Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today
Read more

Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Éliminer la microgestion de la microsegmentation

image
NAGRAJ SESHADRI
avril 08, 2021 - 5 Min de lecture
architecture Zero trust

Contenu

  1. Article
  2. Autres blogs

Les équipes de sécurité des entreprises recherchent depuis longtemps des solutions plus efficaces pour protéger leurs environnements cloud et de data center. Autrefois sécurisés uniquement par des technologies basées sur le périmètre, les environnements réseau modernes ne se contentent définitivement plus de contrôles à la périphérie. De cette nécessité de protéger les communications internes et le trafic est-ouest est née l’adaptation des contrôles traditionnels. Les pare-feu ont été déplacés à l’intérieur du réseau pour créer des micropérimètres. L’idée était qu’une grande « clôture » autour du réseau ne suffisait pas, mais qu’en utilisant les mêmes outils et techniques, les professionnels de la sécurité de l’entreprise pouvaient créer des « zones sécurisées » plus petites au sein du réseau. Ce faisant, ils limitent la distance que le trafic réseau peut parcourir avant de devoir passer un « point de contrôle » de sécurité. Le concept était simple. La mise en œuvre ne l’était pas.

L’idée de microsegmentation, des micropérimètres basés sur des règles de pare-feu, a été très bien accueillie par les professionnels de la sécurité. Tout professionnel digne de ce nom sait que les réseaux plats sont synonymes de problèmes. Cependant, la microsegmentation des données s’avère souvent plus difficile qu’elle n’en vaut la peine. S’il est vrai qu’il est possible de « limiter le rayon d’action » d’une violation interne ou d’un malware, le coût et les heures de travail nécessaires pour microsegmenter correctement un réseau au sens traditionnel du terme ne suffisent souvent pas à compenser les avantages limités.
 

Défis de la microsegmentation traditionnelle

Traduire le langage de l’application en langage réseau

L’un des principaux problèmes des projets de microsegmentation traditionnels est de traduire le langage des applications (comment les applications fonctionnent et communiquent) en langage réseau (comment les réseaux envoient/reçoivent des données) de manière à ce que les contrôles de sécurité (basés sur des constructions réseau) fonctionnent. Ce n’est pas une mince affaire ; dans les environnements actuels de cloud et de conteneurs, les informations basées sur l’adresse ne sont pas fiables en tant que contrôle de sécurité, car les équipes de développement peuvent activer ou désactiver une application ou un service en quelques heures, en changeant les données sources (par exemple, l’adresse IP, le port ou le protocole) pour la décision de contrôle.

Usurpation d’adresse IP

De plus, l’usurpation d’adresse est une tâche relativement triviale, même pour un jeune hacker informatique moyennement compétent ou script kiddie. Les hackers peuvent se cacher dans le trafic réseau approuvé sans que l’équipe de sécurité ne s’en aperçoive. En s’appuyant sur des adresses IP approuvées à l’aide de protocoles approuvés, les hackers peuvent se déplacer latéralement à travers des segments ou des sous-réseaux jusqu’à leurs cibles ultimes (généralement des données ou des applications) sans être détectés.

Dépendances d’applications et compression des politiques

Dans les réseaux actuels centrés sur les applications (que ce soit sur site ou dans le cloud), les dépendances d’applications sont très complexes. La microsegmentation traditionnelle exige des équipes de sécurité qu’elles comprennent les listes de contrôle d’accès, les règles de routage et les règles de pare-feu. Toute modification de l’un de ces éléments peut interrompre la fonctionnalité d’une application critique et provoquer une perturbation majeure que l’équipe de sécurité doit désormais défendre. En conséquence, pour faciliter la microsegmentation, de nombreuses entreprises de sécurité finissent par élaborer des milliers de politiques, ce qui en alourdit la gestion. Pour réduire le nombre de politiques, les équipes de sécurité doivent supprimer les contrôles granulaires qui justifient une segmentation appropriée.
 

Nouveau type de microsegmentation

Quelle que soit la nature de la microsegmentation, la prévention des déplacements latéraux et de la propagation des malwares sur le réseau est essentielle pour protéger les entreprises contre les cybercriminels. Les équipes de sécurité doivent disposer de moyens gérables pour créer des zones sécurisées au sein de leurs réseaux, obtenir une visibilité sur les flux de données et placer des contrôles granulaires autour des applications et des flux de travail riches en données. Et elles ont besoin d’une méthode qui leur permette d’obtenir un retour sur investissement (ROI) à la fois en termes de temps et de coûts. Même si la microsegmentation traditionnelle constituait le contrôle de sécurité le plus efficace de la boîte à outils des professionnels de la sécurité (ce n’est pas le cas), la mise en place de barrières à l’entrée sont tout simplement trop élevées pour quiconque, à l’exception des entreprises les plus grandes et les mieux dotées en ressources.
 

