Zpedia 

/ Qu’est-ce que la microsegmentation ?

Qu’est-ce que la microsegmentation ?

La microsegmentation est une technique de cybersécurité qui aide les entreprises à gérer l’accès réseau entre les ressources (par exemple, le trafic de serveur à serveur/est-ouest). En identifiant de façon unique chaque ressource (par exemple, serveur, application, hôte, utilisateur), votre entreprise peut configurer des autorisations qui permettent un contrôle granulaire du trafic de données. Combinée à une approche Zero Trust, la microsegmentation permet d’éviter le déplacement latéral des menaces, la compromission de la charge de travail et les violations de données.

Pourquoi la microsegmentation est-elle importante ?

La microsegmentation permet au service informatique de fonder les politiques et les autorisations sur l’identité des ressources, ce qui en fait la méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center. En combinaison avec des contrôles d’accès basés sur le principe du moindre privilège, la microsegmentation protège mieux les applications et les données critiques d’une entreprise tout en renforçant considérablement la posture de sécurité globale.

Qui plus est, la microsegmentation ne repose pas sur des réseaux en évolution dynamique ni sur les exigences commerciales ou techniques qui leur sont imposées ; elle est donc plus solide et plus fiable pour la sécurité du réseau. Elle est en réalité un élément fondamental d’un cadre d’accès réseau Zero Trust (ZTNA), reconnu pour simplifier le contrôle des accès.

Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de politiques de pare-feu basées sur l’adresse.

Microsegmentation et segmentation du réseau

Bien que la segmentation du réseau et la microsegmentation soient souvent utilisées de manière interchangeable, il s’agit de concepts complètement différents.

La segmentation du réseau convient mieux au trafic nord-sud (trafic entrant et sortant d’un réseau). Les entreprises créent généralement des segments de réseau via des VLAN ou des pare-feu, les segments (zones) étant basés sur la région géographique ou les niveaux de réseau existants : données, applications ou réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est considérée comme fiable une fois qu’elle se trouve dans une zone donnée.

La microsegmentation convient mieux au trafic est-ouest (à travers le réseau du data center ou du cloud, de serveur à serveur, d’application à serveur, etc.). Pour simplifier, la segmentation du réseau est comparable aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Comment fonctionne la microsegmentation

Les solutions de microsegmentation créent des zones sécurisées qui permettent aux sociétés d’isoler les charges de travail ou les machines virtuelles (VM) les unes des autres et de les sécuriser individuellement. Elles sont conçues pour permettre un partitionnement granulaire du trafic réseau afin d’opposer une plus grande résistance aux cyberattaques.

Dans notre monde hyperconnecté, la microsegmentation est devenue essentielle à toute stratégie de sécurité moderne et efficace. Avec une approche qui comprend des politiques de microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres aux différents types de trafic, en créant des contrôles qui limitent les flux de réseau et d’applications entre les charges de travail à ceux qui sont explicitement autorisés.

L’application de règles de segmentation au niveau de la charge de travail ou de l’application permet au service informatique de réduire la surface d’attaque, diminuant ainsi le risque qu’un hacker puisse passer d’une charge de travail ou d’une application compromise à une autre.

Cas d’utilisation de la microsegmentation

La microsegmentation est essentielle au succès de plusieurs cas d’utilisation courants en entreprise, notamment :

  • Migration vers le cloud : la microsegmentation peut accélérer et simplifier l’adoption du cloud en permettant une connectivité directe sécurisée pour les charges de travail cloud et en assurant la sécurité des communications entre les charges de travail au sein de l’infrastructure multicloud.
  • Fusions et acquisitions : la microsegmentation rationalise les efforts d’intégration après les fusions et acquisitions en permettant l’accès aux applications inter-réseaux sans pour autant connecter les réseaux. Les administrateurs peuvent appliquer une posture de sécurité universelle pour protéger les charges de travail dans plusieurs VPC, régions et clouds publics.
  • Infrastructure de bureau virtuel (VDI) : la microsegmentation contribue à sécuriser la VDI fournie à partir de l’infrastructure cloud en permettant l’application de politiques de contrôle d’accès précises pour les sites et les applications privées explicitement autorisés.
  • Segmentation de la charge de travail : la microsegmentation apporte aux entreprises un contrôle granulaire sur la connectivité des charges de travail cloud situées dans différents VPCs/VNets, régions ou cloud public.

