmes de défense basés sur le périmètre finiront par être vaincus. Les contrôles internes basés sur la microsegmentation peuvent minimiser les dommages qu’un hacker peut causer une fois qu’il s’est introduit sur le réseau.
 

Comment fonctionne la microsegmentation

La microsegmentation consiste à diviser de grands groupes ouverts d’applications ou de charges de travail en petits segments en fonction des exigences de communication de chaque application. Les applications seront alors autorisées à communiquer à l’intérieur de leur segment, mais ne pourront pas effectuer de communications non autorisées avec des applications en dehors de leur segment. La microsegmentation est un composant essentiel d’un modèle de sécurité Zero Trust pour les charges de travail dans le cloud et le data center. En bref, la microsegmentation intervient là où la sécurité du périmètre s’arrête, en appliquant une politique sur l’ensemble du réseau interne de l’entreprise, et pas seulement sur le périmètre.

Par exemple, une application Web de gestion des ressources client (CRM) serait autorisée à communiquer avec la base de données qui stocke les données client correspondantes, mais le système coordonnant les opérations physiques et la sécurité du bâtiment ne pourrait pas se connecter à cette même base de données.

La microsegmentation est le plus souvent appliquée soit au niveau de l’hôte, soit au niveau du réseau. 

 

Microsegmentation basée sur l’hôte

La microsegmentation basée sur l’hôte repose sur des agents installés sur les terminaux. L’avantage de l’utilisation d’un agent est le fait qu’il offre un contrôle et une visibilité beaucoup plus granulaires, et ouvre la voie à une microsegmentation basée sur l’identité plus facile à gérer. L’utilisation d’un agent permet de segmenter sur la base de politiques dynamiques et compréhensibles par l’humain plutôt que sur la base de règles statiques au niveau du réseau.

Par exemple, une politique basée sur l’identité peut stipuler qu’un certain script Python, legitimate.py, peut communiquer sur le réseau, mais pas le script malware.py plus pernicieux, qui s’exécute sur la même machine virtuelle. Une telle granularité de contrôle et un modèle politique facile à comprendre sont impossibles avec le modèle basé sur le réseau.

L’inconvénient de la microsegmentation basée sur l’hôte est qu’un agent ne peut pas être installé sur toutes les charges de travail. Il peut s’agir de systèmes d’exploitation traditionnels, de fonctions sans serveur et PaaS, etc. Pour ces types de services, la plupart des plateformes basées sur des agents incluent généralement soit du code d’agent intégrable et/ou un processus de remplacement sur une segmentation basée sur le réseau pour les systèmes hors champ d’application.

Il existe deux principaux types de microsegmentation basée sur l’hôte. L’un orchestre les pare-feu basés sur l’hôte et l’autre type exploite le contrôle basé sur l’identité. La microsegmentation basée sur le pare-feu hôte implique une version plus dynamique d’un pare-feu réseau traditionnel, mais avec des limitations similaires. Étant donné que tous les pare-feu ignorent la véritable identité des charges de travail communicantes et s’appuient sur des contrôles basés sur les adresses réseau, des hackers peuvent les contourner en exploitant la « confiance dans le réseau ». 

En revanche, la protection basée sur l’identité de la charge de travail n’autorise que les applications vérifiées par cryptographie à communiquer sur les chemins approuvés du réseau. Chaque tentative de communication est validée, garantissant que les acteurs malveillants et les malwares ne peuvent pas communiquer sur le réseau. 
 

Microsegmentation basée sur le réseau

La microsegmentation basée sur le réseau est exactement ce que son nom indique : une segmentation effectuée au niveau du réseau en modifiant les listes de contrôle d’accès (ACL) ou les règles de pare-feu. Comme elle est effectuée au niveau du réseau, il n’y a pas d’agent à déployer sur les charges de travail.

La microsegmentation basée sur le réseau présente plusieurs inconvénients majeurs. Tout d’abord, elle ne peut appliquer des politiques que par terminal. Cela signifie que si un logiciel légitime se trouve sur le même terminal qu’un malware, les pare-feu, généralement utilisés comme dispositifs de contrôle, ne peuvent pas faire la distinction entre les deux. Les deux logiciels seront soit bloqués, soit autorisés. 

En outre, comme ces politiques sont basées sur le port réseau et l’adresse IP, elles sont statiques par définition. Dans les environnements cloud modernes, les charges de travail sont dynamiques et éphémères. Les politiques qui ne sont pas elles aussi dynamiques et éphémères ralentissent les choses et peuvent causer des problèmes.

Enfin, la gestion de cette approche peut s’avérer compliquée, ce qui conduit souvent à des segments plus grands que prévu initialement, un compromis qui permet de réduire les frais généraux opérationnels, mais qui remet également en question l’intérêt même de la microsegmentation. Toute tentative de segmentation plus granulaire (c’est-à-dire de microsegmentation) entraîne une augmentation massive du nombre de règles de pare-feu, ce qui engendre une complexité ingérable.
 

Défis posés par la microsegmentation

Malgré sa capacité à réduire le risque et l’impact d’une violation, de nombreux projets de microsegmentation échouent au stade de la mise en œuvre. Plusieurs raisons expliquent cet échec, la plupart étant liées à la complexité opérationnelle et à un manque d’automatisation qui requiert une trop grande implication humaine. Des produits de microsegmentation plus récents ont été conçus pour surmonter ces défis. 

L’un des plus grands défis de la microsegmentation consiste à définir les voies de communication appropriées pour chaque élément logiciel, ce qui constitue la base des politiques. Effectuer cette tâche manuellement exige une connaissance détaillée de la façon dont chaque charge de travail communique avec toutes les autres charges de travail dans votre environnement cloud et/ou de data center. Ce niveau de connaissance n’existe tout simplement pas dans la plupart des entreprises. Faute d’une automatisation basée sur l’apprentissage automatique, ce processus peut s’avérer incroyablement chronophage, et les conclusions seront déjà obsolètes au moment où l’enquête sera terminée. 

En outre, si elle n’est pas effectuée correctement, la mise en œuvre de la microsegmentation peut provoquer des dysfonctionnements dans les applications. Cette pierre d’achoppement peut entraîner un rejet interne de l’ensemble du projet et exige un système qui identifie avec précision et rapidité les chemins de communication nécessaires, en s’adaptant automatiquement à mesure que l’environnement dynamique évolue. 

Enfin, les modifications du réseau sous-jacent nécessaires à la mise en œuvre des politiques de microsegmentation peuvent être considérables, entraînant des temps d’arrêt, des erreurs onéreuses et des problèmes de coordination entre plusieurs groupes au sein de l’entreprise. Les progrès plus récents en matière de microsegmentation ont été conçus comme des superpositions au réseau lui-même, ce qui permet d’atteindre l’objectif souhaité sans modifier le réseau sous-jacent.
 

Zscaler Workload Segmentation

Zscaler Workload Segmentation (ZWS) a été conçu dès le départ pour automatiser et simplifier le processus de microsegmentation dans n’importe quel environnement cloud ou de data center. Grâce à des politiques basées sur l’identité faciles à comprendre, vous pouvez, d’un simple clic, renforcer la sécurité en permettant à ZWS de détecter les risques et d’appliquer une protection à vos charges de travail, sans apporter aucune modification au réseau ni aux applications. La technologie logicielle de ZWS basée sur l’identité offre une protection sans failles grâce à des politiques qui s’adaptent automatiquement aux changements de l’environnement. Grâce à une véritable protection Zero Trust, il n’a jamais été aussi facile de supprimer la surface d’attaque de votre réseau.

 

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.