La distanciation physique a atténué l'impact d'un virus ; la même idée peut être appliquée aux ordinateurs et aux réseaux pour minimiser les violations, les attaques et les infections.
La distanciation sociale est récemment entrée dans le lexique populaire et, à présent, nous connaissons tous intimement l'idée de garder une distance de sécurité avec les autres pour minimiser les menaces pour la santé. Il existe de nombreux parallèles entre l'épidémiologie biologique et la sécurité de l'information, et le concept de « distanciation numérique » en tant que couche dans une approche à plusieurs niveaux de la protection ne s'applique pas uniquement aux interactions en personne.
Comme pour la distanciation sociale, le concept de base derrière la microsegmentation est de limiter autant que possible les contacts inutiles. La plupart des ordinateurs ne doivent parler qu'à un sous-ensemble très limité d'autres ordinateurs, et c'est là que la microsegmentation entre en jeu en tant que distanciation sociale des systèmes informatiques.
Notre processus
La microsegmentation améliore la sécurité du centre de données en contrôlant le trafic réseau entrant et sortant d'une connexion réseau. En fin de compte, l'objectif de la microsegmentation est de mettre en œuvre Zero Trust.
Fait correctement, la microsegmentation est effectivement une liste blanche pour le trafic réseau. Cela signifie que les systèmes d'un réseau donné peuvent strictement communiquer avec les systèmes spécifiques avec lesquels ils doivent communiquer, de la manière dont ils sont censés communiquer, et rien d'autre. Avec des connexions et des communications si réglementées, la microsegmentation est l'une des meilleures protections dont nous disposons aujourd'hui contre les compromissions latérales.
Cela permet aux administrateurs de microsegmentation de protéger tout ce qui se trouve à l'autre bout de cette connexion réseau de tout ce qui se trouve sur le réseau. Cela permet également à tout le reste du réseau de recevoir un niveau de protection de base contre tout ce qui pourrait se trouver à l'autre extrémité de cette connexion réseau.
C'est un énorme changement par rapport au modèle "informatique en coquille d'œuf" dans lequel toutes les défenses sont concentrées sur le périmètre (la coquille d'œuf) mais tout derrière ce bord est grand ouvert (l'intérieur mou de l'œuf). L'informatique en coquille d'œuf est inefficace; les attaquants ont utilisé la propagation latérale à partir d'un point initial de compromis pendant des décennies et il est essentiel que des défenses est-ouest existent dans les centres de données aux côtés des défenses nord-sud plus traditionnelles.
Pouvez-vous être trop isolé ?
Dans les implémentations plus avancées, la microsegmentation va au-delà de ce qui est essentiellement un autre pare-feu géré par une équipe différente et ajoute des superpositions de réseau. Avec une combinaison de superpositions et d'ACL, il est possible de restreindre tout le trafic entrant et sortant d'un système spécifique afin que seuls les autres systèmes censés le recevoir puissent même voir ce trafic, et encore moins y répondre.
Dans le monde réel, cependant, la plupart des systèmes ne peuvent pas être isolés de manière réaliste de sorte qu'ils ne communiquent avec les systèmes homologues que d'une manière est-ouest au sein du centre de données. À tout le moins, ils doivent atteindre quelque chose, quelque part pour obtenir des mises à jour de sécurité. Des systèmes de microsegmentation bien conçus offrent la possibilité de placer des pare-feu virtuels – ou, de plus en plus, conteneurisés – à la périphérie d'un microsegment donné afin que tout trafic quittant le segment passe par ce pare-feu.
Cette approche permet d'isoler un système autant que possible - seuls les systèmes qui ont absolument besoin de communiquer entre eux sont rattachés à un segment de réseau donné - tout en offrant un routage au-delà de ce segment. Le passage du trafic entrant et sortant de ce segment via un pare-feu (ou toute autre fonction de sécurité réseau que vous souhaitez inclure) fournit un niveau de protection supplémentaire - et de plus en plus nécessaire - qui n'est pas facilement atteint avec uniquement des ACL et des superpositions réseau.
