Les choix d'architecture de microsegmentation et leurs différences

• Imprimer

La micro-segmentation promet de contrecarrer les attaques de réseaux en freinant leurs mouvements et en limitant l'accès aux ressources de l'entreprise. Plusieurs approches d'architecture sont possibles : la segmentation au niveau de l'hôte, la segmentation au niveau de l'hyperviseur et la segmentation au niveau du réseau.

Malgré les nombreuses améliorations accomplies ces dernières années, les entreprises ne peuvent plus compter uniquement sur les défenses périmétriques pour repousser les attaques ciblant leurs réseaux. La micro-segmentation vise à protéger directement des attaques par mouvements latéraux non autorisés en segmentant les environnements IT en compartiments contrôlables, de sorte que les adoptants peuvent isoler en toute sécurité les charges de travail les unes des autres, tout en rendant la protection du réseau plus granulaire. Alors que les cyber-attaquants continuent à chercher de nouvelles solutions pour esquiver les mesures de sécurité et se déplacer dans les environnements IT, l'intérêt pour la micro-segmentation se généralise.

Fonctionnement de la micro-segmentation

Par rapport à la segmentation des réseaux axée sur la performance et la gestion, la micro-segmentation représente plus qu'une simple avancée. La micro-segmentation a été spécifiquement imaginée pour répondre aux problèmes critiques de protection des réseaux, réduisant les risques et adaptant la sécurité aux exigences des environnements IT de plus en plus dynamiques. Voilà près de deux décennies que les experts en sécurité de l'information discutent de la mise en oeuvre de différents types de technologies zero trust. « La micro-segmentation offre une solution « facile » à mettre en oeuvre, complète, avec des outils d'automatisation et d'orchestration, et des interfaces utilisateur sophistiquées donnant accès à des rapports et à des graphiques détaillés », a expliqué Trevor Pott, responsable de la sécurité technique chez Juniper Networks. « Nous n'avons plus d'excuses pour ne pas faire ce que nous aurions tous dû faire il y a 20 ans », a-t-il ajouté.

La micro-segmentation permet de renforcer la sécurité sur chaque système individuel en appliquant une politique unique et centralisée. « Cette avancée permet d'appliquer une politique de façon granulaire sur l'ensemble du réseau d'une entreprise, et pas seulement au niveau du périmètre », a expliqué Tom Cross, CTO du fournisseur de sécurité réseau OPAQ. « Cette approche est nécessaire, d'une part, parce que la sécurité périmétrique est parfois défaillante, mais aussi parce que l'adoption du cloud rend les périmètres des réseaux plus poreux ». La micro-segmentation repose toujours sur les techniques traditionnelles de cybersécurité, notamment les réseaux de contrôle d'accès. « Ce qui distingue la micro-segmentation des autres solutions, c'est que ces approches de sécurité sont appliquées à des charges de travail individuelles au sein du réseau », a expliqué Brad Willman, directeur informatique et expert en sécurité réseau chez le fournisseur de services IT Entrust Solutions.

La structure compartimentée de la micro-segmentation séduit de nombreuses entreprises. « La micro-segmentation est une stratégie qui peut non seulement prévenir la violation des données, mais elle peut aussi considérablement réduire les dommages en cas de violation en les limitant à un tout petit segment du réseau », a aussi expliqué Andrew Tyler, ingénieur-conseil senior chez le consultant IT Kelser.

Différentes approches de micro-segmentation

Pour compromettre les ressources d'une entreprise, les attaques sophistiquées se passent généralement en plusieurs étapes. « Pour défendre les infrastructures, il faut donc aussi mettre en place des contrôles à chaque étape », comme l'a conseillé Tom Cross, le CTO d'OPAQ. « La latéralisation interne entre systèmes a joué un rôle clé dans les incidents récents, et des outils comme Mimikatz et Bloodhound fournissent de solides capacités aux attaquants en la matière », a-t-il ajouté. « La micro-segmentation peut permettre aux défenseurs de perturber ces techniques en bloquant les chemins inutiles exploités pas les attaques pour se propager au sein des réseaux internes ».

Il est important de garder à l'esprit que la micro-segmentation n'est pas une technologie orientée uniquement vers les datacenters. « De nombreux incidents de sécurité commencent sur les postes de travail des utilisateurs finaux, quand les employés cliquent sur des liens de phishing ou que leurs systèmes sont compromis par d'autres moyens », a encore expliqué M. Cross. À partir d'un unique point d'infection initial, les attaquants peuvent se propager dans tout le réseau d'une entreprise. « Une plateforme de micro-segmentation doit permettre d'appliquer les politiques au datacenter, aux charges de travail dans le cloud et aux postes de travail des utilisateurs finaux à partir d'une console unique », a-t-il expliqué. « Elle doit également permettre d'empêcher les attaques de se propager dans n'importe lequel de ces environnements », a-t-il ajouté.

Comme dans le cas de nombreuses technologies émergentes, les fournisseurs adoptent différentes approches de mise en oeuvre de la micro-segmentation. De façon générale, trois approches dominent : la segmentation au niveau de l'hôte, la segmentation au niveau de l'hyperviseur et la segmentation au niveau du réseau.

- Segmentation au niveau de l'hôte. Ce type de micro-segmentation consiste à positionner des agents au niveau des points terminaux. Tous les flux de données sont visibles et relayés à un gestionnaire central, ce qui facilite la découverte de protocoles difficiles à détecter ou d'un trafic crypté. En général, la segmentation au niveau de l'hôte est considérée comme très efficace. « Parce que les appareils infectés sont des hôtes, une bonne stratégie au niveau de l'hôte peut même empêcher les problèmes d'atteindre le réseau », a expliqué David Johnson, CTO de Mulytic Labs, une start-up de développement de logiciels et de services IT. Il faut cependant que tous les hôtes installent le logiciel, « ce qui repose le problème des OS hérités et des systèmes plus anciens ».

