Recourir à la microsegmentation pour améliorer la sécurité de son infrastructure
La microsegmentation et les zones de confiance zéro constituent des stratégies de sécurité spécifiques aux réseaux à définition logicielle. L’expert Kevin Beaver explique comment commencer.
Les professionnels de l’IT et de la sécurité sont de plus en plus à la recherche de moyens pour mieux répondre aux défis de sécurité inhérents à la virtualisation. La segmentation réseau a là reçu une forte attention, notamment du fait des exigences du standard PCI-DSS.
Les solutions de virtualisation réseau de fournisseurs tels que VMware, Palo Alto Networks et Cisco promettent d’aider à résoudre les problèmes liés à la virtualisation grâce à un processus dit de microsegmentation.
Cette approche doit améliorer l’utilisabilité et la sécurité en établissant des zones de confiance zéro où des contrôles d’accès plus granulaires peuvent être appliqués : des réseaux virtuels isolés sont ainsi créés et existent en parallèle les uns des autres. Dans la pratique, la création de zones de confiance zéro avec la microsegmentation constitue une façon d’utiliser le réseau à définition logicielle (SDN) pour répondre aux besoins de sécurité spécifiques des centres de calcul modernes. La microsegmentation rappelle là la manière dont les solutions de gestion de la mobilité d’entreprise (EMM) isolent les données d’entreprise des données personnelles dans un environnement BYOD.
Les concepts de microsegmentation et de zones de confiance zéro ne sont pas nouveaux, mais les bénéfices qu’ils offrent semblent porter leur adoption en entreprise. Toutefois, avant de se lancer, il convient de bien peser les pours et les contres de ce type de virtualisation réseau, et cela tant au sein d’une petite que d’une grande organisation.
Les avantages de la microsegmentation
- Contrôle plus granulaire des goulots d’étranglement traditionnels du réseau, comme les entrées et sorties, ou encore les environnements de données de cartes bancaires. Un tel contrôle granulaire serait plus difficile à mettre en œuvre avec les contrôles de sécurité réseau traditionnels, tels que les pare-feu et les routeurs.
- Les contrôles de sécurité personnalisés de chaque environnement virtualisé persistent y compris lorsque ces environnements sont reconfigurés ou repositionnés au sein du centre de calcul.
- Correctement mise en œuvre, la microsegmentation peut simplifier la réaction aux incidents et leur analyse en cas de brèche de sécurité ou d’autre événement réseau nécessitant enquête.
Les inconvénients de la microsegmentation
- Les contrôles plus granulaires offerts par les zones de confiance zéro peuvent se traduire par une complexité réseau accrue dans des domaines tels que la gestion des identités et la surveillance de systèmes. Ces contrôles peuvent également nécessiter l’implication de plus de personnes dans leur définition et administration, dont des architectes réseau, des administrateurs sécurité, des développeurs, et les propriétaires des données.
- La mise en œuvre de la microsegmentation va systématiquement créer de nouvelles demandes en budget et personnel, tant pour le déploiement initial que pour l’administration régulière.
- Puisqu’il s’agit d’une technologie de niche, justifier la microsegmentation à sa direction peut s’avérer difficile, en particulier alors que le plupart des entreprises peinent encore à embrasser les bases de la sécurité de l’information.
Questions à poser avant tout
- Existe-t-il des contrôles d’accès dédiés aux zones les plus sensibles du centre de calcul ?
- Cette technologie aiderait-elle à mieux appliquer les règles de sécurité existantes ?
- A quelles limitations la microsegmentation est-elle susceptible d’apporter une réponse ?
- Si la visibilité est minimale, existe-t-il un besoin pour plus d’informations spécifiques afin d’aider à gérer menaces et vulnérabilités sur certains réseaux et environnements applicatifs spécifiques ?
- Existe-t-il un besoin pour isoler certaines données et certains flux de certaines zones du réseau ?
La confidentialité des données clients, la protection contre l’espionnage, et plus encore, peuvent également constituer des préoccupations, en particulier si les systèmes concernés sont situés dans le Cloud.
Beaucoup, ici, s’étend bien au-delà des besoins spécifiques à la sécurité et au réseau, pour toucher à la culture d’entreprise et à son approche de la sécurité. Des concepts et technologies émergents, comme la virtualisation à confiance zéro, doivent être surveillés afin que les risques n’ouvrent pas la voie à exploitation. La dernière dont un responsable de la sécurité réseau a besoin, c’est d’être aveugle à quelque chose d’inattendu, mais qui aurait toutefois pu être prévenu.
Adapté de l'anglais.