What Is Microsegmentation?

Microsegmentation is a cybersecurity technique that allows organizations to better govern network access between resources (e.g., server-to-server/east-west traffic). By uniquely identifying each resource (e.g., server, application, host, user), your organization can configure permissions that provide fine-grained control of data traffic. When implemented using zero trust principles, microsegmentation enables you to stop lateral movement of threats, prevent workload compromise, and stop data breaches.

Microsegmentation vs. Network Segmentation

Microsegmentation Network Segmentation Microsegmentation, on the other hand, is best used for east-west traffic, or traffic that moves across the data center or cloud network—server-to-server, application-to-server, and so on. Simply put, network segmentation is like a castle’s outer walls and moat, whereas microsegmentation is like the guards standing at each of the castle’s interior doors. Network segmentation is best used for north-south traffic (i.e., the traffic that moves into and out of the network). With network segmentation, an entity, such as a user, is trusted once inside a designated zone of the network.

Microsegmentation Features

Some of the technical benefits of microsegmentation include: Centralized security controls and management across networks Segmentation policies that adapt automatically Gap-free protection

Business Benefits of Microsegmentation

Proactive network and IT security Microsegmentation removes security roadblocks common with traditional segmentation by creating application-aware policies that travel with all apps and services. As a result, potential data breaches are contained to affected assets, not the entire network. Some microsegmentation services even offer functionality that leverages automation to identify all communicating software, recommend zero trust policies, and let you apply them with one click. Reduced vulnerability Instead of static controls that rely on IP addresses, ports, and protocols, teams can cryptographically fingerprint each workload to provide consistent protection to workloads operating in an internal data center or the cloud. Fingerprinting decouples your workload security from IP address constructs to avoid issues with IP-based controls. Continuous risk assessment Microsegmentation lets you quantify risk exposure by automatically measuring the visible network attack surface to understand how many possible application communication pathways are in use. Some services even verify the identities of communicating software each time software requests a communication, which mitigates risk, supports regulatory compliance mandates, and provides visualized risk reports.

What is Zero Trust Segmentation?

A zero trust security model is based on principles of microsegmentation. Policy is applied to workloads, not network segments, allowing you to close off all trust to any resource at any location for which you can’t establish sufficient context. In a zero-trust model, for example - particularly one that's cloud-based - a company could determine that medical devices can only interact with other medical devices.

Ressources > Glossaire des termes de sécurité > Qu’est-ce que la microsegmentation

Qu’est-ce que la microsegmentation ?

La microsegmentation a été conçue à l’origine comme un moyen de modérer le trafic entre les serveurs (serveur à serveur) d’un même segment de réseau. Elle a évolué pour inclure le trafic intra-segment afin que le serveur A puisse communiquer avec le serveur B ou que l’application A puisse communiquer avec l’hôte B, et ainsi de suite, tant que l’identité de la ressource requérante (serveur/application/hôte/utilisateur) correspond à l’autorisation configurée pour cette ressource.

Les politiques et les autorisations de la microsegmentation peuvent être basées sur l’identité de la ressource, ce qui la rend indépendante de l’infrastructure sous-jacente, contrairement à la segmentation du réseau, qui repose sur les adresses IP du réseau. La microsegmentation constitue ainsi une méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center. La microsegmentation, élément fondamental du cadre Zero Trust Network Access (ZTNA), ne dépend pas de l’évolution dynamique des réseaux ni des besoins économiques ou techniques imposés, de sorte qu’elle constitue une sécurité réseau à la fois plus solide et plus fiable. Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles de pare-feu basées sur l’adresse.

Pourquoi la microsegmentation ?

Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur les pare-feu, lesquels utilisent les adresses réseau pour faire appliquer les règles. Cette dépendance aux adresses réseau pose problème, car les réseaux changent constamment, ce qui signifie que les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent. Ces mises à jour constantes constituent un réel défi dans un data center sur site, et encore plus dans des environnements multicloud où les adresses IP sont éphémères.

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier l’élément à l’origine de la communication, telle que l’identité du logiciel : elles peuvent uniquement spécifier la manière dont la communication est établie, notamment l’adresse IP, le port ou le protocole d’où provient la requête. Tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne connaissent pas exactement l’élément à l’origine de la communication. En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable. Ainsi, ce modèle de confiance peut conduire à des failles de sécurité et, sur un réseau plat, le risque de déplacement latéral est élevé, ce qui explique en grande partie l’évolution de la microsegmentation.

L’un des avantages de la microsegmentation est qu’elle crée des zones sécurisées afin que les sociétés puissent isoler les charges de travail les unes des autres et les sécuriser individuellement. Elle est conçue pour permettre un partitionnement granulaire du trafic afin d’offrir une meilleure résistance aux cyberattaques.