La microsegmentation va au-delà de la segmentation traditionnelle

La microsegmentation offre une approche dynamique et contextuelle de la sécurité du réseau. Alors que la segmentation traditionnelle du réseau repose sur des règles de pare-feu statiques basées sur les adresses IP, la microsegmentation se concentre sur la couche d’application, l’identité de l’utilisateur et les attributs de l’appareil. Les politiques de microsegmentation n’étant pas liées à des adresses IP spécifiques, elles sont plus adaptables aux réseaux modernes, qu’il s’agisse de data centers sur site ou d’environnements multicloud.

La segmentation traditionnelle requiert des mises à jour constantes des règles, tandis que la microsegmentation peut s’adapter de manière dynamique aux changements de configuration du réseau, aux appareils et utilisateurs mobiles, ainsi qu’à l’évolution des menaces. En tenant compte du comportement des utilisateurs, du contexte des applications, etc., la microsegmentation fournit un cadre de sécurité plus robuste, plus flexible et plus efficace pour les environnements informatiques modernes.

Pourquoi les approches de segmentation traditionnelles ne fonctionnent pas

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier l’origine de la communication : elles ne peuvent par exemple pas déterminer l’identité du logiciel. Elles ne peuvent que vous indiquer la méthode de communication, par exemple avec l’adresse IP, le port ou le protocole d’où provient la « requête ». Cela signifie que, tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne connaissent pas exactement l’origine de la communication.

En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable, ce qui peut entraîner des failles et, sur un réseau plat, des déplacements latéraux.

Caractéristiques et avantages de la microsegmentation

Parmi les caractéristiques et avantages techniques de la microsegmentation, citons :

  • Des contrôles de sécurité et une gestion centralisés sur l’ensemble des réseaux : étant donné que la microsegmentation gère le trafic est-ouest plutôt que le trafic nord-sud, vos politiques se maintiennent face à tout le trafic qui passe par les segments qu’elles régissent. La politique étant mieux définie, vous bénéficiez d’une bien plus grande visibilité sur l’activité du réseau qu’avec la segmentation de celui-ci
  • Des politiques de segmentation qui s’adaptent automatiquement : les politiques sont appliquées aux charges de travail plutôt qu’au matériel, elles restent donc intactes quels que soient les changements d’infrastructure. Cela signifie que les équipes de sécurité informatique peuvent étendre partout un seul même de contrôles, sans coupure.
  • Protection sans faille : les politiques de sécurité couvrent les cloud privés et publics, les conteneurs, les data centers sur site, les environnements de cloud hybride et les systèmes d’exploitation, car les politiques sont spécifiques à la charge de travail et non au segment du réseau.
  • Audits simplifiés : étant donné que la microsegmentation identifie chaque ressource de manière unique, elle offre une visibilité bien supérieure aux autres approches, ce qui simplifie et accélère la réalisation des audits réglementaires.

Citation

Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic latéral dans les data centers.

Neil MacDonald et Tom Croll, Guide du marché Gartner de la protection des charges de travail dans le cloud, avril 2020

Avantages commerciaux de la microsegmentation

Sécurité proactive du réseau et de l’informatique

La microsegmentation élimine les obstacles à la sécurité communs à la segmentation traditionnelle en créant des politiques adaptées aux applications qui accompagnent toutes les applications et tous les services. Ainsi, les violations potentielles de données sont limitées aux ressources concernées, et non à l’ensemble du réseau. Les services de microsegmentation les plus efficaces proposent des fonctionnalités qui reposent sur l’automatisation pour identifier tous les logiciels communicants, recommander des politiques de Zero Trust et vous permettre de les appliquer en un clic.

Diminution de la vulnérabilité

Au lieu de contrôles statiques qui s’appuient sur les adresses IP, les ports et les protocoles, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP pour éviter les problèmes liés aux contrôles basés sur l’IP.

