Ressources > Glossaire des termes de sécurité > Qu’est-ce que la microsegmentation

Qu’est-ce que la microsegmentation ?

Qu’est-ce que la microsegmentation ?

La microsegmentation a été conçue à l’origine comme un moyen de modérer le trafic entre les serveurs (serveur à serveur) d’un même segment de réseau. Elle a évolué pour inclure le trafic intra-segment afin que le serveur A puisse communiquer avec le serveur B ou que l’application A puisse communiquer avec l’hôte B, et ainsi de suite, tant que l’identité de la ressource requérante (serveur/application/hôte/utilisateur) correspond à l’autorisation configurée pour cette ressource. 

Les politiques et les autorisations de la microsegmentation peuvent être basées sur l’identité de la ressource, ce qui la rend indépendante de l’infrastructure sous-jacente, contrairement à la segmentation du réseau, qui repose sur les adresses IP du réseau. La microsegmentation constitue ainsi une méthode idéale pour créer des groupements intelligents de charges de travail basés sur les caractéristiques des charges de travail individuelles communiquant à l’intérieur du data center. La microsegmentation, élément fondamental du cadre Zero Trust Network Access (ZTNA), ne dépend pas de l’évolution dynamique des réseaux ni des besoins économiques ou techniques imposés, de sorte qu’elle constitue une sécurité réseau à la fois plus solide et plus fiable. Elle est également beaucoup plus simple à gérer. Vous pouvez en effet protéger un segment avec seulement quelques politiques basées sur l’identité au lieu de centaines de règles de pare-feu basées sur l’adresse.
 

Pourquoi la microsegmentation ?

Les solutions de microsegmentation traditionnelles basées sur le réseau s’appuient sur les pare-feu, lesquels utilisent les adresses réseau pour faire appliquer les règles. Cette dépendance aux adresses réseau pose problème, car les réseaux changent constamment, ce qui signifie que les politiques doivent être continuellement mises à jour au fur et à mesure que les applications et les appareils se déplacent. Ces mises à jour constantes constituent un réel défi dans un data center sur site, et encore plus dans des environnements multicloud où les adresses IP sont éphémères.

Les approches de segmentation basées sur l’adresse réseau ne peuvent pas identifier l’élément à l’origine de la communication, telle que l’identité du logiciel : elles peuvent uniquement spécifier la manière dont la communication est établie, notamment l’adresse IP, le port ou le protocole d’où provient la requête. Tant qu’elles sont jugées sûres, les communications sont autorisées, même si les équipes informatiques et de sécurité ne connaissent pas exactement l’élément à l’origine de la communication. En outre, dès qu’une entité se trouve à l’intérieur d’une « zone sécurisée » sur le réseau, elle est considérée comme fiable. Ainsi, ce modèle de confiance peut conduire à des failles de sécurité et, sur un réseau plat, le risque de déplacement latéral est élevé, ce qui explique en grande partie l’évolution de la microsegmentation.

L’un des avantages de la microsegmentation est qu’elle crée des zones sécurisées afin que les sociétés puissent isoler les charges de travail les unes des autres et les sécuriser individuellement. Elle est conçue pour permettre un partitionnement granulaire du trafic afin d’offrir une meilleure résistance aux cyberattaques.

Avec une approche de la sécurité du cloud qui inclut la microsegmentation, les équipes informatiques et de sécurité peuvent adapter les paramètres de cybersécurité aux différents types de trafic, en créant des politiques qui limitent les flux de réseaux et d’applications entre les charges de travail à ceux qui sont explicitement autorisés. Dans ce modèle de sécurité Zero Trust, une société pourrait, par exemple, définir une politique selon laquelle les appareils médicaux ne peuvent communiquer qu’avec d’autres appareils médicaux. De plus, si un terminal ou une charge de travail se déplace, les politiques et attributs de sécurité se déplacent avec lui.

En appliquant des règles de segmentation jusqu’au niveau de la charge de travail ou à l’application, les responsables informatiques peuvent réduire la surface d’attaque, réduisant ainsi le risque qu’un hacker passe d’une charge de travail ou d’une application compromise à une autre.
 

