La microsegmentation permet aujourd'hui à une organisation de protéger son infrastructure et ses données en créant des bulles applicatives qui permettent d'appliquer à chaque segment de l'infrastructure des règles de sécurité, de gouvernance et de compliance strictes. En somme, la microsegmentation permet de dire à un niveau de granularité allant jusqu'à la charge de travail individuelle qui peut faire quoi, avec quel niveau de privilège, de ne faire confiance uniquement qu'aux utilisateurs autorisés, et d'exclure les autres, donc d'appliquer stricto sensu les règles du Zero Trust. L'approche Zero Trust, portée par la microsegmentation, vient ainsi remplacer les précédentes approches de sécurité dites "périmétriques", aujourd'hui dépassées, qui s'appuyait sur une protection autour du SI, et non en son sein.
Qu'est ce que la sécurité Zero Trust?
C’est en 2010 que John Kindervag, analyste du cabinet américain Forrester Research, a proposé la solution du « Zero Trust » comme mode opératoire privilégié de protection des données. C’était à l’époque un véritable changement de paradigme : la règle « Faire confiance, mais vérifier » devenait désormais « Ne jamais faire confiance, toujours vérifier ». Dans le modèle Zero Trust, aucun utilisateur ou terminal n'est autorisé à accéder à une ressource tant que son identité et son accréditation ne sont pas vérifiées.
Zero Trust vs Microsegmentation
Comme l'explique l'Agence National pour la Sécurisation des Systèmes d'Information (ANSSI) : "dans la logique d'une approche Zero Trust, un cloisonnement des ressources plus granulaires et dynamiques est nécessaire. Cette microsegmentation réunit les ressources en groupes qui ont une signification métier et le filtrage des flux entre ces groupes devient indépendant des adresses IP des ressources. Cette couche d’abstraction supplémentaire permet d’adapter la protection des ressources au plus juste besoin de protection, car toutes les ressources sont cloisonnées en fonction de leur rôle, de leur sensibilité et de leur exposition aux menaces." Cette fameuse couche d'abstraction s'appuie sur la microsegmentation pour pouvoir appliquer des règles strictes au niveau des charges de travail, que ce soit dans le data center, sur le cloud, ou le Edge. En soit, difficile de mettre en place du Zero Trust à un niveau granulaire sans avoir à passer par la microsegmentation.
Alors que 78 % des organisations ont été victimes d'une ou plusieurs cyberattaques et ransomwares réussies en 2021 et sachant que chaque violation de données coûte en moyenne 3,86 millions de dollars, le renforcement des politiques de sécurité, la réduction de la surface d'attaque et la mise en place d’une stratégie zéro trust deviennent des impératifs pour beaucoup d’entre elles aujourd’hui. En permettant d'accélérer et de répondre à une grande partie de ces enjeux, tout en facilitant le déploiement des stratégies multi cloud, la microsegmentation s'affirme comme un indispensable.
Quels sont les avantages de la microsegmentation
L’avantage principal de la microsegmentation réside dans sa capacité à appliquer un contrôle strict des accès et du trafic est-ouest au sein du datacenter et des environnements cloud privés, publics ou hybrides pour réduire la surface d'attaque. En segmentant l'infrastructure en de multiples petites entités isolées les unes des autres, la microsegmentation multiplie les efforts que doivent fournir les hackers pour accéder à ce qui les intéresse. Une fois correctement configurées, les politiques de microsegmentation peuvent par ailleurs être largement automatisées et poussées de manière centralisée vers différentes infrastructures compatibles. Concrètement, la microsegmentation va ainsi permettre répondre à plusieurs problématiques:
Réduire la surface d'attaque
En empêchant les déplacements latéraux non autorisés au sein du datacenter, la microsegmentation permet de circonscrire plus facilement les failles qui peuvent affecter les systèmes d'information et de réduire la surface d'attaque. Elle empêche ainsi les attaquants qui souhaiteraient exploiter ces failles de les utiliser pour se propager plus loin dans le SI une fois qu'ils ont pu l'exploiter. Même si un segment du SI est compromis, ils pourront difficilement accéder aux autres. Par ailleurs, les solutions de microsegmentation permettent d'appliquer des mesures de remédiation lorsque des attaques sont détectées, par exemple en isolant définitivement les zones impactées du reste du SI jusqu'à résolution de l'incident.