Évaluation continue des risques

La microsegmentation vous permet de quantifier votre exposition aux risques en mesurant automatiquement la surface d’attaque visible de votre réseau pour appréhender le nombre de voies de communication possibles utilisées entre les applications. Certains services vérifient même les identités des logiciels communicants chaque fois qu’un logiciel sollicite une communication, ce qui atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risques visualisés.

Bonnes pratiques pour une microsegmentation réussie

Alors, comment profiter de ces avantages ? Les spécificités vont varier en fonction de votre secteur d’activité, de vos obligations réglementaires et autres, mais quelques bonnes pratiques générales devraient figurer dans tout plan de microsegmentation réussi :

  • Créez des politiques d’accès basées sur le moindre privilège, détaillées et granulaires, fondées sur la connaissance des applications, les identités des utilisateurs et les attributs des appareils, en limitant l’accès aux ressources uniquement à ce dont chaque utilisateur ou entité a besoin pour effectuer son travail.
  • Intégrez les systèmes de gestion des identités et des accès (IAM) pour garantir que vos politiques correspondent aux rôles et autorisations des utilisateurs.
  • Mettez en œuvre une surveillance et un audit continus en temps réel du trafic réseau et de l’application des politiques afin de détecter les anomalies ou les violations des politiques.
  • Faites appel à des outils automatisés pour déployer et ajuster les politiques en réponse aux changements de configuration de votre réseau ou de votre posture de sécurité.
  • Effectuez régulièrement des audits de sécurité et des tests de pénétration, et conservez une documentation complète afin de garantir l’efficacité de vos politiques et de faciliter l’établissement de rapports sur la conformité et le dépannage.

Segmentation Zero Trust

Un modèle de sécurité Zero Trust est basé sur les principes de la microsegmentation. La politique est appliquée aux charges de travail, et non aux segments de réseau, ce qui vous permet de contrôler de manière granulaire l’accès à toute ressource à n’importe quel emplacement si un contexte suffisant ne peut être établi pour une connexion.

Par exemple, avec un modèle Zero Trust, en particulier un modèle basé sur le cloud, une société pourrait mettre en place une politique stipulant que les appareils médicaux ne peuvent parler qu’à d’autres appareils médicaux. Si un terminal ou une charge de travail devait se déplacer, les politiques et attributs de sécurité se déplaceraient avec eux en temps réel.

De nombreux fournisseurs de sécurité dans cloud font la promesse d’un Zero Trust basé sur le cloud qu’ils ne peuvent pas tenir. Un seul fournisseur fournit une sécurité Zero Trust cloud native complète capable de protéger votre réseau, vos applications et vos données sensibles contre les cybermenaces sophistiquées modernes.

Comment Zscaler peut vous aider

Zscaler Workload Communications représente l’approche moderne de la sécurisation de vos applications et charges de travail dans le cloud. Une connectivité cloud Zero Trust sécurisée pour les charges de travail vous permet d’éliminer la surface d’attaque de votre réseau, d’arrêter le déplacement latéral des menaces, d’éviter la compromission des charges de travail et de prévenir la perte de données sensibles.

Workload Communications exploite la plateforme Zscaler Zero Trust Exchange™ pour sécuriser les charges de travail cloud, permettant à votre entreprise de bloquer les accès malveillants à l’aide d’une sécurité explicite basée sur la confiance qui s’appuie sur l’identité, les profils de risque, l’emplacement et l’analyse comportementale.

La prévention des menaces avec l’inspection SSL approfondie renforce davantage vos cyberdéfenses. Grâce à la cyberprotection fournie dans le cloud, les politiques de sécurité se configurent, se gèrent et se mettent à jour sans peine. Il n’a jamais été aussi simple de supprimer la surface d’attaque de votre réseau tout en adoptant une protection Zero Trust efficace.

Éliminez les mouvements latéraux, réduisez les coûts et la complexité opérationnels, et assurez une protection cohérente contre les menaces et les données avec Zscaler Workload Communications.

Ressources suggérées

Connectivité cloud Zero Trust
Visitez la page Web
Zscaler Workload Communications
Lire la fiche technique
Microsegmentation Zero Trust : Tout tourne autour des données
Lire le blog
Zscaler Private Acccess
Visitez notre page Web

01 / 02

Foire aux questions