Vous désirez en savoir plus ? Rendez-vous sur notre page Zscaler Private Access.
Avant de poursuivre, faisons la différence entre la segmentation du réseau et la microsegmentation.
La segmentation du réseau est utilisée de préférence pour le trafic nord-sud (entrant/sortant), tandis que la microsegmentation ajoute une couche de protection pour le trafic est-ouest (au sein du réseau) : serveur à serveur, application à serveur, web à serveur, etc. Une analogie courante compare la segmentation du réseau aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.
La segmentation est un mode de défense proactif, apportant des avantages essentiels par rapport à une sécurité réactive.
Dans le cas d’une sécurité réactive, les équipes enquêtent d’abord sur une faille, puis s'occupent de limiter les dommages. Cette méthode est fastidieuse et coûteuse, et elle peut vous exposer à des pertes de données, des problèmes de conformité et des atteintes à votre image publique.
Il est impossible de l’ignorer : les entreprises du monde entier subissent toujours des violations de leurs données. Selon Risk Based Security, 4 145 failles divulguées publiquement ont exposé plus de 22 milliards d’enregistrements pour la seule année 2021.
Cela indique clairement qu’au lieu de réagir après une attaque, il est préférable de se concentrer sur la prévention, en traitant les risques et les vulnérabilités potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens les plus répandus d’y parvenir aujourd’hui.
Traditionnellement, il existe deux types de base de segmentation du réseau :
Alors, à quoi sert concrètement la segmentation du réseau ? En quelques mots, elle est conçue pour vous aider à :
Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Ces avantages sont notamment :
Afin de vous aider à apprendre la meilleure méthode pour mettre en œuvre et maintenir un modèle de segmentation du réseau efficace, nous vous proposons cinq bonnes pratiques de segmentation du réseau :
De nombreuses entreprises segmentent exagérément leurs réseaux lorsqu’elles débutent. Cela peut diminuer la visibilité globale sur votre réseau et rendre la gestion encore plus difficile qu’avant que vous ne commenciez à segmenter. Cependant, il est également important de ne pas sous-segmenter votre réseau, car cela contribue à élargir votre surface d’attaque et nuit à votre posture de sécurité.
La segmentation du réseau constitue un excellent moyen d’améliorer la sécurité de votre réseau, mais elle n’est efficace que si vous vérifiez continuellement que les vulnérabilités sont corrigées, que les autorisations sont strictes et que les mises à jour sont installées. Par-dessus tout, l’audit de vos segments permet de garantir l’absence de failles exploitables dans la couverture et d’atténuer tout risque réseau, ce qui vous donne une longueur d’avance sur les acteurs malveillants.
L’accès sur la base du moindre privilège peut conditionner la gestion des accès en général, et il n’est pas moins crucial lorsqu’il s’agit de la segmentation du réseau. En appliquant le principe du moindre privilège à tous vos segments de réseau, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. C’est pourquoi l’accès sur la base du moindre privilège est fondamental pour l’accès réseau Zero Trust.
Accorder l’accès à des utilisateurs tiers représente déjà un risque élevé. Il est donc important de n’accorder cet accès que lorsqu’il est nécessaire, surtout si vous l’accordez sur divers segments du réseau. La segmentation réduit le risque global auquel est exposé votre réseau, mais cela ne signifie pas que vous devez commencer à accorder des autorisations à des tiers sans tenir compte de la manière dont cela pourrait affecter la sécurité de votre réseau.
La segmentation de votre réseau procure à votre entreprise de nombreuses possibilités d’automatisation. Outre les avantages acquis de l’automatisation en général, tels qu’une meilleure visibilité, un MTTR réduit et une plus haute sécurité, l’automatisation de la segmentation du réseau vous permet d’identifier et de classer rapidement les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.
Nous ne pouvons pas ignorer le fait que dans les architectures de réseau complexes modernes, distribuées sur plusieurs clouds et data centers, les anciens modèles de pare-feu et de VLAN de segmentation présentent quelques lacunes majeures.
Les pare-feu traditionnels souffrent d’un défaut majeur qui s’oppose directement à la segmentation : ils créent des réseaux plats qui permettent des déplacements latéraux aisés. Essayer de compenser ces risques est tellement contraignant et complexe sur le plan opérationnel que cela en devient quasiment impossible. Même les pare-feu de nouvelle génération, avec toutes leurs capacités complémentaires, placent toujours les utilisateurs sur votre réseau pour accéder aux applications. Les VLAN présentent la même faiblesse.
Une approche traditionnelle vous expose à :
Vos opérations reposant de plus en plus sur l’évolutivité, la flexibilité et la portée du cloud, de nombreuses stratégies de sécurité réseau pures (comme la segmentation traditionnelle) ne sont plus applicables. Au lieu de cela, vous avez besoin d’un modèle qui élimine votre réseau interne, avec tous ses risques et ses complexités, de l’équation.
De nouvelles approches ont vu le jour, ancrées dans l’accès réseau Zero Trust (ZTNA), un cadre basé sur le concept qu’aucun utilisateur ou appareil n’est intrinsèquement fiable. Au lieu de cela, les politiques d’accès sont fondées sur le principe du moindre privilège, sur la base de l’identité et du contexte, tels que l’appareil, l’emplacement, l’application et le contenu.
ZTNA connecte les utilisateurs directement aux applications sur une base individuelle, jamais au réseau, éliminant ainsi les déplacements latéraux. Cela vous permet de réaliser la segmentation d’une manière fondamentalement différente et plus efficace, ce qui est impossible avec les VPN et pare-feu traditionnels.
Comparé à la segmentation traditionnelle, ZTNA :
Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde. Appliquant les principes du moindre privilège, elle offre à vos utilisateurs une connectivité directe et sécurisée à vos applications privées sans pour autant les placer sur votre réseau.
Que vous soyez en phase de planification ou que vous exécutiez un modèle de segmentation traditionnel vieillissant, nous pouvons vous aider à réaliser une segmentation aboutie avec ZTNA. Voici par où commencer :
Vous désirez en savoir plus ? Rendez-vous sur notre page Zscaler Private Access.
Guide du marché Gartner pour le Zero Trust Network Access 2022
Lire le guideGuide de l’architecte réseau pour l’adoption d’un service ZTNA
Lire le livre blancBénéficiez de la puissance du ZTNA sur site
En savoir plusLumière sur les technologies ZTNA, et comment les choisir
Lire le blog