WE love BLOGGING

La Microsegmentation

13/11/2020 - CAPFI 6ème Sens

Laurine MAILLE - Consultante CAPFI 6ème Sens

Le contexte

Historiquement, les datacenters sont organisés comme des châteaux forts à défendre.

Derrière des protections périmétriques tels que les pare-feu, IPS, proxy, etc., le LAN est longtemps resté une zone considérée comme sûre.

Mais aujourd’hui, de plus en plus de services sont exposés au public, et le nombre d’applications s’accroît exponentiellement.

D’autre part, les attaques sont de plus sophistiquées, coordonnant plusieurs vecteurs ; l’introduction d’un malware sur le SI peut être suivi d’une longue phase silencieuse, pendant laquelle le malware se propage sur le SI, rebondissant d’une application à l’autre pour atteindre leur cible : les applications les plus critiques ou “crown jewels” (les joyaux de la couronne).

Ce modèle n’est plus suffisant pour répondre aux menaces d’aujourd’hui.

Pourquoi mettre en place de la microsegmentation ?

La réduction de la surface d’attaque

La microsegmentation donne une visibilité sur tout le système d’information et permet de protéger de façon granulaire les applications. En bloquant les accès depuis des sources non légitimes à des ports ouverts sur les serveurs, elle permet de réduire en pratique la surface d’attaque.

L’intégration de la microsegmentation lors des premières phases de développement permet aussi de s’assurer que les déploiements ou mises à jour d’applications ne créent pas de nouveaux vecteurs d’attaque.

Protection des crown jewels

Les crown jewels, ces applications critiques pour l’entreprise, sont souvent positionnées au coeur du LAN. La microsegmentation permet de les isoler sans avoir besoin de les déplacer dans une zone sécurisée qui leur serait propre.

Réponse aux contraintes réglementaires

Les contraintes réglementaires exigent que les systèmes qui y sont soumis soient isolés du reste du SI. En isolant les applications les unes des autres, la microsegmentation permet de répondre à ces exigences. Les politiques de filtrage mises en place peuvent être intégrées à la documentation présentée lors des audits de conformité.

Le principe : une politique basée sur les applications

La microsegmentation est une nouvelle façon de penser à la politique de sécurité. Plutôt que de considérer que le LAN est une zone de confiance, on fonctionne sur le principe du “Zero Trust”. La politique de segmentation devient plus granulaire et précise.

Contrôle de la communication est-ouest

Les communications est-ouest constituent la majorité des communications qu’on pourra observer dans un SI. La microsegmentation a pour objectif de contrôler ces communications, afin de :

faire respecter les bonnes pratiques de segmentation

par exemple, pas de communication entre les environnements de développement et de production

protéger les ports ouverts exposés en interne même s’ils ne sont pas exposés à l’extérieur

par exemple, n’autoriser l’accès SSH que depuis un serveur d’administration

Ainsi, la compromission d’un élément sera détectée beaucoup plus tôt, grâce à l’analyse de son comportement au sein du SI, ce qui permettra l’isolation de l’élément et une remédiation rapide.

Segmentation des workloads sur la base de leur rôle dans l’application

La microsegmentation base la politique de sécurité sur la compréhension globale des applications et des interactions entre leurs composants, les workloads. Ces workloads sont des serveurs bare-metal, des VM, des containers, voire des process… toutes les unités élémentaire de calcul.

Les workloads sont étiquetés en fonction de leur(s) rôle(s) et de leurs caractéristiques.

A partir de ces étiquettes, on va construire une politique de filtrage qui va autoriser les communications entre les workloads en fonction de leur rôle.

Adaptabilité

L’avantage de cette vue par application et par rôle au sein de l’application, c’est l’adaptabilité de la politique.

Souvent associée à un SDN, la microsegmentation fonctionne très bien dans les environnements actuels, de plus en plus dynamiques, avec des contraintes de scalabilité souvent très forts.

Le provisionning ou la suppression de workloads est très simple : il suffit de donner au nouvel élément les étiquettes correspondant à ses rôles, et la politique sera déclinée automatiquement pour le prendre en compte. Comme l’adresse IP n’entre plus en compte dans la définition de la politique, le ré-adressage de serveurs ou l’instanciation d’un nouvel environnement devient plus simple.

A retenir

La microsegmentation s’ajoute aux éléments de sécurité existants pour donner une meilleure visibilité sur le SI, prévenir et détecter les attaques cyber, et faciliter une réponse rapide. Dans les environnements dynamiques et complexes d’aujourd’hui, elle devient un composant indispensable de l’arsenal de sécurité des entreprises.

Les outils et services de cybersécurité spécifiques au cloud

Slaheddine Djait - Consultant Cybersécurité Sénior

29/11/2020 - Cybersécurité

WAF – Web Application Firewall

Comment filtrer les contenus malveillants et réduire les risques de compromission des applications et serveurs web ? par Lidao

25/06/2020 - CAPFI 6ème Sens

OpenCTI, un incontournable dans l'analyse de la cybermenace

Ayoub Khalifi - Consultant CAPFI 6ème Sens