Qu'est-ce que la segmentation du réseau ?

Microsegmentation contre segmentation du réseau

Avant de poursuivre, faisons la différence entre la segmentation de réseau et la microsegmentation.

La segmentation du réseau convient mieux au trafic nord-sud (entrant/sortant), tandis que la microsegmentation ajoute une couche de protection pour le trafic est-ouest (au sein du réseau) : de serveur à serveur, d’application à serveur, de Web à serveur, etc. Une analogie courante compare la segmentation du réseau aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.

Pourquoi utiliser la segmentation de réseau ?

La segmentation du réseau est une défense proactive et non réactive, qui offre divers avantages clés. La défense réactive, qui consiste à mener une enquête et à limiter les dégâts uniquement après une violation, est généralement coûteuse et peut néanmoins impliquer la perte de données, des problèmes de conformité et une atteinte à la réputation de l’entreprise.

La défense proactive, c’est-à-dire la prévention, cherche à répondre aux risques et vulnérabilités potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens les plus courants d’y recourir aujourd’hui.

Types de segmentation de réseau

Traditionnellement, il existe deux types de base de segmentation du réseau :

• La segmentation physique utilise des pare-feu, des câbles, des commutateurs et des connexions Internet distincts pour séparer les parties d’un réseau informatique. Il s’agit du type de segmentation le plus coûteux et le moins évolutif.
• La segmentation virtuelle, également appelée segmentation logique, segmente généralement les flux de trafic réseau à l’aide de réseaux locaux virtuels (VLAN), qui peuvent être protégés par le même pare-feu.

Cas d’utilisation de la segmentation du réseau

Alors, à quoi sert concrètement la segmentation du réseau ? En bref, elle est conçue pour vous aider à :

• Arrêter le déplacement latéral des menaces externes : dans un réseau segmenté, une violation de données dans un segment ne constitue pas une menace immédiate pour les données d’un autre segment.
• Arrêter le déplacement latéral des menaces internes : la segmentation de l’accès en fonction des besoins de l’entreprise (par exemple, rendre les données financières inaccessibles aux RH) réduit le risque d’attaques d’initiés.
• Séparer les réseaux internes et les réseaux d’invités : en maintenant les invités dans un segment distinct, vous leur permettez de se connecter sans mettre en danger vos appareils et vos données internes.
• Protéger les données réglementées et rester conforme : le stockage des données sensibles dans un segment dont l’accès est restreint les protégera mieux et vous aidera à vous conformer aux réglementations en matière de données.

Avantages de la segmentation du réseau

Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Parmi lesquels :

• Une cybersécurité plus robuste pour les données sensibles : cet avantage englobe la prévention des failles (mouvement nord-sud), un contrôle plus strict des accès et des contrôles de sécurité spécifiques à chaque segment.
• Conformité réglementaire facilitée : en limitant l’accès à certaines données et en contrôlant leur flux, vous pouvez simplifier la conformité et les audits dans le cadre de réglementations telles que PCI DSS et RGPD.
• Une analyse des risques et un contrôle des dommages plus simples : lorsque les cybercriminels ne peuvent pas se déplacer librement sur l’ensemble de votre réseau, il devient plus simple de repérer leurs techniques et d’identifier les faiblesses de votre posture de sécurité.
• Terminaux et utilisateurs plus sécurisés : les utilisateurs finaux et les terminaux sont plus en sécurité lorsque les menaces ne peuvent pas facilement se propager à travers les segments, et parallèlement les segments eux-mêmes sont plus à l’abri des menaces qui commencent sur les terminaux.
• Congestion du réseau réduite : une activité dans un segment n’entraînera pas la congestion d’une autre partie du réseau. Par exemple, l’utilisation du Wi-Fi par les clients ne ralentira pas les transactions par carte de crédit.

Bonnes pratiques de la segmentation du réseau

Voici cinq bonnes pratiques à respecter pour mettre en œuvre et maintenir une segmentation de réseau efficace :

1. Ne pas sur-segmenter

Une segmentation excessive peut réduire la visibilité globale sur votre réseau et entraver sa gestion, mais une segmentation insuffisante élargit votre surface d’attaque et nuit à votre posture de sécurité.

2. Procéder à des audits réguliers

La segmentation du réseau n’améliorera la sécurité de votre réseau que si vous effectuez un audit continu sur les vulnérabilités, les autorisations strictes et les mises à jour de vos segments. Si vous savez que votre couverture ne souffre d’aucune faille exploitable, vous aurez une longueur d’avance sur les hackers.

3. Adopter le principe du moindre privilège

En appliquant le principe du moindre privilège à tous vos segments, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. L’accès sur la base du moindre privilège est fondamental pour un accès réseau Zero Trust.

4. Limiter l’accès des tiers

Accorder l’accès à des tiers est risqué en soi ; il est donc important d’y consentir que lorsque c’est nécessaire, surtout si vous accordez l’accès à plusieurs segments. Il est essentiel d’examiner attentivement les nouvelles autorisations pour maintenir une sécurité réseau solide.

5. Automatiser autant que possible

Outre les avantages acquis de l’automatisation en général, (tels que l’amélioration de la visibilité, de la sécurité et du MTTR), l’automatisation de la segmentation du réseau vous permet d’identifier rapidement et de classer les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.

