Vous désirez en savoir plus ? Rendez-vous sur notre page Zscaler Private Access.
- Voir la différence
- Qu’est-ce que Zero Trust La stratégie sur laquelle repose Zscaler
- Comment Zscaler apporte la stratégie Zero Trust Une plateforme qui applique une politique basée sur le contexte
- Ressources concernant Zero Trust Découvrez ses principes, ses avantages et ses stratégies
![Zscaler transformation]( "Zscaler transformation")
Découvrez comment Zero Trust Exchange peut vous aider à exploiter les technologies du cloud, de la mobilité, de l’IA, de l’IoT et de l’OT afin d'accroître votre agilité et de réduire les risques
- Témoignages de réussite de nos clients Écoutez des témoignages directs de transformation
- Reconnaissance des analystes Les experts de l’industrie s’expriment sur Zscaler
- Voir Zscaler Cloud en action Trafic traité, programmes malveillants bloqués, et plus encore
- Découvrez la différence Démarrez avec Zero trust
![Zscaler transformation]( "Zscaler transformation")
Découvrez comment Zero Trust Exchange peut vous aider à exploiter les technologies du cloud, de la mobilité, de l’IA, de l’IoT et de l’OT afin d'accroître votre agilité et de réduire les risques
- Produits et solutions
- Sécuriser vos utilisateurs Offrez aux utilisateurs un accès transparent, sécurisé et fiable aux applications et aux données. Sécuriser vos charges de travail Créez et exécutez des applications cloud sécurisées, activez la connectivité cloud Zero Trust et protégez les charges de travail du data center au cloud. Sécuriser votre OT et IoT Fournissez une connectivité Zero Trust pour les appareils OT et IoT et un accès distant sécurisé aux systèmes OT.
- Produits Transformer votre entreprise avec des services 100 % cloud natifs
- Solutions
Dynamiser votre entreprise avec des solutions Zero Trust qui sécurisent et connectent vos ressources
- Arrêter les cyberattaques
- Protéger les données
- Accès Zero Trust aux applications
- Alternative VPN
- Accélérer les fusions, acquisitions et cessions
- Optimiser l’expérience digitale
- Zero Trust SD-WAN
- Créer et exécuter des applications cloud sécurisées
- Connectivité cloud Zero Trust
- Zero Trust pour l’IoT/OT
![Zscaler workplace enablement]( "Zscaler workplace enablement")
Permettre le travail hybrideCOMMENCERSécurisez le travail en tout lieu, protégez les données et offrez aux utilisateurs la meilleure expérience possible
- Industries Notre écosystème de partenaires Zero Trust
- Intégrations du partenaire Déploiement et gestion simplifiés
![Zscaler industry partners]( "Zscaler industry partners")
Sécurisez votre déploiement ServiceNowCOMMENCERIl est temps de mieux protéger vos données ServiceNow et de répondre plus rapidement aux incidents de sécurité
- Plateforme
- Vue d’ensemble de la plate-forme Plateforme unifiée pour la transformation
- Capacités Services intégrés, évolutifs à l’infini
![Zscaler transformation]( "Zscaler transformation")
Accélérer votre transformationEn savoir plusProtégez et renforcez votre entreprise en tirant parti de la plate-forme, des processus et des compétences individuelles pour accélérer vos initiatives Zero Trust
![Gartner Report]( "Gartner Report")
Leader du Carré Magique GartnerLire le rapportZscaler, leader du Magic Quadrant™ de Gartner® pour le Security Service Edge (SSE), placé au plus haut niveau pour sa « capacité d’exécution »
- Ressources
- Bibliothèque de contenu Parcourez les sujets qui vous aideront dans votre démarche
- Blog Points de vue des leaders de la technologie et de la transformation
- Boîte à outils d’évaluation de la sécurité Analysez votre environnement pour détecter de potentielles failles
- Webinaires et démos Un regard neuf sur les sujets importants
- Application Executive Insights Des perspectives sur la sécurité à portée de main
- Calculateur du retour sur investissement en matière de ransomware Évaluer le retour sur investissement de la réduction du risque de ransomware
- Formation et certifications Des expériences d’apprentissage captivantes, des formations en direct et des certifications
