Sécurité : comment mettre en œuvre la segmentation du réseau
Pour qu’une segmentation du réseau améliore véritablement la sécurité, les administrateurs doivent créer des règles détaillées, identifier chaque ressource et utiliser les bons outils.
La segmentation du réseau est la pratique consistant à subdiviser un réseau en domaines fonctionnels et à limiter les communications entre ces domaines. Par exemple, une entreprise peut créer des segments distincts pour la comptabilité, les RH, le développement de produits, la fabrication, le service clientèle, le marketing, les ventes ou encore le système de pilotage des infrastructures du bâtiment. La segmentation fonctionne aussi pour tout ce qui s’exécute en cloud, y compris pour les applications SaaS.
La communication entre les segments se fait sur des points d’intersection du réseau où l’on met idéalement en place des règles de sécurité. Les administrateurs peuvent aussi utiliser sur ces points d’intersection des outils d’inspection des paquets avec détection des intrusions, et y déployer des firewalls.
Qu’est-ce que la microsegmentation ?
La microsegmentation est une segmentation du réseau avec des règles plus granulaires : par application, par équipement, etc. Par exemple, la microsegmentation peut intégrer un contrôle d’accès basé sur le rôle d’un terminal. On peut aussi définir qu’un objet connecté ne pourrait pas communiquer avec autre chose que son serveur d’applications, pas même avec un autre objet connecté. De même, une personne chargée de la saisie de données comptables ne pourrait pas exécuter d’autres fonctions comptables ou accéder à des systèmes non comptables.
Dans ces exemples, on parle de points à l’extrémité. Ces points d’extrémité peuvent être un serveur d’applications, un utilisateur disposant d’une ressource informatique, ou encore un automate numérique qui effectue une action quelconque. Un lecteur RFID qui met à jour une base de données d’inventaire sur un quai de chargement est un point d’extrémité. Un chatbot aussi, puisqu’il s’agit d’une entité numérique qui accède à des bases de données de commandes clients pour répondre à une demande des clients. Aucun de ces points d’extrémité ne devrait pouvoir accéder à des systèmes autres que ceux pour lesquels ils ont été conçus.
Les avantages de la segmentation du réseau
Le principal avantage de la segmentation du réseau est de limiter les dommages causés par une attaque de cybersécurité. Sur le plan de la surveillance, les systèmes de sécurité peuvent fournir des alertes lorsqu’un terminal non autorisé tente d’accéder au système, identifiant ainsi les attaquants qui tentent de se propager de proche en proche (d’un objet connecté à l’autre, par exemple).
La segmentation peut également réduire la portée d’un audit réglementaire. Par exemple, en ce qui concerne les cartes de paiement, les audits ne doivent concerner que la partie du réseau qui traite et stocke les informations relatives aux cartes de paiement. Bien entendu, ces audits doivent valider les pratiques de segmentation appropriées.
Les bonnes pratiques de la segmentation réseau
Il y a deux bonnes pratiques à suivre pour segmenter un réseau.
Créer des règles de sécurité et identifier les ressources. Pour mettre en œuvre la segmentation du réseau, les équipes réseau doivent commencer par créer des règles de sécurité pour chaque type de données et chaque type de ressources qu’elles doivent protéger. Ces règles doivent identifier chaque ressource, les utilisateurs et les systèmes qui y accèdent, ainsi que le type d’accès qui doit être fourni.
Utiliser des listes d’autorisation. Ensuite, les équipes doivent mettre en place des contrôles d’accès par liste d’autorisations. Cette pratique améliore considérablement la sécurité du réseau. Pour ce faire, les équipes doivent identifier les flux de données de chaque application. Bien que ce processus puisse demander beaucoup de travail, le temps et les efforts en valent la peine par rapport au coût d’un incident de cybersécurité.
Choisir les technologies qui segmentent le réseau
La segmentation du réseau peut être basée sur une séparation physique, une séparation logique ou les deux, en fonction de l’instance concernée. Les firewalls, les listes de contrôle d’accès (ACL) et les réseaux locaux virtuels (VLAN) fournissent chacun une fonctionnalité de segmentation basique.
L’étape suivante consiste à ajouter une couche virtuelle pour le routage et la transmission des paquets (couche VRF, pour Virtual Routing and Fowarding). Cette couche segmente les informations de routage. Une implémentation avancée mettrait en œuvre un système multitenant complet (prise en charge de plusieurs clients étanches entre eux chez un même prestataire, typiquement) et serait basée sur des technologies de type Software-Defined (boîtier générique, paramétrable à l’envi) qui combinent les firewalls, les ACL, les VLAN et la couche VRF.
Software-Defined. Il existe des boîtiers SD-Access qui identifient les points d’extrémité et les affectent aux segments de réseau appropriés, indépendamment de l’endroit où ils se connectent physiquement. Le SD-Access étiquette les paquets pour identifier le segment auquel ils appartiennent. L’étiquetage permet au réseau d’appliquer efficacement la règle appropriée.
Séparation physique. Les équipes réseau doivent recourir à la séparation physique, par exemple des firewalls distincts, pour réduire la complexité des règles. Mélanger les règles de plusieurs firewalls pour un grand nombre d’applications dans un seul firewall peut en effet devenir impossible à maintenir. Dans ce genre de situations, les jeux de règles sont rarement supprimés, car on a du mal à déterminer quelle action va en résulter. L’utilisation de firewalls distincts, via des machines virtuelles typiquement, peut considérablement simplifier chaque jeu de règles, ce qui permet aux équipes d’auditer et de supprimer plus facilement les anciennes règles lorsque les besoins changent.
Automatisation. Enfin, les équipes peuvent utiliser l’automatisation pour aider à maintenir la sécurité du réseau. De nombreuses étapes d’audit de sécurité peuvent et doivent être automatisées pour garantir qu’elles sont appliquées de manière cohérente. Les outils de type Software-Defined sont généralement plus adaptés pour mettre en œuvre des processus d’automatisation.