Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / Qu’est-ce que la microsegmentation ?

Qu’est-ce que la microsegmentation ?

La microsegmentation est une technique de cybersécurité qui aide les entreprises à gérer l’accès réseau entre les ressources (par exemple, le trafic de serveur à serveur/est-ouest). En identifiant de façon unique chaque ressource (par exemple, serveur, application, hôte, utilisateur), votre entreprise peut configurer des autorisations qui permettent un contrôle granulaire du trafic de données. Combinée à une approche Zero Trust, la microsegmentation permet d’éviter le déplacement latéral des menaces, la compromission de la charge de travail et les violations de données.

Lire « Microsegmentation 101 »

Pourquoi la microsegmentation est-elle importante ?

La microsegmentation permet au service informatique de fonder les politiques et les autorisations sur l’identité des ressources, ce qui en fait la méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center. En combinaison avec des contrôles d’accès basés sur le principe du moindre privilège, la microsegmentation protège mieux les applications et les données critiques d’une entreprise tout en renforçant considérablement la posture de sécurité globale.

Qui plus est, la microsegmentation ne repose pas sur des réseaux en évolution dynamique ni sur les exigences commerciales ou techniques qui leur sont imposées ; elle est donc plus solide et plus fiable pour la sécurité du réseau. Elle est en réalité un élément fondamental d’un cadre d’accès réseau Zero Trust (ZTNA), reconnu pour simplifier le contrôle des accès.

Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de politiques de pare-feu basées sur l’adresse.

Microsegmentation contre segmentation du réseau

Bien que la segmentation du réseau et la microsegmentation soient souvent utilisées de manière interchangeable, il s’agit de concepts complètement différents.

La segmentation du réseau convient mieux au trafic nord-sud (trafic entrant et sortant d’un réseau). Les entreprises créent généralement des segments de réseau via des VLAN ou des pare-feu, les segments (zones) étant basés sur la région géographique ou les niveaux de réseau existants : données, applications ou réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est considérée comme fiable une fois qu’elle se trouve dans une zone donnée.

La microsegmentation convient mieux au trafic est-ouest (à travers le réseau du data center ou du cloud, de serveur à serveur, d’application à serveur, etc.). Pour simplifier, la segmentation du réseau est comparable aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Comment fonctionne la microsegmentation

Les solutions de microsegmentation créent des zones sécurisées qui permettent aux sociétés d’isoler les charges de travail ou les machines virtuelles (VM) les unes des autres et de les sécuriser individuellement. Elles sont conçues pour permettre un partitionnement granulaire du trafic réseau afin d’opposer une plus grande résistance aux cyberattaques.

Dans notre monde hyperconnecté, la microsegmentation est devenue essentielle à toute stratégie de sécurité moderne et efficace. Avec une approche qui comprend des politiques de microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres aux différents types de trafic, en créant des contrôles qui limitent les flux de réseau et d’applications entre les charges de travail à ceux qui sont explicitement autorisés.

L’application de règles de segmentation au niveau de la charge de travail ou de l’application permet au service informatique de réduire la surface d’attaque, diminuant ainsi le risque qu’un hacker puisse passer d’une charge de travail ou d’une application compromise à une autre.

Cas d’utilisation de la microsegmentation

La microsegmentation est essentielle au succès de plusieurs cas d’utilisation courants en entreprise, notamment :

  • Migration vers le cloud : la microsegmentation peut accélérer et simplifier l’adoption du cloud en permettant une connectivité directe sécurisée pour les charges de travail cloud et en assurant la sécurité des communications entre les charges de travail au sein de l’infrastructure multicloud.
  • Fusions et acquisitions : la microsegmentation rationalise les efforts d’intégration après les fusions et acquisitions en permettant l’accès aux applications inter-réseaux sans pour autant connecter les réseaux. Les administrateurs peuvent appliquer une posture de sécurité universelle pour protéger les charges de travail dans plusieurs VPC, régions et clouds publics.
  • Infrastructure de bureau virtuel (VDI) : la microsegmentation contribue à sécuriser la VDI fournie à partir de l’infrastructure cloud en permettant l’application de politiques de contrôle d’accès précises pour les sites et les applications privées explicitement autorisés.
  • Segmentation de la charge de travail : la microsegmentation apporte aux entreprises un contrôle granulaire sur la connectivité des charges de travail cloud situées dans différents VPCs/VNets, régions ou cloud public.