Inconvénients de la segmentation du réseau

Dans les architectures réseau complexes modernes, réparties sur plusieurs environnements cloud et data centers, les anciens modèles de segmentation (basés sur les pare-feu, les VLAN et les périmètres de réseau) présentent quelques lacunes majeures.

Les pare-feu traditionnels souffrent d’un défaut majeur qui s’oppose directement à la segmentation : ils créent des réseaux plats qui facilitent les déplacements latéraux. Essayer de compenser ces risques est incroyablement contraignant et complexe d’un point de vue opérationnel. Même les pare-feu de nouvelle génération placent toujours les utilisateurs sur votre réseau pour accéder aux applications, et les VLAN présentent la même faiblesse.

Une approche traditionnelle vous expose à :

• Une confiance excessive : comme la segmentation traditionnelle basée sur les pare-feu est conçue pour empêcher les attaques de l’extérieur, elle peut vous laisser vulnérable aux menaces internes.
• Des erreurs de configuration : les VLAN se prêtent facilement à des erreurs de configuration dans les architectures actuelles, surtout si vous utilisez des fournisseurs de cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
• Une gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque changement implique la mise à jour des règles de pare-feu, et même les activités banales comme l’analyse de la vulnérabilité nécessitent davantage de ressources.
• Des contrôles complexes : les méthodes traditionnelles souffrent d’un manque de contrôles précis, ce qui complique l’élaboration d’une politique de segmentation pour les télétravailleurs, les partenaires, les clients, etc.
• Des problèmes d’évolutivité : pour faire face à la croissance du réseau, vous devez créer des segments plus petits ou mettre à niveau les segments existants, ce qui entraîne des coûts d’évolution et de maintenance plus élevés.
• De piètres performances : l’ajout de périphériques réseau supplémentaires (par exemple, des pare-feu, des routeurs) aura un effet négatif cumulatif sur les performances globales de votre réseau.

ZTNA : une meilleure façon de procéder à la segmentation

Comme vous dépendez de plus en plus de l’évolutivité, de la flexibilité et de la portée du cloud, de nombreuses stratégies de sécurité réseau pures (comme la segmentation traditionnelle) ne sont plus applicables. Vous avez plutôt besoin d’un modèle qui élimine de l’équation votre réseau interne, avec tous ses risques et ses complexités.

L’accès réseau Zero Trust (ZTNA) est un cadre basé sur le concept qu’aucun utilisateur ou appareil n’est intrinsèquement fiable. Au lieu de cela, les politiques d’accès sont fondées sur le principe du moindre privilège, sur la base de l’identité et du contexte, tels que l’appareil, l’emplacement, l’application et le contenu.

ZTNA connecte les utilisateurs directement aux applications sur une base individuelle, jamais au réseau, éliminant ainsi les déplacements latéraux. Cela vous permet de réaliser la segmentation d’une manière fondamentalement différente et plus efficace, ce qui est impossible avec les VPN et pare-feu traditionnels.

Pour en savoir davantage sur l’état du marché ZTNA, les recommandations et les tendances, consultez le Guide du marché Gartner® pour Zero Trust Network Access.

Avantages de ZTNA par rapport à la segmentation traditionnelle

Comparé à la segmentation traditionnelle, ZTNA :

• Fournit un accès précis, adaptatif, tenant compte de l’identité sans accès au réseau. Il supprime la confiance implicite, la remplaçant par une confiance explicite basée sur l’identité.
• Ne nécessite aucune connexion réseau, de sorte que vos applications internes (et adresses IP) ne sont jamais exposées à Internet, ce qui réduit votre surface d’attaque et les risques.
• Assure une segmentation au niveau de l’utilisateur et de l’application grâce à des politiques d’accès granulaires appliquées dans le cloud, sans que vous ayez à configurer des politiques d’accès et des règles de pare-feu.
• Améliore la flexibilité, l’agilité et l’évolutivité tout en réduisant le besoin de pare-feu internes. ZTNA peut être fourni sous forme de service cloud ou de logiciel géré sur site.
• Permet un accès sécurisé aux applications pour les appareils non gérés et les partenaires externes tout en maintenant les utilisateurs en dehors du réseau, ce qui minimise le risque de prolifération des programmes malveillants.

Zscaler et la segmentation du réseau

Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde. Appliquant les principes du moindre privilège, elle offre à vos utilisateurs une connectivité directe et sécurisée à vos applications privées sans pour autant les placer sur votre réseau.

Que vous soyez en phase de planification ou que vous exécutiez un modèle de segmentation traditionnel vieillissant, nous pouvons vous aider à réaliser une segmentation aboutie avec ZTNA. Voici par où commencer :

1. Remplacez vos VPN et vos pare-feu par Zscaler Private Access pour réduire votre surface d’attaque et éliminer les déplacements latéraux avec la segmentation utilisateur vers application.

2. Mettez en œuvre la segmentation d’application à application pour fournir le ZTNA à vos charges de travail et applications cloud dans des environnements hybrides et multicloud.

3. Enfin, mettez en œuvre la microsegmentation de processus à processus/basée sur l’identité pour la communication au sein d’un cloud.