Avec une approche de la sécurité du cloud qui inclut la microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres de cybersécurité aux différents types de trafic, en créant des politiques qui limitent les flux de réseaux et d’applications entre les charges de travail à ceux qui sont explicitement autorisés. Dans ce modèle de sécurité Zero Trust, une société pourrait, par exemple, définir une politique selon laquelle les appareils médicaux ne peuvent communiquer qu’avec d’autres appareils médicaux. De plus, si un terminal ou une charge de travail se déplace, les politiques et attributs de sécurité se déplacent avec lui.

En appliquant des règles de segmentation jusqu’au niveau de la charge de travail ou à l’application, les responsables informatiques peuvent réduire la surface d’attaque, réduisant ainsi le risque qu’un hacker passe d’une charge de travail ou d’une application compromise à une autre.

Il ne faut pas confondre microsegmentation et segmentation du réseau

La segmentation du réseau et la microsegmentation sont souvent utilisées de manière interchangeable. Il s’agit en réalité de deux concepts totalement différents. La segmentation du réseau convient mieux au trafic nord-sud, c’est-à-dire le trafic qui entre et sort du réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est généralement considérée comme fiable une fois qu’elle se trouve dans une zone définie du réseau. La microsegmentation convient mieux au trafic est-ouest, c’est-à-dire au trafic qui se déplace à travers le data center ou le réseau cloud, de serveur à serveur, d’application à serveur, etc. En bref, la segmentation du réseau fonctionne comme les murs extérieurs du château, tandis que la microsegmentation fonctionne comme des gardes qui se tiennent à chacune des portes intérieures du château.

Avantages de la microsegmentation

Moins de politiques à gérer
Contrôles et gestion centralisés des politiques sur l’ensemble des réseaux
Politiques de segmentation qui s’adaptent automatiquement indépendamment des changements d’infrastructure
Protection sans faille dans les environnements cloud, les conteneurs, les data centers sur site et le cloud hybride

Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic est/ouest dans les data centers.

Neil MacDonald et Tom Croll, Gartner Market Guide Cloud Workload Protection, avril 2020

Comment la microsegmentation est-elle devenue un facteur commercial déterminant ?

Assistance aux démarches commerciales clés

La microsegmentation élimine les entraves à la sécurité causés par des approches traditionnelles ou obsolètes. Toute menace pour la confidentialité, l’intégrité ou la disponibilité des données ou des systèmes constitue un risque économique qui doit être maîtrisé. La microsegmentation crée des politiques adaptées aux applications qui se déplacent avec toutes les applications et tous les services, ce qui signifie que les risques potentiels seront limités à l’actif affecté, et non à l’ensemble du réseau. En outre, certains services de microsegmentation proposent une fonctionnalité qui identifie automatiquement tous les logiciels communicants, recommande des politiques Zero Trust et les applique en un clic.

Protection sans faille

Les outils de cybersécurité, tels que les pare-feu, qui reposent sur les adresses IP, les ports et les protocoles ne sont pas adaptés à la protection des environnements cloud. La nature dynamique du cloud rend ces contrôles de sécurité et des accès statiques peu fiables, car ils peuvent changer à tout moment, voire plusieurs fois, au cours d’une même journée. Même dans un environnement de data center sur site, les hackers peuvent facilement usurper les contrôles traditionnels de sécurité du réseau, ce qui réduit l’efficacité de leur protection contre les failles de sécurité.
Au lieu de contrôles statiques, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP et évite donc les problèmes liés aux contrôles basés sur l’IP. Les équipes de sécurité ont la garantie que seul le logiciel vérifié par son empreinte digitale est autorisé à communiquer, indépendamment de l’emplacement du réseau.

Évaluer les risques en permanence

La microsegmentation vous permet de mesurer automatiquement la surface d’attaque visible du réseau pour comprendre le nombre de voies de communication possibles des applications et quantifier l’exposition aux risques. Les services utilisent également l’apprentissage automatique pour recommander des politiques de sécurité Zero Trust qui réduisent la possibilité de déplacements latéraux et la probabilité d’une fuite de données.
Basée sur le principe de l’accès sur la base du moindre privilège, la microsegmentation réduit l’accès accordé aux applications, hôtes et processus au sein du réseau. Certains services peuvent également vérifier l’identité des logiciels communicants chaque fois qu’un logiciel requiert une communication. Cette approche centrée sur le logiciel atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risque sous forme visuelle qui simplifient l’évaluation des risques tout en permettant aux équipes d’effectuer facilement un filtrage par application ou par hôte.

Accélérer votre transformation

Leader du Carré Magique Gartner

Permettre le travail hybride

La protection la plus efficace au monde contre les ransomwares

Activez la Filiale agile

Sécurisez votre déploiement ServiceNow

Bibliothèque de contenu Zero Trust

Bibliothèque de contenu Zero Trust

Bibliothèque de contenu Zero Trust

Carrières à Zscaler

Carrières à Zscaler

Carrières à Zscaler

Qu’est-ce que la microsegmentation ?