La microsegmentation pour réduire les possibilités de déplacement des attaquants
Les attaquants s’invitent tôt ou tard dans le système d’information d’une entreprise. Construire des zones isolées par microsegmentation peut aider à limiter la dangerosité effective de leurs opérations en limitant leurs capacités de déplacement latéral.
De nombreux professionnels des infrastructures IT n’appréhendent la microsegmentation que comme méthode de restriction des accès entre les serveurs, les applications et les traitements dans le centre de données. La microsegmentation a cependant évolué bien au-delà de cette capacité initiale, offrant désormais aux entreprises une autre façon d’avancer vers le zero trust.
Pourquoi adopter la microsegmentation
Les entreprises sont aujourd’hui confrontées à un défi de taille : se prémunir contre la capacité d’un attaquant à se déplacer latéralement dans un centre de données une fois passée la sécurité périmétrique.
L’actualité est remplie d’histoires d’attaquants qui pénètrent dans les réseaux des entreprises. Une fois à l’intérieur, ils peuvent accéder à n’importe quoi avec peu obstacles – voire aucun. Dès lors, de nombreuses entreprises mettent en œuvre des modèles d’architecture dits sans confiance et, plus précisément, la microsegmentation. Cette méthode rend difficile le fait pour les attaquants de se déplacer librement et latéralement dans un système d’information.
Comment la microsegmentation a-t-elle évolué au fil du temps ?
À ces débuts, la microsegmentation était limitée dans ce qu’elle pouvait apporter du point de vue de la cybersécurité et de l’évolutivité des infrastructures.
L’une des premières méthodes pour empêcher les attaquants de se déplacer latéralement dans un centre de données consistait à créer des segments physiques ou logiques par le biais de pare-feu de niveau 4. Au départ, la segmentation limitait la capacité d’une entreprise à accompagner l’augmentation des besoins en trafic réseau, car tout passait par les pare-feu centraux. La nature granulaire de la segmentation induisait en outre une importante complexification de la gestion des politiques.
Les fournisseurs ont alors développé des produits et des plateformes de réseau à définition logicielle. Celles-ci ont permis de positionner des pare-feu directement au niveau de l’hyperviseur. De là, les administrateurs peuvent mettre en œuvre une microsegmentation pour toutes les machines virtuelles. Les produits de microsegmentation plus récents supportent les pare-feu de couche 7, qui peuvent assurer une protection applicative et des identifiants des utilisateurs.
Le contrôle d’accès granulaire à l’aide de pare-feu distribués et virtualisés a constitué une avancée significative dans la lutte contre les déplacements latéraux non autorisés. Cependant, les entreprises ont rapidement cherché un moyen de distribuer leurs systèmes de détection et de prévention des intrusions (IDS/IPS) directement sur l’hyperviseur.
En outre, une émulation de système complet en bac à sable est nécessaire pour détecter les menaces inédites ne pouvant pas être identifiées à partir de signatures. Cela a conduit les services IDS/IPS et de sandboxing réseau à être à nouveau découplés des appliances de sécurité réseau centralisées et ramenées vers l’hyperviseur.
Pour que la microsegmentation soit un succès, les administrateurs ne doivent pas s’arrêter à la segmentation du trafic : chaque flux du centre de données doit être surveillé afin de déterminer si une action anormale est bénigne ou malveillante. Cela a conduit à l’ajout de fonctionnalités supplémentaires à la microsegmentation, telles que le sandboxing des traitements du centre de données. La microsegmentation permet également de lier les politiques aux traitements, réduisant ainsi la complexité de la gestion, dont le déplacement des traitements entre serveurs et centres de données.
Si l’inclusion du pare-feu de couche 7, de l’inspection IPS/IDS et du sandboxing est une excellente chose, l’histoire de l’évolution de la microsegmentation ne s’arrête pas là. En raison du risque croissant que représentent les menaces avancées persistantes et de la capacité des pirates à contourner de multiples protections de cybersécurité, l’analyse comportementale s’est ajoutée à l’éventail fonctionnel.
Les nouveaux produits et plateformes de microsegmentation fournissent souvent une analyse du trafic réseau avec des capacités de détection et réponse (NDR). De quoi permettre aux administrateurs de collecter et de corréler des données depuis n’importe où. Ces capacités permettent également de reconnaître une activité malveillante avant qu’elle ne se traduise pas un déplacement latéral réussi dans un système d’information, notamment en mettant à profit l’apprentissage automatique et, plus généralement, l’intelligence artificielle.
Une voie plus simple vers une microsegmentation moderne
Pour que la microsegmentation soit vraiment un succès au sein de l’entreprise, elle doit être facile à déployer et à gérer. Une option consiste à visualiser et à catégoriser efficacement les flux de trafic. Les organisations doivent rechercher des plateformes dotées de fonctions automatisées de visibilité du trafic, de découverte et de cartographie.
Et encore plus vrai dans un environnement à définition logicielle : l’informatique doit être en mesure d’identifier, analyser et cartographier les flux de trafic applicatif existants. Une fois analysés, il est temps de mettre en œuvre des politiques de microsegmentation.
Les entreprises intéressées par la microsegmentation moderne sont souvent découragées par l’effort nécessaire pour élaborer des politiques par flux. Mais il existe des outils aidant à rationaliser et automatiser le processus d’intégration.