Qu'est-ce que la segmentation du réseau ?

La segmentation du réseau est une stratégie visant à séparer et à isoler des segments du réseau d'une entreprise afin de réduire la surface d'attaque.

Cependant, compte tenu de l'explosion du nombre d'utilisateurs et de la dynamique des applications et ressources des datacenters modernes, les stratégies de sécurité requièrent aujourd'hui de rapprocher le périmètre de la ressource plutôt que d'adopter une ligne de défense plus large.

La segmentation du réseau est un des concepts clés de la stratégie de sécurité Zero Trust, tout comme les identités, d'après le cadre Zero Trust décrit dans la norme SP 800-207 du NIST.

Macro- et micro-segmentation du réseau

La segmentation traditionnelle du réseau, également appelée macro-segmentation, est généralement réalisée à l'aide de pare-feux et de VLAN internes. Avec la micro-segmentation, le périmètre et les contrôles de sécurité se situent plus près de la ressource (workload ou application tierce, par exemple), ce qui crée des zones sécurisées. La macro- et la micro-segmentation du réseau visent essentiellement à limiter le trafic est-ouest (ou interne) dans le datacenter et à prévenir ou ralentir le déplacement latéral des cyberattaquants.

La macro- et la micro-segmentation du réseau peuvent être exécutées au moyen de divers éléments :

  • Pare-feux matériels (p. ex., pare-feux de segmentation interne), qui définissent les règles régissant la distribution du trafic vers les zones ou segments
  • VLAN et listes de contrôle des accès, qui filtrent les accès aux réseaux/sous-réseaux
  • Périmètre défini par logiciel, qui rapproche le périmètre de l'hôte en établissant une frontière virtuelle et applique des contrôles granulaires des règles au niveau du workload

SEGMENTATION DU RÉSEAU ET SEGMENTATION SELON L'IDENTITÉ

Téléchargez ce livre blanc pour mieux comprendre l'approche de CrowdStrike en matière de segmentation selon l'identité.

Télécharger

Avantages et inconvénients de la macro-segmentation du réseau

Les règles d'accès aux ressources définies par les règles des pare-feux, les VLAN/listes de contrôle des accès et les VPN sont statiques et ciblent exclusivement le trafic entrant et sortant. Ces règles sont rigides et sont incapables d'évoluer ou de s'adapter aux environnements hybrides dynamiques et aux exigences d'accès sécurisé dynamiques qui s'étendent désormais au-delà des périmètres statiques.

AvantagesInconvénients
L'une des méthodes de segmentation les plus anciennes et les plus largement adoptées, précurseur de l'approche Zero TrustUtilisation de VLAN et de pare-feux à l'origine de nombreux points d'étranglement au niveau du réseau, ce qui affecte les performances de ce dernier et la productivité de l'entreprise (niveau de friction élevé)
Pare-feux matériels traditionnels permettant de contrôler le trafic est-ouest (interne) et nord-sud (de l'extérieur vers l'intérieur du réseau)Multiplication des règles de pare-feux et des VLAN/listes de contrôle des accès, pouvant rapidement devenir un cauchemar en termes de gestion et de sécurité (processus complexe et propice aux erreurs humaines)
Coûts de mise à niveau élevés en termes d'investissements matériels et de frais de personnel
Visibilité centralisée sur site et dans le cloud difficile à atteindre
Impossibilité d'appliquer les mesures sur site dans le cloud (failles de sécurité et dans la visibilité, surface d'attaque étendue)
Règles granulaires difficiles à mettre en œuvre en l'absence d'informations contextuelles sur la sécurité
Règles rigides, incapables de s'adapter à des environnements dynamiques ou à des changements soudains du modèle métier (télétravail, fusions et acquisitions, cessions, etc.)
Enfermement propriétaire (vendor lock-in) devenant une charge administrative

Avantages et inconvénients de la micro-segmentation du réseau

Le périmètre est placé plus près de la ressource et les contrôles de sécurité sont appliqués au niveau de l'hôte individuel.

AvantagesInconvénients
Plateforme et infrastructure indépendantesBesoin d'agents au niveau de chaque endpoint, workload ou hyperviseur/machine virtuelle
Contrôles de sécurité basés sur le contexte avec application de règles granulairesAvantage des règles granulaires contrebalancé par le nombre considérable de règles qui doivent être créées et gérées pour des milliers de ressources, groupes d'utilisateurs, zones (micro-segments) et applications
Plateforme unifiéeChiffrement de 90 % du trafic, ce qui nécessite un déchiffrement SSL/TLS monopolisant d'importantes ressources pour une parfaite visibilité, ce qui augmente considérablement les exigences de traitement et par conséquent le coût d'implémentation et d'opérationnalisation de la segmentation
Nécessité de connaître parfaitement l'architecture globale du datacenter (modifications, nouveautés et failles) afin de concevoir des règles sans impact sur la productivité de l'entreprise (exemples de scénarios : suite à la transition soudaine vers le télétravail, comment gérer le retour des collaborateurs sur site après la pandémie ? ; comment l'architecture, la topologie et les règles sont-elles impactées et quelles sont les nouvelles failles de sécurité ?)
Dispositifs doue détection et de prévention des menaces insuffisants absents : nécessité d'outils distincts et d'intégration de la cyberveille, de la détection et de la prévention ?

L'approche de segmentation du réseau, que ce soit par macro-segmentation ou par micro-segmentation, présente clairement des avantages et des inconvénients. La segmentation du réseau s'articule autour de nombreux éléments mobiles : pare-feux matériels, périmètres définis par logiciel, contrôles et outils supplémentaires pour l'infrastructure multicloud, et diverses règles d'accès aux ressources qui doivent être gérées et actualisées afin de garder une longueur d'avance sur les attaques et le paysage des menaces en constante évolution.

Changement de cap : de la segmentation du réseau à la segmentation selon l'identité

Bien que la segmentation du réseau réduise la surface d'attaque, cette stratégie ne permet pas de se prémunir contre les techniques et tactiques des cyberadversaires lors des phases liées à l'identité de la chaîne de frappe. La méthode de segmentation qui offre la réduction des risques la plus importante à moindre coût et la plus simple à mettre en place est la segmentation selon l'identité.

La protection des identités réduit considérablement les risques de compromissions liés aux attaques modernes, telles que les attaques de ransomwares et de la supply chain, dans lesquelles les identifiants compromis jouent un rôle déterminant. D'après le rapport Cost of a Data Breach Report 2021 d'IBM et du Ponemon Institute, les identifiants volés ou compromis étaient la cause la plus fréquente des compromissions en 2021 et étaient les plus longs à détecter (250 jours en moyenne).

C'est là que la segmentation selon l'identité de CrowdStrike aide les entreprises à réduire considérablement leur surface d'attaque en isolant et en segmentant les identités, offrant ainsi une valeur immédiate puisque la majorité des compromissions exploitent des identifiants d'utilisateurs.

Vous ignorez en quoi consiste la segmentation selon l'identité ?

Découvrez ce qu'est la segmentation selon l'identité, et ce qu'elle n'est pas. Téléchargez également le livre blanc ci-dessous pour comprendre la différence entre la segmentation selon l'identité et la segmentation du réseau.

SEGMENTATION DU RÉSEAU ET SEGMENTATION SELON L'IDENTITÉ

Téléchargez ce livre blanc pour mieux comprendre l'approche de CrowdStrike en matière de segmentation selon l'identité.

Télécharger