Ressources > Glossaire des termes de sécurité > Qu’est-ce que la segmentation des charges de travail dans le cloud

Qu’est-ce que la segmentation des charges de travail dans le cloud ?

Qu’est-ce que la segmentation des charges de travail dans le cloud ? 

La segmentation des charges de travail dans le cloud est un processus basé sur le cloud qui consiste à appliquer aux charges de travail une protection basée sur l’identité sans aucune modification de l’architecture de vos réseaux.

 

Le besoin de microsegmentation

La microsegmentation a été conçue à l’origine comme un moyen de modérer le trafic entre les serveurs d’un même segment de réseau. Elle a évolué pour inclure le trafic intra-segment afin que le serveur A puisse parler au serveur B ou que l’application A puisse communiquer avec l’hôte B, et ainsi de suite, tant que l’identité de la ressource requérante (serveur/application/hôte/utilisateur) correspond à l’autorisation configurée pour cette ressource. 

Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur les pare-feu virtuels, lesquels utilisent les adresses réseau pour faire appliquer les règles. Cette dépendance aux adresses réseau augmente la complexité des opérations, car les réseaux changent constamment, ce qui signifie que les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent. Les constantes mises à jour constituent un réel défi dans un data center, et encore plus dans le cloud où les adresses IP sont éphémères.

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier ce qui communique — par exemple, l’identité du logiciel — elles peuvent seulement vous dire comment il communique, notamment l’adresse IP, le port ou le protocole d’où provient la requête. Tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques ne connaissent pas exactement l’élément à l’origine de la communication. En outre, une fois qu’une entité se trouve à l’intérieur d’une zone du réseau, l’entité est considérée comme fiable, et cette « confiance » pourrait être exploitée par des acteurs malveillants pour se déplacer latéralement dans le cloud ou le data center. 

Cette approche traditionnelle crée ce que l’on appelle un réseau plat. Cette structure tolère un accès excessif via des chemins non protégés qui permettent aux hackers de se déplacer latéralement et de compromettre les charges de travail dans les environnements cloud et de data center. Et le coût, la complexité et le temps nécessaires à la segmentation du réseau à l’aide de traditionnels pare-feux virtuels éclipsent les avantages en matière de sécurité. 

Ce modèle de confiance basé sur le réseau peut conduire à des failles de sécurité, et c’est l’une des principales raisons pour lesquelles la microsegmentation a évolué. 

La microsegmentation est un moyen d’apporter une protection jusqu’à la charge de travail applicative elle-même, afin que les sociétés puissent contrôler plus efficacement les communications entre les charges de travail et les sécuriser individuellement. Elle est conçue pour permettre un contrôle granulaire du trafic et éliminer la surface d’attaque du réseau.

Avec la microsegmentation, les équipes informatiques peuvent adapter les paramètres de sécurité à différents types d’applications d’entreprise, en créant des politiques qui limitent les flux de réseaux et d’applications entre les charges de travail à ceux qui sont explicitement autorisés. Dans ce modèle de sécurité Zero Trust, une société pourrait mettre en place une politique qui stipule, par exemple, qu’une application particulière exécutée sur un hôte ne peut communiquer qu’avec d’autres logiciels d’application exécutés sur d’autres hôtes, par exemple, tous les logiciels liés à la PCI peuvent être microsegmentés de manière à contrôler étroitement l’accès à l’environnement PCI et à réduire le nombre de systèmes dans le champ d’application. Et si un appareil ou une charge de travail se déplace, les politiques et attributs de sécurité se déplacent avec lui.

En appliquant des règles de segmentation jusqu’à la charge de travail ou l’application, les services informatiques peuvent réduire le risque qu’un hacker passe d’une charge de travail ou d’une application compromise à une autre. 

Et l’utilisation d’une approche Zero Trust basée sur le cloud pour sécuriser les connexions entre les utilisateurs et les applications en fonction des politiques de l’entreprise, sans les connecter au réseau de l’entreprise (une approche connue sous le nom de Zero Trust Network Access ou ZTNA) permet de renforcer la sécurité dans les clouds publics et les data centers.

En appliquant des règles de segmentation jusqu’à la charge de travail ou l’application, les services informatiques peuvent réduire le risque qu’un hacker passe d’une charge de travail ou d’une application compromise à une autre.

Ann Bednarz, Network World

Comment Zscaler procède-t-il à la segmentation des charges de travail dans le cloud ?

Zscaler Workload Segmentation (ZWS) simplifie la microsegmentation en automatisant la création et la gestion des politiques tout en protégeant vos applications et charges de travail dans le cloud et le data center.

En un clic, ZWS révèle le risque auquel est exposée une entreprise et applique aux charges de travail une protection basée sur l’identité, sans aucune modification du réseau. Sa technologie basée sur l’identité logicielle offre une protection sans failles grâce à des politiques qui s’adaptent automatiquement aux changements environnementaux. En bref, ZWS permet d’éliminer facilement la surface d’attaque de votre réseau. 

ZWS commence par mapper la topologie de communication des applications à l’aide de l’apprentissage automatique, un processus qui prend environ 72 heures (une énorme amélioration par rapport aux mois nécessaires à une exécution manuelle). Une fois terminé, Zscaler peut mesurer le nombre total de chemins d’accès au réseau disponibles et les chemins d’accès aux applications qui sont réellement requis par les applications d’entreprise. Généralement, seule une fraction des chemins est nécessaire. Tous les chemins de communication inutiles peuvent être éliminés pour réduire la surface d’attaque.

Pour permettre une microsegmentation basée sur l’identité, une identité unique et immuable est attribuée à chaque appareil et à chaque ressource logicielle en fonction de dizaines de propriétés de la ressource elle-même. Les identités s’étendent jusqu’au niveau des sous-processus, de sorte que Zscaler peut identifier de manière unique même les JAR Java et les scripts Python individuels. La création et la gestion des identités sont entièrement automatisées afin de simplifier les opérations. 

Zscaler vérifie les identités des logiciels communicants en temps réel. Cette approche Zero Trust empêche les logiciels non approuvés et malveillants de communiquer. Les attaques par piggybacking (ou ferroutage) utilisant des règles de pare-feu approuvées font partie du passé. L’identité est le secret qui permet de simplifier les opérations et d’offrir une protection plus forte que les contrôles de sécurité réseau traditionnels.

Les identités des logiciels communicants étant particulièrement spécifiques, Zscaler simplifie le nombre de politiques nécessaires pour protéger un segment. Comme mentionné ci-dessus, notre plateforme ne construit pas plus de sept politiques pour chaque segment qui définissent exactement quelles applications et quels appareils peuvent communiquer entre eux. Et parce que les politiques de segmentation sont construites en utilisant l’identité logicielle, même si le réseau sous-jacent change, les politiques ne se rompent pas. Si le système ne peut pas vérifier l’identité unique de ce qui tente de communiquer, aucune communication n’a lieu.

Avec Zscaler Workload Segmentation, créer des segments et les politiques associées ne prend que quelques minutes.

 

Constatez par vous-même

Demandez une démonstration et constatez par vous-même comment Zscaler Workload Segmentation peut améliorer votre sécurité

Le zero trust en un seul clic

Lire la fiche technique
Le zero trust en un seul clic

Différence entre la microsegmentation et la segmentation du réseau

Lire le blog
Différence entre la microsegmentation et la segmentation du réseau

Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation

Lire l'étude de cas
Goulston & Storrs renforce la sécurité des données de ses clients avec Zscaler Workload Segmentation