Le principe de « Zero Trust », « confiance zéro » en français, suppose qu’il n’y a pas de confiance implicite accordée aux actifs ou aux comptes d’utilisateurs uniquement sur la base de leur emplacement physique ou réseau ou sur la propriété des actifs.
Découvrez dans cet article pourquoi la micro-segmentation est la clé d’une architecture confiance zéro ; et c’est pour cela que nous avons écrit le présent article La Micro-segmentation pour la mise en œuvre d’une architecture « confiance zéro ».
Sommaires
Qu’est-ce que la micro-segmentation ?
Pour ceux qui l’ignorent, la micro-segmentation est une technique de segmentation réseau visant à
diviser un réseau et créer des zones sécurisées. Elle permet aux entreprises d’isoler les charges de
travail les unes des autres et d’introduire des contrôles stricts sur l’accès interne aux données
sensibles.
Les organisations font le choix de la mise en œuvre de la micro-segmentation, parce qu’elle est la
plus adaptée pour bloquer les mouvements latéraux, telles que les menaces internes et les
ransomwares, et c’est loin d’être neutre, dans le cas actuel de la cybersécurité.
Si les entreprises s’appuient depuis longtemps sur les pare-feu, les VLAN et les listes de contrôle
d’accès (ACL) pour segmenter leur réseau, la micro-segmentation, elle, adopte une approche
différente qui consiste à subdiviser le réseau en sections de sécurité logiques distinctes jusqu’au
niveau des charges de travail individuelles.
Pour segmenter un réseau à l’aide de cette technique ou approche, les entreprises utilisent des
réseaux définis par logiciel (software-defined networks ou SDN) tels que Cisco ACI par exemple. Les solutions SND permettent également d’introduire des règles de politique sans ajouter de nouveau matériel.
L’approche de défense périmétrique (historique, n’est plus vraiment d’actualité (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels SaaS,Pass, etc etc . En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche obsolète pour ne dire insufisante et surtout inefficace.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage, et aux évolutions des technologies du marché.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources. L’un des outils, parmi les plus connus permettant cette évolution est la micro-segmentation.
En bref nous pouvons écrire que le fait d’utiliser la micro-segmentation, permet aux responsables des services informatiques, de déployer des règles de sécurité flexibles et rassurantes a un niveau profond du Data Center, en s’appuyant sur les techniques de la virtualisation des réseaux, au lieu de faire installer des pare-feux physiques ici et là (et qui seraient multiples).
Plusieurs approches possibles pour la mise en œuvre de la micro-segmentation ; Il existe plusieurs approches de la micro-segmentation. Mais dans cet article, nous n’évoquerons que les trois des approches principales.
-
MICRO-SEGMENTATION BASEE SUR LE RESEAU
La micro-segmentation basée sur le réseau est une mise en œuvre qui consiste à utiliser des
périphériques réseau comme points d’application. Elle s’appuie sur des sous-réseaux, des VLAN ou
une autre technologie de balisage pour créer les segments. Une fois les segments créés, les
politiques sont ensuite configurées et appliquées à l’aide de constructions IP ou d’ACL (listes de
contrôle d’accès). Notez qu’avec cette approche, les politiques sont généralement appliquées aux
sous-réseaux ou aux VLAN plutôt qu’aux hôtes individuels.
-
MICRO-SEGMENTATION BASEE SUR L’HYPERVISEUR
La micro-segmentation basée sur un hyperviseur est une approche de micro segmentation dont la
mise en œuvre s’effectue à l’aide d’hyperviseurs dans un environnement virtualisé pour créer les
segments. Cette deuxième approche ressemble beaucoup à la première ; la seule différence est
qu’elle s’appuie sur des périphériques hyperviseur au lieu de périphériques réseau.
-
MICRO-SEGMENTATION BASEE SUR L’HOTE
La micro-segmentation basée sur l’hôte se sert du pare-feu native intégré au système d’exploitation
du réseau pour fournir une micro-segmentation distribuée et fine.
Si vous voulez une architecture de sécurité Zero Trust, sachez que l’approche de la micro-
segmentation basée sur l’hôte est la mieux adaptée pour atteindre cet objectif.