- Centre de réussite client Connectez-vous rapidement aux ressources pour accélérer votre transformation
- Témoignages de réussite de nos clients Écoutez des témoignages directs de transformation
![Customer success center]( "Customer success center")
- Analyse des menaces et de la sécurité Tableaux de bord des menaces, activité du cloud, IoT, et plus encore
- Avis de sécurité Nouveautés relatives aux événements et protections de sécurité
- Programme de divulgation des vulnérabilités Webinaires, formations, démos, et plus encore
- Trust Portal Statut et avis concernant Zscaler Cloud
![Zscaler resources]( "Zscaler resources")
Bibliothèque de contenu Zero TrustCOMMENCERDécouvrez les dernières recherches et bonnes pratiques en matière de sécurité
- The Cloud-First Architect Outils et bonnes pratiques pour le cloud
- Zenith Community Débattre des idées et des problèmes avec les pairs
- CXO REvolutionaries Événements, perspectives et ressources pour les CXO
- Cloud Security Alliance Sécuriser le cloud grâce aux meilleures pratiques
- Événements Prochaines opportunités de découvrir Zscaler
![Zscaler resources]( "Zscaler resources")
Bibliothèque de contenu Zero TrustCOMMENCERDécouvrez les dernières recherches et bonnes pratiques en matière de sécurité
- Entreprise
- À propos de Zscaler Comment tout a commencé, vers quel avenir
- Leadership Découvrez notre équipe de direction
- Relations avec les investisseurs Nouveautés, informations boursières et rapports trimestriels
- Conformité Notre adhésion à des normes rigoureuses
- ESG Notre approche environnementale, sociale et de gouvernance
- Événements Prochaines opportunités de découvrir Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Carrières à ZscalerPostuler maintenantRejoignez un leader reconnu de la stratégie Zero Trust pour transformer votre entreprise en toute sécurité
- Centre multimédia Nouveautés, blogs, événements, photos, logos et autres actifs de la marque
- Nouveautés et presse Zscaler dans la presse
![Careet at Zscaler]( "Careet at Zscaler")
Carrières à ZscalerPostuler maintenantRejoignez un leader reconnu de la stratégie Zero Trust pour transformer votre entreprise en toute sécurité
- Portail des partenaires Outils et ressources pour les partenaires de Zscaler
- Summit Partner Program Collaborer pour assurer la réussite des clients
- Intégrateurs de systèmes Aider les clients communs à devenir des sociétés cloud-first
- Fournisseurs d’accès Proposer une plateforme de services intégrée
- Partenaires Technologiques Des intégrations profondes simplifient la migration vers le cloud
- Espace partenaires Devenez un partenaire de Zscaler
![Careet at Zscaler]( "Careet at Zscaler")
Carrières à ZscalerPostuler maintenantRejoignez un leader reconnu de la stratégie Zero Trust pour transformer votre entreprise en toute sécurité
-
Qu'est-ce que la segmentation du réseau ? La segmentation du réseau est la division d’un réseau en plusieurs sous-réseaux, chacun doté de politiques et de protocoles de sécurité spécifiques au sous-réseau, dans le but d’empêcher les déplacements latéraux. C’est l’un des moyens les plus utilisés pour réduire la surface d’attaque d’un réseau afin de lutter contre les cyberattaques.
En savoir plus sur la segmentation au-delà des VLAN et des pare-feuMicrosegmentation contre segmentation du réseau
Avant de poursuivre, faisons la différence entre la segmentation du réseau et la microsegmentation.
La segmentation du réseau est utilisée de préférence pour le trafic nord-sud (entrant/sortant), tandis que la microsegmentation ajoute une couche de protection pour le trafic est-ouest (au sein du réseau) : serveur à serveur, application à serveur, web à serveur, etc. Une analogie courante compare la segmentation du réseau aux murs extérieurs et aux douves d’un château, tandis que la microsegmentation serait les gardes qui se tiennent à chacune des portes intérieures du château.
Pourquoi utiliser la segmentation de réseau ?
La segmentation est un mode de défense proactif, apportant des avantages essentiels par rapport à une sécurité réactive.