Une meilleure compliance
En permettant une gestion granulaire des accès aux applications et aux charges de travail, la microsegmentation assure que seuls les utilisateurs autorisés peuvent accéder aux ressources dont ils ont besoin, et seulement celles-ci. Dans le cadre de la mise en place de politiques de gouvernance et de compliance, cette capacité est un atout majeur qui prévient de nombreux manquements, notamment en matière d'accès aux données sensibles, de traçabilité et de transparence. Par ailleurs, même avec l'usage du cloud, il est possible d'isoler les segments de l'infrastructure contenant des données réglementées et l'utilisation conforme peut être étroitement appliquée.
Une gestion des politiques simplifiée
L'utilisation des solutions de micro segmentation, associées aux plateformes de type Active Directory permet également d'avoir une gestion plus fine des politiques IT à travers le datacenter et les clouds. Il est possible de gérer, de déployer et d'automatiser ces politiques directement à travers la solution de microsegmentation pour assurer leur respect à travers l'ensemble de l'infrastructure IT prise en charge.
La microsegmentation est donc aujourd'hui en train de devenir la nouvelle norme pour la protection des réseaux et des infrastructures. Elle est non seulement une réponse aux manquements croissants de la sécurité périmétrique, mais est également plus rentable, tant en termes de coûts opérationnels que de main-d'œuvre.
Comment implémenter la Microsegmentation ?
Pour initier un projet de microsegmentation, il est toutefois nécessaire d'avancer prudemment et de détailler précisément les plans de déploiement. La première chose à faire est de comprendre ce qui doit être segmenté, et pourquoi : l'objectif premier est-il de réduire les risques liés aux cyberattaques, de se mettre en conformité, de supporter des stratégies de déploiements multicloud, etc.
La visibilité de trafic Inter-VM est primordiale pour mettre en place la microsegmentation, sans cette visibilité il est opérationnellement complexe voire impossible d’implémenter les politiques de sécurité, d’autant plus que souvent les flux échangés entre les applications ne sont pas documentés.
Le module Nutanix Security Central embarque par défaut cette couche d’analyse et de cartographie, il va même jusqu’à faire la recommandation des politiques de sécurité grâce au Machine Learning. Ce même module permet de vérifier la conformité de vos environnements et de détecter les menaces sur la base de l'analyse de trafic réseau.
La Microsegmentation fournit un contrôle et une gouvernance granulaires de tout le trafic entrant et sortant d'une VM ou d’un groupe de VMs. Il garantit que seul le trafic autorisé entre les niveaux d'application ou d'autres limites logiques est autorisé et protège des menaces se propageant au sein de l'environnement virtuel.
La microsegmentation se distingue des Firewalls périmétriques traditionnels en permettant d’attacher les politiques de sécurité aux VMs et aux applications, plutôt qu’aux segments réseau (VLANs) ou adresses IP. Grâce à la gestion centralisée offerte par Prism Central, les stratégies sont mises à jour automatiquement tout au long du cycle de vie de la machine virtuelle, ce qui élimine les tâches de gestion du changement.
Dans Prism Central, vous utilisez des catégories pour regrouper logiquement des machines et appliquer des stratégies. Les politiques sont appliquées sur plusieurs clusters AHV, elles ne se limitent pas à un seul cluster.