- Segmentation au niveau de l'hyperviseur. Dans ce type d'approche, tout le trafic passe par un hyperviseur. « La possibilité de surveiller le trafic au niveau de l'hyperviseur signifie que l'on peut utiliser des pare-feux préexistants, et également transférer des politiques vers de nouveaux hyperviseurs au fur et à mesure que les instances se déplacent au cours des opérations quotidiennes », a expliqué M. Johnson. L'un des inconvénients de cette solution, c'est que, en général, la segmentation au niveau de l'hyperviseur ne fonctionne pas dans les environnements clouds, ou avec des conteneurs ou du bare metal. Selon David Johnson, « cette approche s'avère utile dans certains cas, et quand elle peut fonctionner, elle est très intéressante ».

- La segmentation au niveau des réseaux. Cette approche permet essentiellement de maintenir un statu quo. La segmentation est basée sur des listes de contrôle d'accès (LCA) et d'autres méthodes éprouvées. « C'est de loin l'approche la plus simple, car la plupart des professionnels réseaux la connaissent bien », a encore déclaré M. Johnson. « Cependant, les gros segments de réseau peuvent aller à l'encontre de l'objectif de la micro-segmentation, et peuvent s'avérer complexes et coûteux à administrer dans les grands datacenters ».

Par ailleurs, quand une entreprise choisit un outil de micro-segmentation, elle doit se rappeler que toutes les offres ne correspondent pas à l'une de ces trois catégories de base. De nombreux fournisseurs explorent de nouvelles méthodes pour proposer une micro-segmentation résiliente du réseau, basée sur l'apprentissage machine et la surveillance par IA. Avant de s'engager dans une offre de micro-segmentation particulière, assurez-vous d'interroger le fournisseur sur son approche, sur les exigences de compatibilité ou de fonctionnement à prendre en compte.

Un inconvénient

Malgré tous ses avantages, la micro-segmentation présente également plusieurs défis en matière d'adoption et de fonctionnement. Les premiers déploiements peuvent être particulièrement perturbants. « La mise en oeuvre de la micro-segmentation peut casser certains processus », a mis en garde M. Tyler. « Selon les applications utilisées, certaines fonctions clés de l'entreprise peuvent ne pas supporter la micro-segmentation ». Un autre obstacle potentiel concerne la définition de politiques qui répondent aux besoins de chaque système interne. Ce processus peut s'avérer compliqué et long pour certains adoptants, car il peut donner lieu à des batailles internes au moment de l'évaluation des politiques et de leurs implications. « La plupart des entreprises ont du mal à accepter la moindre exception sur le contrôle interne », a fait remarquer M. Cross.

Quand des actifs hautement et faiblement sensibles coexistent dans la même zone de sécurité, il est important de comprendre quels ports et protocoles seront nécessaires pour assurer une communication réseau correcte, et sa direction. Une mise en oeuvre incorrecte peut entraîner des pannes de réseau involontaires. « Il faut également garder à l'esprit que la mise en oeuvre des changements nécessaires peut nécessiter des temps d'arrêt, une bonne planification est importante », a pointé Damon Small, directeur technique du NCC Group North America, dont il est consultant pour les questions de défense des infrastructures critiques. Les environnements qui tournent sur des systèmes d'exploitation comme Linux, Windows et MacOS sont largement pris en charge par la technologie de micro-segmentation. Il n'en va pas de même, cependant, pour les entreprises qui utilisent des mainframes ou d'autres technologies héritées. « Elles constateront qu'il n'y a pas de logiciels de micro-segmentation pour ces plateformes », a déclaré M. Cross.

Démarrer avec la micro-segmentation

Pour réussir une micro-segmentation, il est nécessaire de bien comprendre l'architecture des réseaux et les systèmes et applications qui y sont associés. « Plus précisément, l'entreprise doit savoir comment les systèmes communiquent entre eux pour que ça fonctionne correctement », a expliqué Damon Small. « Cette connaissance approfondie peut nécessiter une collaboration étroite avec les fournisseurs ou une analyse détaillée afin de déterminer à quels endroits placer les micro-segments et comment le faire sans provoquer d'arrêts de production ». La meilleure façon de lancer une initiative de micro-segmentation est de disposer d'un plan détaillé de gestion des actifs. « Vous ne pouvez pas prendre de décisions rationnelles sur la segmentation du réseau tant que vous ne savez pas ce qu'il contient et que vous n'avez pas trouvé un moyen de classer et de catégoriser ces systèmes », a expliqué M. Pott.

Une fois que les problèmes de découverte, de classification et d'automatisation de la gestion des actifs auront été résolus, l'environnement IT sera prêt pour la micro-segmentation. « C'est le moment de faire le tour des fournisseurs et de poser toutes les questions possibles sur le coût total de possession, les capacités d'intégration, l'extensibilité et la mise à l'échelle », a encore conseillé M. Pott. « Une plateforme de micro-segmentation n'est adaptée que si elle est conforme aux politiques qu'elle applique », fait encore remarquer M. Cross. « Il est important que les utilisateurs réfléchissent au processus que les attaquants sont susceptibles de pister pour compromettre leur environnement, et qu'ils s'assurent que leurs politiques bloquent les accès les plus profitables », a-t-il ajouté. « Quelques règles simples consistant à limiter la disponibilité de Windows Networking, des services RDP et du SSH sur un réseau interne à des utilisateurs spécifiques peuvent protéger contre les techniques d'attaque les plus courantes sans interférer avec les processus de l'entreprise ».

Illustration crédit Pixabay