La microsegmentation va au-delà de la segmentation traditionnelle

La microsegmentation offre une approche dynamique et contextuelle de la sécurité du réseau. Alors que la segmentation traditionnelle du réseau repose sur des règles de pare-feu statiques basées sur les adresses IP, la microsegmentation se concentre sur la couche d’application, l’identité de l’utilisateur et les attributs de l’appareil. Les politiques de microsegmentation n’étant pas liées à des adresses IP spécifiques, elles sont plus adaptables aux réseaux modernes, qu’il s’agisse de data centers sur site ou d’environnements multicloud.

La segmentation traditionnelle requiert des mises à jour constantes des règles, tandis que la microsegmentation peut s’adapter de manière dynamique aux changements de configuration du réseau, aux appareils et utilisateurs mobiles, ainsi qu’à l’évolution des menaces. En tenant compte du comportement des utilisateurs, du contexte des applications, etc., la microsegmentation fournit un cadre de sécurité plus robuste, plus flexible et plus efficace pour les environnements informatiques modernes.

Pourquoi les approches de segmentation traditionnelles ne fonctionnent pas

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier l’origine de la communication : elles ne peuvent par exemple pas déterminer l’identité du logiciel. Elles ne peuvent que vous indiquer la méthode de communication, par exemple avec l’adresse IP, le port ou le protocole d’où provient la « requête ». Cela signifie que, tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne connaissent pas exactement l’origine de la communication.

En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable, ce qui peut entraîner des failles et, sur un réseau plat, des déplacements latéraux.

Caractéristiques et avantages de la microsegmentation

Parmi les caractéristiques et avantages techniques de la microsegmentation, citons :

  • Centralisation des contrôles et de la gestion de la sécurité sur les réseaux : étant donné que la microsegmentation gère le trafic est-ouest plutôt que le trafic nord-sud, vos politiques s’appliquent à tout trafic qui transite par les segments qu’elles régissent. La politique étant mieux définie, vous bénéficiez d’une bien plus grande visibilité sur l’activité du réseau qu’avec la segmentation de celui-ci
  • Des politiques de segmentation qui s’adaptent automatiquement : les politiques sont appliquées aux charges de travail plutôt qu’au matériel, elles restent donc intactes quels que soient les changements d’infrastructure. Cela signifie que les équipes de sécurité informatique peuvent étendre partout un seul même de contrôles, sans coupure.
  • Protection sans faille : les politiques de sécurité couvrent les cloud privés et publics, les conteneurs, les data centers sur site, les environnements de cloud hybride et les systèmes d’exploitation, car les politiques sont spécifiques à la charge de travail et non au segment du réseau.
  • Audits simplifiés : étant donné que la microsegmentation identifie chaque ressource de manière unique, elle offre une visibilité bien supérieure aux autres approches, ce qui simplifie et accélère la réalisation des audits réglementaires.

Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic latéral dans les data centers.

Neil MacDonald et Tom Croll, Guide du marché Gartner de la protection des charges de travail dans le cloud, avril 2020

Avantages commerciaux de la microsegmentation

Sécurité proactive du réseau et de l’informatique

La microsegmentation élimine les obstacles à la sécurité communs à la segmentation traditionnelle en créant des politiques adaptées aux applications qui accompagnent toutes les applications et tous les services. Ainsi, les violations potentielles de données sont limitées aux ressources concernées, et non à l’ensemble du réseau. Les services de microsegmentation les plus efficaces proposent des fonctionnalités qui reposent sur l’automatisation pour identifier tous les logiciels communicants, recommander des politiques de Zero Trust et vous permettre de les appliquer en un clic.

Diminution de la vulnérabilité

Au lieu de contrôles statiques qui s’appuient sur les adresses IP, les ports et les protocoles, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP pour éviter les problèmes liés aux contrôles basés sur l’IP.

Évaluation continue des risques

La microsegmentation vous permet de quantifier votre exposition aux risques en mesurant automatiquement la surface d’attaque visible de votre réseau pour appréhender le nombre de voies de communication possibles utilisées entre les applications. Certains services vérifient même les identités des logiciels communicants chaque fois qu’un logiciel sollicite une communication, ce qui atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risques visualisés.