La micro-segmentation fonctionne à une protection est-ouest, c'est-à-dire dans le centre de données, le flux de données latéral. Les règles sont toujours activées et déployées de manière dynamique. Les autorisations et bloquage de flux se produisent au niveau de la vNIC vers le commutateur virtuel, appliqués à la machine virtuelle. Les règles n'ont pas besoin d'être configurées par les adresses IP, elles peuvent être appliquées à des catégories qui incluent des machines virtuelles, ce qui signifie que la machine virtuelle peut se déplacer et changer son adresse IP tout en étant protégée.
Il existe 3 types de politiques:
- Quarantaine - Restriction des connexions réseau à certaines ressources par intervention manuelle ou peut être automatique via des scripts appelant l'API suite à une alerte anti-malware par exemple.
- Isolation - empêche deux groupes définis de machines virtuelles de communiquer entre eux
- Application - politiques la plus flexible, définissant les sources de trafic entrant et les destinations sortantes pour une seule application ou un groupe d’applications
Quelques cas d'usage de la microsegmentation
La microsegmentation s'applique ainsi aujourd'hui à un très large éventail de cas d'usage, qui sont par ailleurs en pleine expansion. Voici donc quelques exemples qui ont aujourd'hui déjà démontré toute leur pertinence :
Séparer environnements de développement et de production: Dans le meilleur des cas, les entreprises séparent soigneusement les environnements de développement, de test et de production. Cependant, il est compliqué d'empêcher certains actes parfois qualifiés d'irréfléchis, comme le fait que des développeurs piochent des informations clients dans les bases de données de production tester les solutions en développement, une pratique qui a déjà mené à plusieurs fuites. La microsegmentation peut ainsi imposer une séparation plus stricte en limitant de manière granulaire les connexions entre les deux environnements de développement et de protection et ainsi mieux contrôler les accès.
Sécurisation des actifs IT stratégiques: Face aux cybermenaces, les entreprises ont un intérêt croissant à protéger leurs actifs IT critiques tels que les informations confidentielles des clients et des employés, la propriété intellectuelle et les données financières de l'entreprise, tant pour protéger leur activité que leur réputation. La microsegmentation ajoute un autre niveau de sécurité pour se défendre contre l'exfiltration de données ou toutes autres tentatives d'intrusions malveillantes susceptible d'impacter les activités de l'entreprise.
Gestion du cloud hybride: La microsegmentation fournit une protection transparente pour les applications qui couvrent plusieurs clouds et facilite la mise en œuvre des politiques de sécurité du cloud uniformes dans des environnements composés de plusieurs datacenters et fournisseurs de services de cloud.
Réponse aux incidents: Comme indiqué précédemment, la microsegmentation limite les mouvements latéraux des menaces et l'impact des failles. En outre, les solutions de microsegmentation, associées à des solutions de type SIEM, fournissent des informations sur les logs pour aider les équipes de remédiation et de forensic à mieux comprendre les tactiques d'attaque. Grâce à la télémétrie, elles aident également à localiser les violations de sécurité dans des applications spécifiques.
Conclusion
La sécurité est aujourd'hui un enjeu majeur des entreprises qui doivent s'assurer que tout est mis en œuvre pour assurer la protection de leurs actifs, de leurs employés et de leurs clients. Dans cette optique, l'adoption d'une stratégie zéro trust devient une priorité pour les équipes IT qui souhaitent garantir un niveau de protection optimale et la microsegmentation est aujourd'hui une part importante de cette stratégie. Nutanix propose aujourd'hui des solutions de sécurité et de microsegmentation qui repose sur une solide base logicielle pour répondre à ces enjeux dans les environnements privés, hybrides et multicloud.
Related Products and Solutions
Flow Network Security
Flow Network Security permet de créer facilement des pare-feux balisés axés sur Zero Trust (microsegmentation) pour segmenter et protéger vos utilisateurs, vos applications et vos données contre les cybermenaces sans perturber votre infrastructure actuelle.
Nutanix Objects
Nutanix Objects (service de stockage compatible S3) offre plus de sécurité en cas d'attaque par des ransomware car le service object peut rendre les sauvegardes non modifiables et donc non chiffrables.