Dans le cas d’une sécurité réactive, les équipes enquêtent d’abord sur une faille, puis s'occupent de limiter les dommages. Cette méthode est fastidieuse et coûteuse, et elle peut vous exposer à des pertes de données, des problèmes de conformité et des atteintes à votre image publique.
Il est impossible de l’ignorer : les entreprises du monde entier subissent toujours des violations de leurs données. Selon Risk Based Security, 4 145 failles divulguées publiquement ont exposé plus de 22 milliards d’enregistrements pour la seule année 2021.
Cela indique clairement qu’au lieu de réagir après une attaque, il est préférable de se concentrer sur la prévention, en traitant les risques et les vulnérabilités potentiels avant qu’ils ne puissent être exploités. La segmentation du réseau est l’un des moyens les plus répandus d’y parvenir aujourd’hui.
Types de segmentation de réseau
Traditionnellement, il existe deux types de base de segmentation du réseau :
- La segmentation physique utilise des pare-feu, des câblages, des commutateurs et des connexions Internet discrets pour séparer les différentes parties d’un réseau. Il s’agit du type le plus coûteux et le moins évolutif.
- La segmentation virtuelle, également appelée segmentation logique, segmente généralement les flux de trafic réseau à l’aide de réseaux locaux virtuels (VLAN), qui peuvent être protégés par le même pare-feu.
Cas d’utilisation de la segmentation du réseau
Alors, à quoi sert concrètement la segmentation du réseau ? En quelques mots, elle est conçue pour vous aider à :
- Arrêter le déplacement latéral des menaces externes : la segmentation de certaines parties de votre réseau à l’intérieur du périmètre signifie que même si votre périmètre est violé, toutes vos données ne sont pas immédiatement menacées.
- Stopper le déplacement latéral des menaces internes : la segmentation des données internes en fonction du besoin d’accès (par exemple par département) réduit le risque de menaces internes en rendant, par exemple, les données financières inaccessibles aux RH.
- Séparer les réseaux internes et invités : en maintenant les invités dans un segment invité, séparé du reste de votre réseau, vous pouvez continuer à leur fournir une connectivité adéquate sans mettre en danger vos appareils et données internes.
- Protéger les données réglementées et rester conforme : en stockant les données sensibles, telles que les informations relatives aux cartes de paiement, dans un segment à accès strictement limité, vous les protégerez mieux contre la compromission et vous pourrez vous conformer aux réglementations en matière de protection des données.
Avantages de la segmentation du réseau
Quel que soit le schéma retenu par une entreprise, un réseau segmenté présente des avantages évidents par rapport à un réseau plat, sans hiérarchie ni sous-réseaux. Ces avantages sont notamment :
- Une cybersécurité plus robuste pour les données sensibles : cet avantage englobe la prévention des failles (mouvement nord-sud), un contrôle plus strict des accès et des contrôles de sécurité spécifiques à chaque segment.
- Moins de difficultés à répondre aux exigences de conformité réglementaire : limiter les personnes qui peuvent accéder à certaines données et où elles circulent simplifie l’attestation de conformité et les audits pour les réglementations sectorielles et gouvernementales telles que PCI DSS et RGPD.
- Une analyse des risques et un contrôle des dommages plus simples : lorsque les cybercriminels ne peuvent pas se déplacer librement sur l’ensemble de votre réseau, il devient plus simple de repérer leurs techniques et d’identifier les faiblesses de votre posture de sécurité.
- Des terminaux et utilisateurs plus sécurisés : les utilisateurs finaux, tout autant que les appareils, sont plus en sécurité sur un réseau segmenté où les menaces ne peuvent pas facilement se propager aux terminaux, et les segments eux-mêmes sont plus en sécurité contre les menaces qui proviennent des terminaux.
- Une réduction de la congestion du réseau : une activité dans un segment n’entraînera pas la congestion d’une autre partie du réseau. Par exemple, dans un commerce, les clients utilisant le Wi-Fi pour invités ne ralentiront pas les transactions par carte de crédit.
