Qu'est-ce que la segmentation du réseau ?
La segmentation du réseau est une stratégie visant à séparer et à isoler des segments du réseau d'une entreprise afin de réduire la surface d'attaque.
Cependant, compte tenu de l'explosion du nombre d'utilisateurs et de la dynamique des applications et ressources des datacenters modernes, les stratégies de sécurité impliquent aujourd'hui de rapprocher le périmètre de la ressource plutôt que d'adopter une ligne de défense plus large.
La segmentation du réseau est un des concepts clés de la stratégie de sécurité Zero Trust, tout comme les identités, d'après le cadre Zero Trust décrit dans la norme SP 800-207 du NIST.
Macro- et microsegmentation du réseau
La segmentation traditionnelle du réseau, également appelée macro-segmentation, est généralement réalisée à l'aide de pare-feux et de VLAN internes. Avec la micro-segmentation, le périmètre et les contrôles de sécurité se situent plus près de la ressource (par exemple, workload ou application tierce), ce qui crée des zones sécurisées. La macro- et la microsegmentation du réseau visent essentiellement à limiter le trafic est-ouest (ou interne) dans le datacenter et à prévenir ou ralentir le déplacement latéral des cyberattaquants.
La macro- et la microsegmentation du réseau peuvent être exécutées au moyen de divers éléments :
- Pare-feux matériels (par exemple, pare-feux de segmentation interne), qui définissent les règles régissant la distribution du trafic vers les zones ou segments
- VLAN et listes de contrôle des accès, qui filtrent les accès aux réseaux/sous-réseaux
- Périmètre défini par logiciel, qui rapproche le périmètre de l'hôte en établissant une frontière virtuelle et applique des contrôles granulaires des règles au niveau du workload
Le guide complet sur l'élaboration d'une stratégie de protection des identités
Envie de renforcer la résilience de votre approche en matière de sécurité des identités ? Faites le premier pas et téléchargez le Guide complet sur l'élaboration d'une stratégie de protection des identités pour protéger dès maintenant le paysage des identités numériques de votre entreprise.
Télécharger maintenantAvantages et inconvénients de la macrosegmentation du réseau
Les règles d'accès aux ressources définies par les règles des pare-feux, les VLAN/listes de contrôle des accès et les VPN sont statiques et ciblent exclusivement le trafic entrant et sortant. Ces règles sont rigides et sont incapables d'évoluer ou de s'adapter aux environnements hybrides dynamiques et aux exigences d'accès sécurisé dynamiques qui s'étendent désormais au-delà des périmètres statiques.
| Avantages | Inconvénients |
|---|---|
| L'une des méthodes de segmentation les plus anciennes et les plus largement adoptées, précurseur de l'approche Zero Trust | Utilisation de VLAN et de pare-feux à l'origine de nombreux points d'étranglement au niveau du réseau, ce qui affecte les performances de ce dernier et la productivité de l'entreprise (niveau de friction élevé) |
| Pare-feux matériels traditionnels permettant de contrôler le trafic est-ouest (interne) et nord-sud (de l'extérieur vers l'intérieur du réseau) | Les milliers de règles de pare-feux et de VLAN/listes de contrôle des accès, peuvent rapidement devenir un cauchemar en termes de gestion et de sécurité (processus complexe et propice aux erreurs humaines) |
| Coûts de mise à niveau élevés en termes d'investissements matériels et de frais de personnel | |
| Visibilité centralisée sur site et dans le cloud difficile à atteindre | |
| Ce qui fonctionne en environnement sur site ne fonctionne pas dans le cloud (problèmes de sécurité et de visibilité, surface d'attaque étendue) | |
| Règles granulaires difficiles à mettre en œuvre en l'absence d'informations contextuelles sur la sécurité | |
| Règles rigides, incapables de s'adapter à des environnements dynamiques ou à des changements soudains du modèle métier (télétravail, fusions et acquisitions, cessions, etc.) | |
| Enfermement propriétaire (vendor lock-in) devenant une charge administrative |
Avantages et inconvénients de la micro-segmentation du réseau
Le périmètre est placé plus près de la ressource et les contrôles de sécurité sont appliqués au niveau de l'hôte individuel.