Bonnes pratiques pour une microsegmentation réussie

Alors, comment profiter de ces avantages ? Les spécificités vont varier en fonction de votre secteur d’activité, de vos obligations réglementaires et autres, mais quelques bonnes pratiques générales devraient figurer dans tout plan de microsegmentation réussi :

  • Créez des politiques d’accès basées sur le moindre privilège, détaillées et granulaires, fondées sur la connaissance des applications, les identités des utilisateurs et les attributs des appareils, en limitant l’accès aux ressources uniquement à ce dont chaque utilisateur ou entité a besoin pour effectuer son travail.
  • Intégrez les systèmes de gestion des identités et des accès (IAM) pour garantir que vos politiques correspondent aux rôles et autorisations des utilisateurs.
  • Mettez en œuvre une surveillance et un audit continus en temps réel du trafic réseau et de l’application des politiques afin de détecter les anomalies ou les violations des politiques.
  • Faites appel à des outils automatisés pour déployer et ajuster les politiques en réponse aux changements de configuration de votre réseau ou de votre posture de sécurité.
  • Effectuez régulièrement des audits de sécurité et des tests de pénétration, et conservez une documentation complète afin de garantir l’efficacité de vos politiques et de faciliter l’établissement de rapports sur la conformité et le dépannage.

Segmentation Zero Trust

Un modèle de sécurité Zero Trust est basé sur les principes de la microsegmentation. La politique est appliquée aux charges de travail, et non aux segments de réseau, ce qui vous permet de contrôler de manière granulaire l’accès à toute ressource à n’importe quel emplacement si un contexte suffisant ne peut être établi pour une connexion.

Par exemple, avec un modèle Zero Trust, en particulier un modèle basé sur le cloud, une société pourrait mettre en place une politique stipulant que les appareils médicaux ne peuvent parler qu’à d’autres appareils médicaux. Si un terminal ou une charge de travail devait se déplacer, les politiques et attributs de sécurité se déplaceraient avec eux en temps réel.

De nombreux fournisseurs de sécurité dans cloud font la promesse d’un Zero Trust basé sur le cloud qu’ils ne peuvent pas tenir. Un seul fournisseur fournit une sécurité Zero Trust cloud native complète capable de protéger votre réseau, vos applications et vos données sensibles contre les cybermenaces sophistiquées modernes.

Comment Zscaler peut vous aider

Zscaler Workload Communications représente l’approche moderne de la sécurisation de vos applications et charges de travail dans le cloud. Une connectivité cloud Zero Trust sécurisée pour les charges de travail vous permet d’éliminer la surface d’attaque de votre réseau, d’arrêter le déplacement latéral des menaces, d’éviter la compromission des charges de travail et de prévenir la perte de données sensibles.

Workload Communications exploite la plateforme Zscaler Zero Trust Exchange™ pour sécuriser les charges de travail cloud, permettant à votre entreprise de bloquer les accès malveillants à l’aide d’une sécurité explicite basée sur la confiance qui s’appuie sur l’identité, les profils de risque, l’emplacement et l’analyse comportementale.

La prévention des menaces avec l’inspection SSL approfondie renforce davantage vos cyberdéfenses. Grâce à la cyberprotection fournie dans le cloud, les politiques de sécurité se configurent, se gèrent et se mettent à jour sans peine. Il n’a jamais été aussi simple de supprimer la surface d’attaque de votre réseau tout en adoptant une protection Zero Trust efficace.

Vous souhaitez constater par vous-même le fonctionnement de Zscaler Workload Segmentation ? Visitez notre page produit pour demander une démo personnalisée.

Ressources suggérées

FAQs

Qu’est-ce qu’une charge de travail ?

Une charge de travail est un processus, une ressource ou un mélange de ces éléments (par exemple, communications, traitement, gestion, exécution) liés à une application et à son utilisation. Dans le cloud, les charges de travail englobent également les applications elles-mêmes. Il est essentiel de comprendre et de gérer les charges de travail pour trouver et résoudre les vulnérabilités, sécuriser les données et les points d’accès, mettre en œuvre l’authentification et le chiffrement, et surveiller et atténuer les menaces potentielles.