Qu’est-ce que la microsegmentation Zero Trust ?

La microsegmentation Zero Trust est une méthode permettant d’appliquer des contrôles de sécurité au niveau des applications qui applique l’authentification et l’autorisation les plus strictes sur la base du moindre privilège pour les applications et les services communiquant dans le cloud hybride.
 

En quoi cela diffère-t-il de la microsegmentation traditionnelle du réseau ?

La microsegmentation fait généralement référence à une segmentation basée sur des constructions de réseau : adresses IP, ports et protocoles. En d’autres termes, les contrôles de sécurité sont basés sur l’environnement, et non sur les applications ou services que les hackers tentent d’exploiter. Avec Zscaler, la sécurité est dissociée de l’environnement réseau. Le lieu où s’exécutent vos applications et services n’a pas d’importance, car l’environnement n’est pas le problème. Les données le sont.
 

Que sont les attributs d’identité ?

Pour atténuer le problème des applications et services compromis et de la propagation des malwares, Zscaler crée des politiques de sécurité liées à l’identité cryptographique des applications et services qui communiquent sur vos réseaux. Avec Zscaler, l’identité cryptographique (« l’empreinte ») comprend 30 attributs, tels que le hachage SHA256, l’UUID du BIOS, le nom du fichier, le chemin du fichier, le nom du produit et le numéro de version, etc. La source de données pour l’empreinte est centrée sur le logiciel, plutôt que son origine ou sa destination. Cette empreinte se traduit par des politiques qui suivent la charge de travail et ne seront pas interrompues si l’environnement change. L’identité basée sur le logiciel est la clé qui garantit que vos charges de travail sont à l’épreuve des malwares.

L’efficacité de la microsegmentation Zero Trust de Zscaler repose également sur notre proposition de valeur unique : un système de validation symétrique des communications. Aucune application, aucun service ni aucun hôte n’est autorisé à envoyer ou à recevoir des communications s’il n’est pas vérifié positivement par son empreinte, à chaque fois qu’il tente de communiquer et ce, aux deux extrémités de la connexion. Collectivement, le contrôle défini par logiciel au niveau des applications de Zscaler, associé à l’accès sur la base du moindre privilège et à la vérification symétrique requise, garantit que les communications dans votre data center ou dans votre cloud sont entièrement protégées contre les déplacements latéraux et la propagation des malwares.
 

La simplification dans toute sa splendeur

Comme mentionné plus haut, la microsegmentation traditionnelle est très complexe et peu commode. La microsegmentation Zero Trust avec Zscaler est simple ; toutes les politiques sont automatiquement générées et recommandées sur la base de l’identité de votre logiciel communicant et peuvent être appliquées (ou supprimées) en un seul clic. Les utilisateurs n’ont pas besoin de comprendre les flux de trafic du réseau, et les sous-réseaux ne doivent pas être créés manuellement. Ce sont les empreintes digitales de vos applications qui déterminent les autorisations, et non les constructions de réseau. Enfin, tous les chemins d’application sont mappés et exposés automatiquement, ce qui signifie que vous disposez toujours d’une vue d’ensemble de la topologie de votre application et que vous pouvez facilement signaler les risques à un moment donné. Il n’y a rien de plus simple.

Ressources supplémentaires:

Blog : Différence entre la microsegmentation et la segmentation du réseau

Blog : La microsegmentation basée sur l’identité est essentielle à la sécurité du cloud : protégez-vous de l’usurpation d’identité

Fiche technique : Zero Trust en un clic pour la microsegmentation automatisée (PDF)

 

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

vote yes
Oui, très utile !
vote no
Pas vraiment

Découvrez d'autres blogs Zscaler

Une expérience client exceptionnelle commence à domicile
Une expérience client exceptionnelle commence à domicile
Lire le blog
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
Lire le blog
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Lire le blog
Cloud Compliance
The Impact of Public Cloud Across Your Organization
Lire le blog
01 / 02
dots pattern

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.