Qu’est-ce que la microsegmentation ? La microsegmentation est une technique de cybersécurité qui permet aux entreprises de mieux gérer l’accès réseau entre les ressources (par exemple, le trafic de serveur à serveur/latéral). En identifiant de façon unique chaque ressource (par exemple, serveur, application, hôte, utilisateur), votre entreprise peut configurer des autorisations qui permettent un contrôle fin du trafic de données. Lorsqu’elle est mise en œuvre selon les principes de Zero Trust, la microsegmentation vous permet d’empêcher le déplacement latéral des menaces, la compromission de la charge de travail et les violations de données.

Lire « Microsegmentation 101 »

Microsegmentation contre segmentation du réseau

Bien que la segmentation du réseau et la microsegmentation soient souvent utilisées de manière interchangeable, il s’agit de concepts complètement différents.

La segmentation du réseau convient mieux au trafic nord-sud, c’est-à-dire le trafic qui entre et sort du réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est considérée comme fiable une fois qu’elle se trouve dans une zone définie du réseau.

La microsegmentation, quant à elle, convient mieux au trafic est-ouest, c’est-à-dire au trafic qui se déplace latéralement à travers le data center ou le réseau en cloud (de serveur à serveur, d’application à serveur, etc.). Pour simplifier, la segmentation du réseau est comparable aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Comment fonctionne la microsegmentation

Les solutions de microsegmentation créent des zones sécurisées qui permettent aux sociétés d’isoler les charges de travail les unes des autres et de les sécuriser individuellement. Elles sont conçues pour permettre un partitionnement granulaire (d’où le terme « micro ») du trafic réseau afin d’offrir une plus grande résistance aux cyberattaques.

Avec une approche qui comprend des politiques de microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres aux différents types de trafic, en créant des contrôles qui limitent les flux de réseau et d’applications entre les charges de travail à ceux qui sont explicitement autorisés.

L’application de règles de segmentation jusqu’au niveau de la charge de travail ou de l’application permet au service informatique de réduire la surface d’attaque, diminuant ainsi le risque qu’un attaquant passe d’une charge de travail ou d’une application compromise à une autre.

Pourquoi les approches de segmentation traditionnelles ne fonctionnent pas

Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur des pare-feu, qui utilisent les adresses réseau pour faire appliquer les règles. Mais les réseaux étant en constante évolution, les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent, ce qui représente un véritable défi pour les data centers sur site, dans les environnements multiclouds et là où les adresses IP sont éphémères.

De plus, les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier ce qui communique : elles ne peuvent par exemple pas déterminer l’identité du logiciel. Elles peuvent uniquement vous dire comment cela communique, par exemple avec l’adresse IP, le port ou le protocole d’où provient la « requête ». Cela signifie que, tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne savent pas exactement ce qui tente de communiquer.

En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable, ce qui peut entraîner des failles et, sur un réseau plat, des déplacements latéraux.

Pourquoi la microsegmentation est-elle importante ?

La microsegmentation est unique dans la mesure où elle permet au service informatique de fonder les politiques et les autorisations sur l’identité des ressources, ce qui en fait la méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center.

Qui plus est, la microsegmentation ne repose pas sur des réseaux en évolution dynamique ni sur les exigences commerciales ou techniques qui leur sont imposées, elle est donc à la fois plus solide et plus fiable pour la sécurité du réseau. Elle constitue en réalité un élément fondamental du cadre Zero Trust Network Access (ZTNA), qui a démontré sa capacité à simplifier le contrôle des accès.

Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de politiques de pare-feu basées sur l’adresse.