Il ne faut pas confondre microsegmentation et segmentation du réseau

La segmentation du réseau et la microsegmentation sont souvent utilisées de manière interchangeable. Il s’agit en réalité de deux concepts totalement différents. La segmentation du réseau convient mieux au trafic nord-sud, c’est-à-dire le trafic qui entre et sort du réseau. Avec la segmentation du réseau, une entité, telle qu’un utilisateur, est généralement considérée comme fiable une fois qu’elle se trouve dans une zone définie du réseau. La microsegmentation convient mieux au trafic est-ouest, c’est-à-dire au trafic qui se déplace à travers le data center ou le réseau cloud, de serveur à serveur, d’application à serveur, etc. En bref, la segmentation du réseau fonctionne comme les murs extérieurs du château, tandis que la microsegmentation fonctionne comme des gardes qui se tiennent à chacune des portes intérieures du château.
 

Avantages de la microsegmentation

  • Moins de politiques à gérer
  • Contrôles et gestion centralisés des politiques sur l’ensemble des réseaux
  • Politiques de segmentation qui s’adaptent automatiquement indépendamment des changements d’infrastructure
  • Protection sans faille dans les environnements cloud, les conteneurs, les data centers sur site et le cloud hybride
Certains fournisseurs se concentrent exclusivement sur la microsegmentation. Dans tous les cas, la solution doit prendre en charge l’exigence croissante de microsegmentation basée sur l’identité (segmentation plus granulaire, définie par logiciel, également appelée segmentation réseau Zero trust) du trafic est/ouest dans les data centers.
Neil MacDonald et Tom Croll, Gartner Market Guide Cloud Workload Protection, avril 2020

Comment la microsegmentation est-elle devenue un facteur commercial déterminant ?

Assistance aux démarches commerciales clés

  • La microsegmentation élimine les entraves à la sécurité causés par des approches traditionnelles ou obsolètes. Toute menace pour la confidentialité, l’intégrité ou la disponibilité des données ou des systèmes constitue un risque économique qui doit être maîtrisé. La microsegmentation crée des politiques adaptées aux applications qui se déplacent avec toutes les applications et tous les services, ce qui signifie que les risques potentiels seront limités à l’actif affecté, et non à l’ensemble du réseau. En outre, certains services de microsegmentation proposent une fonctionnalité qui identifie automatiquement tous les logiciels communicants, recommande des politiques Zero Trust et les applique en un clic.

Protection sans faille

  • Les outils de cybersécurité, tels que les pare-feu, qui reposent sur les adresses IP, les ports et les protocoles ne sont pas adaptés à la protection des environnements cloud. La nature dynamique du cloud rend ces contrôles de sécurité et des accès statiques peu fiables, car ils peuvent changer à tout moment, voire plusieurs fois, au cours d’une même journée. Même dans un environnement de data center sur site, les hackers peuvent facilement usurper les contrôles traditionnels de sécurité du réseau, ce qui réduit l’efficacité de leur protection contre les failles de sécurité. 
     
  • Au lieu de contrôles statiques, les équipes peuvent prendre l’empreinte cryptographique de chaque charge de travail afin de fournir une protection cohérente aux charges de travail opérant dans un data center interne ou dans le cloud. La prise d’empreinte dissocie la sécurité de votre charge de travail des structures d’adresses IP et évite donc les problèmes liés aux contrôles basés sur l’IP. Les équipes de sécurité ont la garantie que seul le logiciel vérifié par son empreinte digitale est autorisé à communiquer, indépendamment de l’emplacement du réseau.

Évaluer les risques en permanence

  • La microsegmentation vous permet de mesurer automatiquement la surface d’attaque visible du réseau pour comprendre le nombre de voies de communication possibles des applications et quantifier l’exposition aux risques. Les services utilisent également l’apprentissage automatique pour recommander des politiques de sécurité Zero Trust qui réduisent la possibilité de déplacements latéraux et la probabilité d’une fuite de données.

     

  • Basée sur le principe de l’accès sur la base du moindre privilège, la microsegmentation réduit l’accès accordé aux applications, hôtes et processus au sein du réseau. Certains services peuvent également vérifier l’identité des logiciels communicants chaque fois qu’un logiciel requiert une communication. Cette approche centrée sur le logiciel atténue les risques, prend en charge les mandats de conformité réglementaire et fournit des rapports de risque sous forme visuelle qui simplifient l’évaluation des risques tout en permettant aux équipes d’effectuer facilement un filtrage par application ou par hôte.

Différence entre la microsegmentation et la segmentation du réseau

Lire le blog
Lire le blog

Redimensionner votre plan de segmentation Zero Trust

Lire le blog
blog sur la microsegmentation

Qu’est-ce que l’identité d’applications et pourquoi est-ce important ?

Lire le blog

Segmentation Zero Trust dans votre cloud et votre data center

Lire la fiche technique
Segmentation Zero Trust dans votre cloud et votre data center