cherezoff - stock.adobe.com
Micro-segmentation : la clé d’une architecture sans confiance
Les architectures sans confiance sont la voie à suivre pour sécuriser les actifs d’entreprise. Et cela passe par l’adoption d’une stratégie de micro-segmentation.
Il existe de nombreux outils et contrôles pouvant aider à surveiller les traitements et les données en cloud hybride. Mais par-dessus tout, pour concevoir une architecture de sécurité dynamique, il est nécessaire d’adopter le modèle sans confiance, ou zero trust.
Pour cela, les équipes de sécurité et d'exploitation doivent se concentrer sur deux concepts clés. Tout d'abord, la sécurité doit être intégrée aux traitements eux-mêmes, pour pouvoir suivre les instances et les données dans leurs déplacements entre environnements cloud interne et externes. Ensuite, le comportement réel des applications et des services s’exécutant sur chaque système devra être mieux compris. Les relations entre les systèmes et les applications devront faire l'objet d'un examen plus minutieux que jamais pour faciliter l’adoption d’un modèle sans confiance très restrictif.
Automatiser
Alors que les architectures de cloud hybride se répandent, un nombre croissant d’entreprises se penche attentivement sur l'automatisation, bien au-delà de ce que l’on pouvait voir dans les centres de calcul traditionnels.
Pour automatiser la mise en œuvre d'une stratégie de micro-segmentation granulaire, il est nécessaire de disposer d’une bonne visibilité sur le trafic réseau et les configurations des traitements. C'est vraiment la clé pour transformer une stratégie de segmentation en une stratégie qui suit les principes du sans confiance.
En créant une couche d'application des politiques qui accompagne les traitements où qu’ils s’exécutent, les entreprises renforcent leur capacité à protéger les données, quel que soit l'endroit où l'instance est exécutée. D'une certaine manière, cela déplace la politique de sécurité et le contrôle d'accès vers les instances individuelles plutôt qu'au sein du réseau lui-même. Mais les concepts d'architecture cloud hybride ne s'adaptent pas facilement aux modèles traditionnels de segmentation des réseaux.
Les ressources dynamiques telles que les instances virtuelles et les conteneurs sont difficiles à positionner derrière les points d'application des politiques "fixes" du réseau. Il faut donc adopter une stratégie de sécurité de micro-segmentation n’autorisant que le trafic approuvé entre systèmes, quel que soit l'environnement dans lequel ils se trouvent.
Les apports de la micro-segmentation à une approche zero trust
La micro-segmentation empêche les attaquants d'utiliser des connexions non approuvées pour se déplacer latéralement à partir d'une application ou d'un système compromis, quel que soit l'environnement.
L’approche sans confiance facilite la création de « politiques d'affinité », où les systèmes ont des relations approuvées et où toute tentative de communication est évaluée et comparée à ces politiques pour déterminer si elle peut être autorisée.
Ce contrôle est assuré en continu. Dans l’idéal, le système de contrôle embarquera également des capacités d'apprentissage automatique pour effectuer le traitement analytique des tentatives de comportement, et s’adapter dynamiquement au fil du temps aux changements dans les traitements et les environnements applicatifs.
En éliminant potentiellement les déplacements latéraux, un modèle de sécurité sans confiance à micro-segmentation réduit également le risque lorsqu’un attaquant est parvenu à compromettre un actif dans l’environnement cloud ou le centre de calcul. On parle parfois de limiter la zone de souffle, à savoir le périmètre menacé par la compromission initiale.
Cela fonctionne en contrôlant les communications entre actifs, mais aussi en surveillant les applications en cours d'exécution et ce qu’elles essaient de faire.
Ce ne sont là que quelques-uns des avantages de la micro-segmentation appliquées à une architecture sans confiance, mais ils montrent comment l’approche peut aider les entreprises à mettre en œuvre des politiques de contrôle d'accès granulaires dans leurs environnements hybrides.