Caractéristiques de la microsegmentation

Parmi les avantages techniques de la microsegmentation, citons :

  • Des contrôles de sécurité et une gestion centralisés sur l’ensemble des réseaux : étant donné que la microsegmentation gère le trafic est-ouest plutôt que le trafic nord-sud, vos politiques se maintiennent face à tout le trafic qui passe par les segments qu’elles régissent. Et, parce que la politique est mieux définie, vous bénéficiez d’une visibilité bien plus grande sur l’activité du réseau qu’avec la segmentation du réseau.
  • Des politiques de segmentation qui s’adaptent automatiquement : les politiques sont appliquées aux charges de travail plutôt qu’au matériel, elles restent donc intactes quels que soient les changements d’infrastructure. Cela signifie que les équipes de sécurité informatique peuvent étendre partout un seul même de contrôles, sans coupure.
  • Une protection sans faille : les politiques de sécurité couvrent le cloud, les conteneurs, les data centers sur site et les environnements de cloud hybride. En effet, la politique est spécifique à la charge de travail, et non au segment du réseau, ce qui élimine toutes les lacunes potentielles de la couverture de sécurité.

Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic latéral dans les data centers.

Neil MacDonald et Tom Croll, Guide du marché Gartner de la protection des charges de travail dans le cloud, avril 2020

Avantages commerciaux de la microsegmentation

Sécurité proactive du réseau et de l’informatique

La microsegmentation élimine les obstacles à la sécurité communs à la segmentation traditionnelle en créant des politiques adaptées aux applications qui accompagnent toutes les applications et tous les services. Ainsi, les violations potentielles de données sont limitées aux ressources concernées, et non à l’ensemble du réseau. Certains services de microsegmentation proposent même des fonctionnalités qui reposent sur l’automatisation pour identifier tous les logiciels communicants, recommander des politiques de Zero Trust et vous permettre de les appliquer en un clic.

Diminution de la vulnérabilité

Au lieu de contrôles statiques qui s’appuient sur les adresses IP, les ports et les protocoles, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP pour éviter les problèmes liés aux contrôles basés sur l’IP.

Évaluation continue des risques

La microsegmentation vous permet de quantifier votre exposition aux risques en mesurant automatiquement la surface d’attaque visible de votre réseau pour appréhender le nombre de voies de communication possibles utilisées entre les applications. Certains services vérifient même les identités des logiciels communicants chaque fois qu’un logiciel sollicite une communication, ce qui atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risques visualisés.

Segmentation Zero Trust

Comme mentionné précédemment, un modèle de sécurité Zero Trust repose sur les principes de la microsegmentation. La politique est appliquée aux charges de travail, et non aux segments de réseau, ce qui vous permet de contrôler de manière granulaire l’accès à toute ressource à tout emplacement si un contexte suffisant ne peut être établi pour toute connexion.

Par exemple, avec un modèle Zero Trust, en particulier un modèle basé sur le cloud, une société pourrait mettre en place une politique stipulant que les appareils médicaux ne peuvent parler qu’à d’autres appareils médicaux. Si un terminal ou une charge de travail devait se déplacer, les politiques et attributs de sécurité se déplaceraient avec eux en temps réel.

De nombreux fournisseurs de sécurité cloud font une promesse de Zero Trust basée sur le cloud qu’ils ne peuvent pas tenir. Un seul fournisseur fournit une sécurité Zero Trust complète à partir du cloud qui peut protéger votre réseau, vos applications et vos données sensibles contre les cybermenaces sophistiquées actuelles.

Comment Zscaler peut vous aider

Zscaler Workload Segmentation (ZWS) a été conçu dès le départ pour automatiser et simplifier le processus de microsegmentation dans tout environnement de cloud ou de data center. Grâce à des politiques basées sur l’identité faciles à comprendre, vous pouvez, d’un simple clic, renforcer la sécurité en permettant à ZWS de détecter les risques et d’appliquer une protection à vos charges de travail, sans apporter aucune modification à votre réseau ni à vos applications.

Zscaler Workload Segmentation utilise la technologie basée sur l’identité logicielle pour fournir une protection sans faille via des politiques qui s’adaptent automatiquement aux changements de l’environnement. Il n’a jamais été aussi simple de supprimer la surface d’attaque de votre réseau tout en adoptant une protection Zero Trust efficace.

Vous voulez constater par vous-même le fonctionnement de Zscaler Workload Segmentation ? Rendez-vous sur notre page produit pour demander une démo personnalisée.

Ressources complémentaires