La Confiance Zéro, c’est quoi ?
La « Confiance Zéro » est tout simplement une norme de sécurité dont la règle est « ne jamais faire
confiance, mais toujours vérifier ». Pour assurer la sécurité du réseau, elle suppose donc qu’aucun
utilisateur ou appareil n’est digne de confiance et que la vérification des identifiées doit être stricte
et faite systématiquement.
Notez qu’avec l’approche de sécurité traditionnelle de réseau, généralement tous les appareils et
applications et même les utilisateurs sont approuvés par défaut. Le principal défaut de cette
approche est qu’une fois qu’un attaquant a franchi le périmètre de sécurité, il est totalement libre de
se déplacer au sein du réseau et accéder facilement aux données et outils sur le réseau.
Les principes de base du Zero Trust
Une architecture Zero Trust est conçue et déployée en respectant les principes de base Zero Trust
suivants :
1. Toutes les sources de données et tous les services informatiques sont considérés comme des
ressources. Par ailleurs, tous ceux qui souhaitent accéder aux ressources passent systématiquement par un système de vérification d’identité.
2. Il est important que toutes les communications soient sécurisées quel que soit l’emplacement du
réseau. Les demandes de connexion provenant d’actifs situés sur l’infrastructure réseau de
l’entreprise au même titre que les demandes de connexion provenant d’actifs d’autres réseaux
doivent donc passer par des vérifications strictes d’identité. En d’autres termes, la confiance ne doit
pas être automatiquement accordée en fonction du fait que l’appareil se trouve sur l’infrastructure
réseau de l’entreprise.
3. L’accès aux ressources d’entreprise est accordé session par session. Par ailleurs, la confiance dans le demandeur est évaluée avant que l’accès ne soit accordé. Et aussi, l’accès doit également être accordé avec le minimum de privilèges nécessaires pour effectuer la tâche.
4. L’accès aux ressources par les demandeurs (utilisateurs, applications…) est déterminé par une
politique dynamique qui prend en compte les attributs environnementaux et comportementaux des
demandeurs et des composants du réseau en général.
5-Afin d’améliorer la sécurité, l’entreprise doit mettre en œuvre un système qui va en permanence
surveiller l’état des appareils et des applications et qui va aussi appliquer des correctifs/correctifs si
nécessaire.
6. Toutes les authentifications et autorisations de ressources sont dynamiques et strictement
appliquées avant que l’accès ne soit autorisé.
Les apports de la micro-segmentation à une approche confiance zéro
Pour la mise en œuvre d’une infrastructure confiance zéro, les entreprises procèdent généralement
en plaçant leurs ressources ou bien un groupe de ressources sur un segment de réseau sécurisé,
protégé par un composant de sécurité de passerelle.
Avec cette approche, des dispositifs d’infrastructure tels que des commutateurs intelligents et des
pare-feu de nouvelle génération ou encore des dispositifs de passerelle à usage spécifique sont aussi placés pour protéger chaque ressource.
L’autre alternative, et sans aucun doute la plus sûre pour la mise en œuvre d’une infrastructure
confiance zéro est bien évidemment la micro-segmentation basée sur l’hôte, comme évoqué déjà
plus haut. À l’aide d’agents logiciels ou de pare-feu qui vont être déployés sur les actifs du terminal,
les administrateurs réseau peuvent procéder à la micro segmentation du réseau et faire en sorte que celui-ci obéit aux principes de la confiance zéro.
Comme expliqué plus haut, la micro-segmentation est l’approche de segmentation la plus sûre pour
empêcher les mouvements latéraux des attaquants dans un réseau. Pour information, on parle de mouvement latéral quand un attaquant utilise des comptes non sensibles pour obtenir l’accès à des
comptes sensibles dans votre réseau. En plus de cela, les dispositifs qui permettent sa mise en œuvre offrent aussi la possibilité de traiter de manière dynamique les demandes d’accès vendant des différents demandeurs. Ces quelques raisons font que la micro-segmentation est un élément
important pour la mise en œuvre d’une architecture « confiance zéro ».
Auteur Antonio Rodriguez, Editeur & Directeur de Clever Technologies