Bonnes pratiques de la segmentation du réseau
Afin de vous aider à apprendre la meilleure méthode pour mettre en œuvre et maintenir un modèle de segmentation du réseau efficace, nous vous proposons cinq bonnes pratiques de segmentation du réseau :
1. Ne pas sur-segmenter
De nombreuses entreprises segmentent exagérément leurs réseaux lorsqu’elles débutent. Cela peut diminuer la visibilité globale sur votre réseau et rendre la gestion encore plus difficile qu’avant que vous ne commenciez à segmenter. Cependant, il est également important de ne pas sous-segmenter votre réseau, car cela contribue à élargir votre surface d’attaque et nuit à votre posture de sécurité.
2. Procéder à des audits réguliers
La segmentation du réseau constitue un excellent moyen d’améliorer la sécurité de votre réseau, mais elle n’est efficace que si vous vérifiez continuellement que les vulnérabilités sont corrigées, que les autorisations sont strictes et que les mises à jour sont installées. Par-dessus tout, l’audit de vos segments permet de garantir l’absence de failles exploitables dans la couverture et d’atténuer tout risque réseau, ce qui vous donne une longueur d’avance sur les acteurs malveillants.
3. Adopter le principe du moindre privilège
L’accès sur la base du moindre privilège peut conditionner la gestion des accès en général, et il n’est pas moins crucial lorsqu’il s’agit de la segmentation du réseau. En appliquant le principe du moindre privilège à tous vos segments de réseau, vous garantissez à vos utilisateurs, aux administrateurs de réseau et à l’équipe de sécurité que l’accès n’est accordé que si nécessaire. C’est pourquoi l’accès sur la base du moindre privilège est fondamental pour l’accès réseau Zero Trust.
4. Limiter l’accès des tiers
Accorder l’accès à des utilisateurs tiers représente déjà un risque élevé. Il est donc important de n’accorder cet accès que lorsqu’il est nécessaire, surtout si vous l’accordez sur divers segments du réseau. La segmentation réduit le risque global auquel est exposé votre réseau, mais cela ne signifie pas que vous devez commencer à accorder des autorisations à des tiers sans tenir compte de la manière dont cela pourrait affecter la sécurité de votre réseau.
5. Automatiser autant que possible
La segmentation de votre réseau procure à votre entreprise de nombreuses possibilités d’automatisation. Outre les avantages acquis de l’automatisation en général, tels qu’une meilleure visibilité, un MTTR réduit et une plus haute sécurité, l’automatisation de la segmentation du réseau vous permet d’identifier et de classer rapidement les nouvelles ressources et données, ce qui constitue en soi une autre bonne pratique de segmentation.
Inconvénients de la segmentation du réseau
Nous ne pouvons pas ignorer le fait que dans les architectures de réseau complexes modernes, distribuées sur plusieurs clouds et data centers, les anciens modèles de pare-feu et de VLAN de segmentation présentent quelques lacunes majeures.
Les pare-feu traditionnels souffrent d’un défaut majeur qui s’oppose directement à la segmentation : ils créent des réseaux plats qui permettent des déplacements latéraux aisés. Essayer de compenser ces risques est tellement contraignant et complexe sur le plan opérationnel que cela en devient quasiment impossible. Même les pare-feu de nouvelle génération, avec toutes leurs capacités complémentaires, placent toujours les utilisateurs sur votre réseau pour accéder aux applications. Les VLAN présentent la même faiblesse.
Une approche traditionnelle vous expose à :
- Une confiance excessive : comme la segmentation traditionnelle basée sur les pare-feu est conçue pour empêcher les attaques de l’extérieur, elle peut vous laisser vulnérable aux menaces internes.
- Des erreurs de configuration : les VLAN se prêtent facilement à des erreurs de configuration dans les architectures actuelles, surtout si vous utilisez des fournisseurs de cloud tiers et que vous ne pouvez pas modifier l’infrastructure vous-même.
- Une gestion exigeante : chaque nouvelle application, chaque nouvel appareil ou chaque changement implique la mise à jour des règles de pare-feu, et même les activités banales comme l’analyse de la vulnérabilité nécessitent davantage de ressources.