À quoi ressemble pratiquement la microsegmentation ?

À titre d’exemple simple de microsegmentation, supposons qu’une entreprise procède à la microsegmentation de son architecture de cloud hybride afin d’isoler et protéger ses ressources critiques (par exemple, ses bases de données, ses serveurs, ses postes de travail). Chaque segment dispose de ses propres contrôles d’accès, pare-feu et systèmes de détection d’intrusion, limitant les déplacements latéraux et réduisant le rayon d’action d’une violation. Un hacker qui aurait compromis le terminal d’un utilisateur n’aurait accès qu’au segment de ce terminal précis, et non aux données sensibles ni à l’infrastructure critique.

Quels sont les inconvénients de la microsegmentation ?

La mise en œuvre et la gestion de la microsegmentation peuvent se révéler complexes, en particulier dans les réseaux étendus et dynamiques. De plus, la complexité du routage et l’inspection du trafic aux limites des segments peuvent affecter les performances si votre réseau et votre architecture de sécurité ne sont pas suffisamment évolutifs. Pour surmonter ces problèmes, il est crucial d’investir dans les bons outils et le bon fournisseur, en fonction de vos charges de travail et de leurs besoins.

En quoi la microsegmentation est-elle nécessaire ?

Les entreprises comptent sur la microsegmentation pour protéger leurs ressources critiques dans le paysage numérique complexe moderne. Des microsegments isolés dans une infrastructure de réseau et de sécurité plus large permettent un contrôle granulaire de la communication entre les segments du réseau, ce qui contribue à limiter les déplacements latéraux, à réduire la surface d’attaque et à contenir les violations. Avec la prolifération du travail à distance, de l’IoT et du cloud, la microsegmentation assure un contrôle et une sécurité plus robustes là où la sécurité traditionnelle basée sur le périmètre ne suffit plus.

Qui doit segmenter ses réseaux ou ses environnements ?

La microsegmentation est particulièrement importante pour les entreprises qui traitent des données sensibles ou exploitent des infrastructures critiques, ou qui sont soumises à des réglementations telles que l’HIPAA et le RGPD (notamment les soins de santé, le secteur financier, le gouvernement, le commerce électronique et bien d’autres), mais les entreprises de toute taille, quel que soit leur secteur d’activité, peuvent en bénéficier. La microsegmentation les aide à renforcer la sécurité et l’intégrité des données tout en minimisant le rayon d’action des violations.

La microsegmentation permet-elle de réduire les coûts ?

La microsegmentation peut aider les entreprises à réduire à la fois leurs dépenses d’investissement et d’exploitation. Une infrastructure plus sécurisée permet d’éviter les violations de données et les temps d’arrêt, et donc de réduire les pertes financières potentielles liées aux incidents de sécurité. Elle permet en outre de rationaliser la gestion du réseau, de réduire le besoin d’investissements matériels importants et de diminuer les frais administratifs, d’où une réduction des coûts d’exploitation.

Pourquoi une bonne microsegmentation est-elle la clé du Zero Trust ?

Une microsegmentation efficace vous permet d’appliquer un accès granulaire basé sur le moindre privilège (un élément clé d’une approche Zero Trust), limitant le potentiel de déplacement latéral des menaces et réduisant la surface d’attaque globale. Chaque connexion devant être vérifiée avant d’être autorisée, il est bien plus difficile pour les hackers d’élever leurs privilèges. Cette approche s’aligne sur le Zero Trust, renforçant la sécurité d’une manière pour laquelle les défenses périmétriques traditionnelles de « confiance présumée » ne sont tout simplement pas conçues.

Quelle est la différence entre les pare-feu et la microsegmentation ?

Au plus haut niveau, les pare-feu constituent une technologie de sécurité du périmètre, tandis que la microsegmentation est une stratégie de sécurité interne. Les pare-feu se concentrent sur le contrôle du trafic entrant ou sortant d’un réseau. La microsegmentation divise le réseau en segments isolés et applique des politiques de sécurité granulaires, souvent au niveau de la charge de travail ou de l’appareil individuel. La microsegmentation contrôle le trafic entre ces segments, limitant les déplacements latéraux et offrant un contrôle granulaire de l’accès aux ressources, en particulier dans les environnements complexes centrés sur le cloud.