La segmentation du réseau est une stratégie visant à séparer et à isoler des segments du réseau d’une entreprise afin de réduire la surface d’attaque. Cependant, compte tenu de l’explosion du nombre d’utilisateurs et de la dynamique des applications et ressources des datacenters modernes, les stratégies de sécurité requièrent aujourd’hui de rapprocher le périmètre de la ressource plutôt que d’adopter une ligne de défense plus large. La segmentation du réseau est un des concepts clés de la stratégie de sécurité Zero Trust, tout comme les identités, d’après le cadre Zero Trust décrit dans la norme SP 800-207 du NIST.
Macro- et micro-segmentation du réseau.
La segmentation traditionnelle du réseau, également appelée macro-segmentation, est généralement réalisée à
l’aide de pare-feux et de VLAN internes.
Avec la micro-segmentation, le périmètre et les contrôles de sécurité se situent plus près de la ressource
(workload ou application tierce, par exemple), ce qui crée des zones sécurisées. La macro- et la
micro-segmentation du réseau visent essentiellement à limiter le trafic est-ouest (ou interne) dans le
datacenter et à prévenir ou ralentir le déplacement latéral des cyberattaquants.
La macro- et la micro-segmentation du réseau peuvent être exécutées au moyen de divers éléments : • Pare-feux matériels (p. ex., pare-feux de segmentation interne), qui définissent les règles régissant la distribution du trafic vers les zones ou segments • VLAN et listes de contrôle des accès, qui filtrent les accès aux réseaux/sous-réseaux • Périmètre défini par logiciel, qui rapproche le périmètre de l’hôte en établissant une frontière virtuelle et applique des contrôles granulaires des règles au niveau du workload
Avantages et inconvénients de la macro-segmentation du réseau.
Les règles d’accès aux ressources définies par les règles des pare-feux, les VLAN/listes de contrôle des
accès et les VPN sont statiques et ciblent exclusivement le trafic entrant et sortant. Ces règles sont
rigides et sont incapables d’évoluer ou de s’adapter aux environnements hybrides dynamiques
et aux exigences d’accès sécurisé dynamiques qui s’étendent désormais au-delà des périmètres statiques.
Avantages et Inconvénients.
L'une des méthodes de segmentation les plus anciennes et les plus largement adoptées, précurseur de
l'approche Zero Trust Utilisation de VLAN et de pare-feux à l'origine de nombreux points d'étranglement
au niveau du réseau, ce qui affecte les performances de ce dernier et la productivité de l'entreprise
(niveau de friction élevé)
Pare-feux matériels traditionnels
Permettant de contrôler le trafic est-ouest (interne) et nord-sud
(de l'extérieur vers l'intérieur du réseau) Multiplication des règles de pare-feux et des VLAN/listes de
contrôle des accès, pouvant rapidement devenir un cauchemar en termes de gestion et de sécurité
(processus complexe et propice aux erreurs humaines)
Le périmètre est placé plus près de la ressource et les contrôles de sécurité sont appliqués au niveau de l’hôte individuel. Avantages et inconvénients plateforme et infrastructure indépendantes besoin d'agents au niveau de chaque endpoint, workload ou hyperviseur/machine virtuelle Contrôles de sécurité basés sur le contexte avec application de règles granulaires
Avantage des règles granulaires contrebalancé par le nombre considérable de règles qui doivent être créées et gérées pour des milliers de ressources, groupes d'utilisateurs, zones (micro-segments) et applications
Plateforme unifiée.
Chiffrement de 90 % du trafic, ce qui nécessite un déchiffrement SSL/TLS monopolisant d'importantes
ressources pour une parfaite visibilité, ce qui
augmente considérablement les exigences de traitement et par conséquent le coût d'implémentation et
d'opérationnalisation de la segmentation.
Nécessité de connaître parfaitement l'architecture globale du datacenter (modifications, nouveautés et failles) afin de concevoir des règles sans impact sur la productivité de l'entreprise (exemples de scénarios : suite à la transition soudaine vers le télétravail, comment gérer le retour des collaborateurs sur site après la pandémie ? ; comment l'architecture, la topologie et les règles sont-elles impactées et quelles sont les nouvelles failles de sécurité ?).
Dispositifs de détection et de prévention des menaces insuffisants absents : nécessité d'outils distincts et d'intégration de la cyberveille, de la détection et de la prévention ? L’approche de segmentation du réseau, que ce soit par macro-segmentation ou par micro-segmentation, présente clairement des avantages et des inconvénients. La segmentation du réseau s’articule autour de nombreux éléments mobiles : Pare-feux matériels, périmètres définis par logiciel, contrôles et outils supplémentaires pour l’infrastructure multicloud, et diverses règles d’accès aux ressources qui doivent être gérées et actualisées afin de garder une longueur d’avance sur les attaques et le paysage des menaces en constante évolution.
Changement de cap : de la segmentation du réseau à la segmentation selon l’identité Bien que la segmentation du réseau réduise la surface d’attaque, cette stratégie ne permet pas de se prémunir contre les techniques et tactiques des cyberadversaires lors des phases liées à l’identité de la chaîne de frappe. La méthode de segmentation qui offre la réduction des risques la plus importante à moindre coût et la plus simple à mettre en place est la segmentation selon l’identité.
La protection des identités
Réduit considérablement les risques de compromissions liés aux attaques
modernes, telles que les attaques de ransomwares et de la supply chain, dans lesquelles les identifiants
compromis jouent un rôle déterminant.
D’après le rapport Cost of a Data Breach Report 2021 d’IBM et du Ponemon Institute, les identifiants volés
ou compromis étaient la cause la plus
fréquente des compromissions en 2021 et étaient les plus longs à détecter (250 jours en moyenne).