| Avantages | Inconvénients |
|---|---|
| Plateforme et infrastructure indépendantes | Besoin d'agents au niveau de chaque endpoint, workload ou hyperviseur/machine virtuelle |
| Contrôles de sécurité basés sur le contexte avec application de règles granulaires | Avantage des règles granulaires contrebalancé par le nombre considérable de règles qui doivent être créées et gérées pour des milliers de ressources, groupes d'utilisateurs, zones (micro-segments) et applications |
| Plateforme unifiée | Chiffrement de 90 % du trafic, ce qui nécessite un déchiffrement SSL/TLS monopolisant d'importantes ressources pour une parfaite visibilité, ce qui augmente considérablement les exigences de traitement et, par conséquent, le coût d'implémentation et d'opérationnalisation de la segmentation |
| Il est nécessaire de connaître parfaitement l'architecture globale du datacenter (modifications, nouveautés et failles) afin de concevoir des règles sans impact sur la productivité de l'entreprise (exemples de scénarios : transition soudaine vers le télétravail, gestion du retour des collaborateurs sur site après la pandémie, changements à apporter à l'architecture/topologie, impact sur les règles, nouvelles « failles », etc.). | |
| Dispositifs de détection et de prévention des cybermenaces insuffisants ou absents : nécessité d'outils distincts et d'intégration de la cyberveille, de la détection et de la prévention ? |
L'approche de segmentation du réseau, que ce soit par macrosegmentation ou par microsegmentation, présente clairement des avantages et des inconvénients. La segmentation du réseau s'articule autour de nombreux éléments mobiles : pare-feux matériels, périmètres définis par logiciel, contrôles et outils supplémentaires pour l'infrastructure multicloud, et diverses règles d'accès aux ressources qui doivent être gérées et actualisées afin de garder une longueur d'avance sur les attaques et le paysage des cybermenaces en constante évolution.
Changement de cap : de la segmentation du réseau à la segmentation basée sur l'identité
Bien que la segmentation du réseau réduise la surface d'attaque, cette stratégie ne permet pas de se prémunir contre les techniques et tactiques des cyberadversaires lors des phases liées à l'identité de la chaîne d'attaque. La méthode de segmentation qui offre la réduction des risques la plus importante à moindre coût et la plus simple à mettre en place est la segmentation basée sur l'identité.
La protection des identités réduit considérablement les risques de compromissions liés aux cybermenaces modernes, telles que les attaques de ransomwares et de la supply chain, dans lesquelles les identifiants compromis jouent un rôle déterminant. D'après le rapport Cost of a Data Breach 2021 Report d'IBM et du Ponemon Institute, les identifiants volés ou compromis étaient la cause la plus fréquente des compromissions en 2021 et étaient les plus longs à détecter (250 jours en moyenne).
C'est là que la segmentation basée sur l'identité de CrowdStrike aide les entreprises à réduire considérablement leur surface d'attaque en isolant et en segmentant les identités, offrant ainsi une valeur immédiate puisque la majorité des compromissions exploitent des identifiants d'utilisateurs.
Vous ignorez en quoi consiste la segmentation basée sur l'identité ?
Découvrez ce qu'est la segmentation basée sur l'identité, et ce qu'elle n'est pas. Téléchargez également le livre blanc ci-dessous pour comprendre la différence entre la segmentation basée sur l'identité et la segmentation du réseau.
Narendran est directeur du marketing produit pour la protection des identités et le modèle Zero Trust chez CrowdStrike. Il possède plus de 17 ans d'expérience dans le domaine du marketing produit et des stratégies de mise sur le marché, travaillant à la fois pour des start-ups spécialisées dans la cybersécurité et de grandes entreprises comme HP et SolarWinds. Avant cela, il était directeur du marketing produit chez Preempt Security, une société rachetée par CrowdStrike. Narendran est titulaire d'une maîtrise en sciences informatiques de l'université de Kiel, en Allemagne.