- Des contrôles complexes : les méthodes traditionnelles souffrent d’un manque de contrôles précis, ce qui complique l’élaboration d’une politique de segmentation pour les télétravailleurs, les partenaires, les clients, etc.
- Des problèmes d’évolutivité : pour faire face à la croissance du réseau, vous devez créer des segments plus petits ou mettre à niveau les segments existants, ce qui entraîne des coûts d’évolution et de maintenance plus élevés.
- De piètres performances : l’ajout de périphériques réseau supplémentaires (par exemple, des pare-feu, des routeurs) aura un effet négatif cumulatif sur les performances globales de votre réseau.
ZTNA : une meilleure façon de procéder à la segmentation
Vos opérations reposant de plus en plus sur l’évolutivité, la flexibilité et la portée du cloud, de nombreuses stratégies de sécurité réseau pures (comme la segmentation traditionnelle) ne sont plus applicables. Au lieu de cela, vous avez besoin d’un modèle qui élimine votre réseau interne, avec tous ses risques et ses complexités, de l’équation.
De nouvelles approches ont vu le jour, ancrées dans l’accès réseau Zero Trust (ZTNA), un cadre basé sur le concept qu’aucun utilisateur ou appareil n’est intrinsèquement fiable. Au lieu de cela, les politiques d’accès sont fondées sur le principe du moindre privilège, sur la base de l’identité et du contexte, tels que l’appareil, l’emplacement, l’application et le contenu.
ZTNA connecte les utilisateurs directement aux applications sur une base individuelle, jamais au réseau, éliminant ainsi les déplacements latéraux. Cela vous permet de réaliser la segmentation d’une manière fondamentalement différente et plus efficace, ce qui est impossible avec les VPN et pare-feu traditionnels.
Avantages de ZTNA par rapport à la segmentation traditionnelle
Comparé à la segmentation traditionnelle, ZTNA :
- Fournit un accès précis, adaptatif, tenant compte de l’identité sans accès au réseau. Il supprime la confiance implicite, la remplaçant par une confiance explicite basée sur l’identité.
- Ne nécessite aucune connexion réseau, de sorte que vos applications internes (adresses IP) ne sont jamais exposées à Internet, ce qui réduit votre surface d’attaque et les risques.
- Assure une segmentation au niveau de l’utilisateur et de l’application grâce à des politiques d’accès granulaires appliquées dans le cloud, sans que vous ayez à configurer des politiques d’accès et des règles de pare-feu.
- Améliore la flexibilité, l’agilité et l’évolutivité tout en réduisant le besoin de pare-feu internes. ZTNA peut être fourni sous forme de service cloud ou de logiciel géré sur site.
- Permet un accès sécurisé aux applications pour les appareils non gérés et les partenaires externes tout en maintenant les utilisateurs en dehors du réseau, ce qui minimise le risque de prolifération des programmes malveillants.
Zscaler et la segmentation du réseau
Zscaler Private Access™ est la plateforme ZTNA la plus déployée au monde. Appliquant les principes du moindre privilège, elle offre à vos utilisateurs une connectivité directe et sécurisée à vos applications privées sans pour autant les placer sur votre réseau.
Que vous soyez en phase de planification ou que vous exécutiez un modèle de segmentation traditionnel vieillissant, nous pouvons vous aider à réaliser une segmentation aboutie avec ZTNA. Voici par où commencer :
- Remplacez vos VPN et vos pare-feu par Zscaler Private Access pour réduire votre surface d’attaque et éliminer les déplacements latéraux avec la segmentation utilisateur vers application.
- Mettez en œuvre la segmentation application vers application pour amener ZTNA à vos charges de travail et applications cloud dans des environnements hybrides et multiclouds (entre les clouds).
- Enfin, mettez en œuvre la microsegmentation processus vers processus/basée sur l’identité pour la communication au sein d’un cloud (est-ouest).
Ressources complémentaires
-
Guide du marché Gartner pour le Zero Trust Network Access 2022
Lire le guide -
Guide de l’architecte réseau pour l’adoption d’un service ZTNA
Lire le livre blanc -
Bénéficiez de la puissance du ZTNA sur site
En savoir plus -
Lumière sur les technologies ZTNA, et comment les choisir
Lire le blog