La possibilité d'ajouter en toute sécurité un serveur ou une machine virtuelle n'importe où sur le réseau augmente considérablement la flexibilité du placement de la charge de travail. L'expérience commune avec la microsegmentation montre que l'adoption est souvent liée à la popularité des applications distribuées. Dans certains cas, la demande d'applications distribuées entraîne la nécessité de mettre en œuvre la microsegmentation. Dans d'autres cas, la disponibilité de la microsegmentation ouvre la porte à des applications distribuées qui n'étaient pas réalistes auparavant.
Les applications distribuées, comme toutes les applications, ont différents niveaux de résilience aux pannes. L'adoption généralisée d'applications distribuées peut amplifier l'étendue de l'impact d'une panne de commutateur, car ce commutateur peut potentiellement héberger des parties de plusieurs applications ou services. La redondance est toujours un bon plan en informatique, mais elle gagne en urgence lorsque la microsegmentation est déployée sérieusement.
Si vous devez apporter des modifications, effectuez toutes les modifications
L'architecture et la planification sont essentielles à la réussite des déploiements de microsegmentation. Si vous n'avez jamais implémenté la microsegmentation auparavant, assurez-vous que votre infrastructure peut prendre en charge beaucoup plus de microsegments que vous ne pensez en avoir besoin, car la croissance de nouvelles fonctionnalités au sein d'une organisation peut être imprévisible. Cela signifie s'assurer que tous les composants pertinents (et le logiciel de gestion) peuvent gérer l'échelle dont vous aurez besoin.
Les équipements réseau (commutateurs, routeurs et commutateurs virtuels) ont généralement une capacité limitée à filtrer, restreindre ou encapsuler le trafic. L'inspection approfondie des paquets (DPI), le proxy SSL/TLS et de nombreuses autres fonctionnalités de sécurité de l'information nécessitent toujours que le trafic traverse (ou du moins soit mis en miroir vers) des défenses plus performantes, telles qu'un pare-feu de classe entreprise.
Faites attention à ce à quoi ressemble la surcharge de gestion continue du schéma de microsegmentation proposé. C'est également le bon moment pour parler au fournisseur des LAN définis par logiciel (SD-LAN), car si vous envisagez de bouleverser l'ensemble de votre approche de gestion de réseau, autant faire en sorte que toute l'automatisation et l'orchestration soient gérées en même temps. Il y a de fortes chances que vous ne fassiez pas un changement aussi important avant au moins une autre décennie.
La microsegmentation a la réputation justifiée d'être difficile à mettre en œuvre, plus qu'un peu pénible à gérer et, par conséquent, plutôt coûteuse. Il en est ainsi depuis des années et, s'il est mal mis en œuvre, il peut encore en être ainsi aujourd'hui.
Ce n'est plus un luxe
Cependant, la microsegmentation ne doit pas être un cauchemar à mettre en œuvre. Des implémentations bien planifiées conçues par des professionnels expérimentés peuvent non seulement réussir, mais peuvent également augmenter considérablement la capacité d'une organisation à réagir à des changements inattendus, ce qui s'avère finalement être financièrement avantageux.
Il est compréhensible que vous n'ayez pas mis en œuvre la microsegmentation si vous disposez d'un réseau massif et tentaculaire avec des décennies de dette technique. Mais du point de vue de la sécurité de l'information, personne ne devrait déployer de nouveaux réseaux aujourd'hui sans microsegmentation. La microsegmentation n'est plus une fonctionnalité émergente de niche. Il devrait être considéré aujourd'hui comme une capacité fondamentale pour l'agilité du réseau et la sécurité de l'information.
Il n'y a pas de fin à la lutte de l'attaquant et du défenseur dans l'espace informatique, car les attaquants s'améliorent chaque année pour se propager rapidement sur un réseau. Minimiser les contacts entre les systèmes à l'aide de la distanciation numérique est un outil évident à la disposition des organisations pour réduire la portée des compromis lorsque ces inévitables événements de compromis se produisent.
Contenu connexe:
Trevor Pott est directeur du marketing produit chez Juniper Networks. Trevor a plus de 20 ans d'expérience en tant qu'administrateur système et réseau. De l'administration DOS à la sécurité de l'information native dans le cloud, Trevor possède des connaissances approfondies en matière de sécurité et une carrière qui correspond à la… Voir la biographie complète
Lectures recommandées:
Plus d'informations
