Ressources > Glossaire des termes de sécurité > Qu’est-ce que la microsegmentation

Qu’est-ce que la microsegmentation ?

Qu’est-ce que la microsegmentation ?

La microsegmentation a été conçue à l’origine comme un moyen de modérer le trafic entre les serveurs (serveur à serveur) d’un même segment de réseau. Elle a évolué pour inclure le trafic intra-segment afin que le serveur A puisse parler au serveur B ou que l’application A puisse communiquer avec l’hôte B, et ainsi de suite, tant que l’identité de la ressource requérante (serveur/application/hôte/utilisateur) correspond à l’autorisation configurée pour cette ressource. 

Les politiques et les autorisations de la microsegmentation peuvent être basées sur l’identité de la ressource, ce qui la rend indépendante de l’infrastructure sous-jacente, contrairement à la segmentation du réseau, qui repose sur les adresses IP du réseau. La microsegmentation constitue ainsi une méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center. La microsegmentation, élément fondamental du cadre Zero Trust Network Access (ZTNA), ne dépend pas de l’évolution dynamique des réseaux ni des besoins commerciaux ou techniques qui leur sont imposées, de sorte qu’elle constitue une sécurité réseau à la fois plus solide et plus fiable. Elle est également beaucoup plus simple à gérer, vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles basées sur l’adresse.
 

Pourquoi la microsegmentation ?

Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur les pare-feu, lesquels utilisent les adresses réseau pour faire appliquer les règles. Cette dépendance aux adresses réseau pose problème, car les réseaux changent constamment, ce qui signifie que les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les périphériques se déplacent. Ces mises à jour constantes constituent un réel défi dans un data center sur site, et encore plus dans des environnements en cloud où les adresses IP sont éphémères.

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier ce qui communique — par exemple, l’identité du logiciel — elles peuvent seulement vous dire comment il communique, notamment l’adresse IP, le port ou le protocole d’où provient la requête. Tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne savent pas exactement ce qui tente de communiquer. En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable. Mais ce modèle de confiance peut conduire à des failles de sécurité, et c’est l’une des principales raisons pour lesquelles la microsegmentation a évolué.

La microsegmentation constitue un moyen de créer des zones sécurisées afin que les sociétés puissent isoler les charges de travail les unes des autres et les sécuriser individuellement. Elle est conçue pour permettre un partitionnement granulaire du trafic afin d’offrir une meilleure résistance aux attaques.

Avec la microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres de sécurité aux différents types de trafic, en créant des politiques qui limitent les flux de réseaux et d’applications entre les charges de travail à ceux qui sont explicitement autorisés. Dans ce modèle de sécurité Zero Trust, une société pourrait, par exemple, définir une politique selon laquelle les appareils médicaux ne peuvent communiquer qu’avec d’autres appareils médicaux. Et si un appareil ou une charge de travail se déplace, les politiques et attributs de sécurité se déplacent avec lui.

En appliquant des règles de segmentation jusqu’au niveau de la charge de travail ou à l’application, les responsables informatiques peuvent réduire la surface d’attaque, réduisant ainsi le risque qu’un hacker passe d’une charge de travail ou d’une application compromise à une autre.

 

Il ne faut pas confondre microsegmentation et segmentation du réseau

La segmentation du réseau et la microsegmentation sont souvent utilisées de manière interchangeable. Il s’agit en réalité de deux concepts totalement différents. La segmentation du réseau convient mieux au trafic nord-sud, c’est-à-dire le trafic qui entre et sort du réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est généralement considérée comme fiable une fois qu’elle se trouve dans une zone définie du réseau. La microsegmentation convient mieux au trafic est-ouest, c’est-à-dire au trafic qui se déplace à travers le data center ou le réseau en cloud (de serveur à serveur, d’application à serveur, etc.) Pour simplifier, la segmentation du réseau représente les murs extérieurs du château, tandis que la microsegmentation représente les gardes qui se tiennent à chacune des portes intérieures du château.

 

Principaux avantages de la microsegmentation basée sur l’identité

  • Moins de politiques à gérer
  • Gestion centralisée des politiques sur l’ensemble des réseaux
  • Politiques qui s’adaptent automatiquement, indépendamment des changements d’infrastructure
  • Protection sans faille à travers le cloud, les conteneurs, les data centers sur site et les environnements hybrides en cloud
Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic est/ouest dans les data centers.
Neil MacDonald et Tom Croll, Gartner Market Guide Cloud Workload Protection, avril 2020

Comment la microsegmentation est-elle devenue un facteur commercial déterminant ?

Assistance aux démarches commerciales clés

  • La microsegmentation élimine les entraves à la sécurité causés par des approches traditionnelles ou obsolètes. Toute menace pour la confidentialité, l’intégrité ou la disponibilité des données ou des systèmes constitue un risque économique qui doit être maîtrisé. La microsegmentation crée des politiques adaptées aux applications qui se déplacent avec toutes les applications et tous les services, ce qui signifie que les risques potentiels seront limités à l’actif affecté, et non à l’ensemble du réseau. En outre, certains services de microsegmentation peuvent identifier automatiquement tous les logiciels communicants, recommander des politiques Zero Trust et les appliquer en un clic.

Protection sans faille

  • Les outils de sécurité qui reposent sur les adresses IP, les ports et les protocoles ne sont pas adaptés à la protection des environnements en cloud. La nature dynamique du cloud rend ces contrôles de sécurité et des accès statiques peu fiables, car ils peuvent changer à tout moment, voire plusieurs fois, au cours d’une même journée. Même dans un environnement de data center sur site, les hackers peuvent facilement usurper les contrôles traditionnels de sécurité du réseau, ce qui réduit l'efficacité de leur protection contre les failles de sécurité.

     

  • Au lieu de contrôles statiques, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP et évite donc les problèmes liés aux contrôles basés sur l’IP. Les équipes de sécurité ont la garantie que seul le logiciel vérifié par son empreinte digitale est autorisé à communiquer, indépendamment de l’emplacement du réseau.

Évaluer les risques en permanence

  • La microsegmentation vous permet de mesurer automatiquement la surface d’attaque visible du réseau pour comprendre le nombre de voies de communication possibles des applications et quantifier l’exposition aux risques. Les services utilisent également l’apprentissage automatique pour recommander des politiques de sécurité Zero Trust qui réduisent la probabilité d’une violation de données.

     

  • La microsegmentation repose sur le principe de l’accès sur la base du moindre privilège et réduit l’accès accordé aux applications, hôtes et processus au sein du réseau. Certains services peuvent également vérifier l’identité des logiciels communicants chaque fois qu’un logiciel requiert une communication. Cette approche centrée sur le logiciel atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risque visuels qui permettent aux équipes de facilement filtrer par application ou par hôte.

Différence entre la microsegmentation et la segmentation du réseau

Lire le blog
Lire le blog

Redimensionner votre plan de segmentation Zero Trust

Lire le blog
blog sur la microsegmentation

Qu’est-ce que l’identité d’applications et pourquoi est-ce important ?

Lire le blog

Segmentation Zero Trust dans votre cloud et votre data center

Lire la fiche technique
Segmentation Zero Trust dans votre cloud et votre data center