Vous voulez constater par vous-même le fonctionnement de Zscaler Workload Segmentation ? Rendez-vous sur notre page produit pour demander une démo personnalisée.
Bien que la segmentation du réseau et la microsegmentation soient souvent utilisées de manière interchangeable, il s’agit de concepts complètement différents.
La segmentation du réseau convient mieux au trafic nord-sud, c’est-à-dire le trafic qui entre et sort du réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est considérée comme fiable une fois qu’elle se trouve dans une zone définie du réseau.
La microsegmentation, quant à elle, convient mieux au trafic est-ouest, c’est-à-dire au trafic qui se déplace latéralement à travers le data center ou le réseau en cloud (de serveur à serveur, d’application à serveur, etc.). Pour simplifier, la segmentation du réseau est comparable aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.
Les solutions de microsegmentation créent des zones sécurisées qui permettent aux sociétés d’isoler les charges de travail les unes des autres et de les sécuriser individuellement. Elles sont conçues pour permettre un partitionnement granulaire (d’où le terme « micro ») du trafic réseau afin d’offrir une plus grande résistance aux cyberattaques.
Avec une approche qui comprend des politiques de microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres aux différents types de trafic, en créant des contrôles qui limitent les flux de réseau et d’applications entre les charges de travail à ceux qui sont explicitement autorisés.
L’application de règles de segmentation jusqu’au niveau de la charge de travail ou de l’application permet au service informatique de réduire la surface d’attaque, diminuant ainsi le risque qu’un attaquant passe d’une charge de travail ou d’une application compromise à une autre.
Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur des pare-feu, qui utilisent les adresses réseau pour faire appliquer les règles. Mais les réseaux étant en constante évolution, les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent, ce qui représente un véritable défi pour les data centers sur site, dans les environnements multiclouds et là où les adresses IP sont éphémères.
De plus, les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier ce qui communique : elles ne peuvent par exemple pas déterminer l’identité du logiciel. Elles peuvent uniquement vous dire comment cela communique, par exemple avec l’adresse IP, le port ou le protocole d’où provient la « requête ». Cela signifie que, tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne savent pas exactement ce qui tente de communiquer.
En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable, ce qui peut entraîner des failles et, sur un réseau plat, des déplacements latéraux.
La microsegmentation est unique dans la mesure où elle permet au service informatique de fonder les politiques et les autorisations sur l’identité des ressources, ce qui en fait la méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center.
Qui plus est, la microsegmentation ne repose pas sur des réseaux en évolution dynamique ni sur les exigences commerciales ou techniques qui leur sont imposées, elle est donc à la fois plus solide et plus fiable pour la sécurité du réseau. Elle constitue en réalité un élément fondamental du cadre Zero Trust Network Access (ZTNA), qui a démontré sa capacité à simplifier le contrôle des accès.
Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de politiques de pare-feu basées sur l’adresse.
Parmi les avantages techniques de la microsegmentation, citons :
Neil MacDonald et Tom Croll, Guide du marché Gartner de la protection des charges de travail dans le cloud, avril 2020
La microsegmentation élimine les obstacles à la sécurité communs à la segmentation traditionnelle en créant des politiques adaptées aux applications qui accompagnent toutes les applications et tous les services. Ainsi, les violations potentielles de données sont limitées aux ressources concernées, et non à l’ensemble du réseau. Certains services de microsegmentation proposent même des fonctionnalités qui reposent sur l’automatisation pour identifier tous les logiciels communicants, recommander des politiques de Zero Trust et vous permettre de les appliquer en un clic.
Au lieu de contrôles statiques qui s’appuient sur les adresses IP, les ports et les protocoles, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP pour éviter les problèmes liés aux contrôles basés sur l’IP.
La microsegmentation vous permet de quantifier votre exposition aux risques en mesurant automatiquement la surface d’attaque visible de votre réseau pour appréhender le nombre de voies de communication possibles utilisées entre les applications. Certains services vérifient même les identités des logiciels communicants chaque fois qu’un logiciel sollicite une communication, ce qui atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risques visualisés.
Comme mentionné précédemment, un modèle de sécurité Zero Trust repose sur les principes de la microsegmentation. La politique est appliquée aux charges de travail, et non aux segments de réseau, ce qui vous permet de contrôler de manière granulaire l’accès à toute ressource à tout emplacement si un contexte suffisant ne peut être établi pour toute connexion.
Par exemple, avec un modèle Zero Trust, en particulier un modèle basé sur le cloud, une société pourrait mettre en place une politique stipulant que les appareils médicaux ne peuvent parler qu’à d’autres appareils médicaux. Si un terminal ou une charge de travail devait se déplacer, les politiques et attributs de sécurité se déplaceraient avec eux en temps réel.
De nombreux fournisseurs de sécurité cloud font une promesse de Zero Trust basée sur le cloud qu’ils ne peuvent pas tenir. Un seul fournisseur fournit une sécurité Zero Trust complète à partir du cloud qui peut protéger votre réseau, vos applications et vos données sensibles contre les cybermenaces sophistiquées actuelles.
Zscaler Workload Segmentation (ZWS) a été conçu dès le départ pour automatiser et simplifier le processus de microsegmentation dans tout environnement de cloud ou de data center. Grâce à des politiques basées sur l’identité faciles à comprendre, vous pouvez, d’un simple clic, renforcer la sécurité en permettant à ZWS de détecter les risques et d’appliquer une protection à vos charges de travail, sans apporter aucune modification à votre réseau ni à vos applications.
Zscaler Workload Segmentation utilise la technologie basée sur l’identité logicielle pour fournir une protection sans faille via des politiques qui s’adaptent automatiquement aux changements de l’environnement. Il n’a jamais été aussi simple de supprimer la surface d’attaque de votre réseau tout en adoptant une protection Zero Trust efficace.
Vous voulez constater par vous-même le fonctionnement de Zscaler Workload Segmentation ? Rendez-vous sur notre page produit pour demander une démo personnalisée.
Microsegmentation Zero Trust pour le cloud hybride
Visitez la page WebZscaler Workload Segmentation
Lire la fiche techniqueMicrosegmentation Zero Trust : Tout tourne autour des données
Lire le blogZscaler Private Acccess
Visitez notre page Web