retour au glossaire

Qu'est-ce que

Segmentation du réseau

?

Pourquoi nous avons besoin de segmenter le réseau

Pour répondre à cette question, nous nous référons souvent à un exemple courant : comment un sous-marin utilise des compartiments pour rester en état de navigabilité en cas de brèche dans un compartiment. La brèche est confinée à ce compartiment unique et le sous-marin ne coule pas, grâce au compartimentage (ou segmentation) du navire.

A submarine with separate compartments

Dans le contexte de nos environnements informatiques, la segmentation du réseau empêche les attaquants ou les menaces de se propager ou se déplaçant latéralement, ou « est-ouest », dans les centres de données, les clouds ou les réseaux de campus. Une menace sera limitée au segment réseau ou au segment hôte qui a été mis en place, de sorte que les attaquants ne peuvent pas se déplacer vers d'autres parties de l'environnement. Les petits incidents de sécurité sont maîtrisés, ce qui signifie que les entreprises sont mieux protégées contre les violations.

Types de segmentation du réseau

Segmentation du réseau :

La segmentation a longtemps été réalisée en créant des segments dans des réseaux avec des VLAN ou des sous-réseaux. Les réseaux locaux virtuels (VLAN) créent des segments de réseau plus petits, tous les hôtes étant connectés virtuellement les uns aux autres comme s'ils se trouvaient sur le même réseau local. Les sous-réseaux utilisent des adresses IP pour partitionner un réseau en sous-réseaux plus petits, connectés par des périphériques réseau. Ces approches permettent non seulement d'améliorer les performances du réseau, mais également de contenir les menaces susceptibles de se propager au-delà d'un VLAN ou d'un sous-réseau particulier.

Ces approches présentent deux défis majeurs. Le premier est le fait que les réseaux doivent souvent être réaménagés pour répondre aux besoins de segmentation. Le second est la complexité de la programmation et de la gestion des milliers de règles de liste de contrôle d'accès (ACL) présentes sur les périphériques réseau nécessaires à la création de sous-réseaux.

Segmentation du pare-feu :

Au lieu d'utiliser le réseau pour appliquer la segmentation, les pare-feux constituent une autre option. Les pare-feux sont déployés au sein d'un réseau ou d'un centre de données pour créer des zones internes afin de segmenter les zones fonctionnelles les unes des autres afin de limiter surfaces d'attaque, empêchant ainsi les menaces de se propager au-delà d'une zone. Un exemple pourrait être de séparer les applications d'ingénierie des applications financières. Un autre exemple courant est la protection des zones sensibles où PCI des données résident, par exemple.

Les administrateurs réseau et de sécurité connaissent bien les pare-feux déployés à la périphérie. Cependant, ils ont tendance à introduire une complexité considérable lorsque les mêmes pare-feux sont utilisés pour la segmentation interne.

Cela est dû aux milliers de règles de pare-feu nécessaires pour segmenter les réseaux internes. Un autre facteur à prendre en compte est le risque d'une mauvaise configuration du pare-feu susceptible de détruire une application et de nuire à l'entreprise. Un autre inconvénient de l'utilisation de pare-feux pour la segmentation est le coût considérable qu'ils imposent puisqu'ils sont achetés par paires pour plusieurs sites, coûtant souvent des millions de dollars.

Segmentation avec SDN :

Réseau défini par logiciel (SDN) est utilisé pour améliorer l'automatisation et la programmabilité du réseau grâce à des contrôleurs centralisés qui sont extraits du matériel physique du réseau. Certains opérateurs de réseau cherchent à obtenir une segmentation à partir de leur implémentation de superposition réseau SDN en l'utilisant pour créer des politiques visant à canaliser les paquets via un ensemble distribué de pare-feux.

Segmentation

L'inconvénient réside dans le haut niveau de complexité qu'elle nécessite pour réussir la microsegmentation, en particulier lorsque les applications ne s'insèrent pas dans les limites du réseau. Le SDN est axé sur la politique du réseau plutôt que sur la visibilité de sécurité des charges de travail et des flux d'applications que d'autres approches abordent.

Microsegmentation :

Une autre méthode pour accéder à un réseau segmenté consiste à appliquer la réglementation en utilisant la charge de travail de l'hôte, plutôt que des sous-réseaux ou des pare-feux. Chaque système d'exploitation de charge de travail du centre de données ou du cloud contient un pare-feu dynamique natif, tel que iptables sous Linux ou Windows Filtering Platform sous Windows. Cette approche tend à utiliser des modèles de liste blanche qui bloquent tout le trafic sauf ce qui est autorisé. La microsegmentation est également parfois appelée segmentation basée sur l'hôte ou segmentation de sécurité.

Micro-Segmentation

La segmentation basée sur l'hôte utilise la télémétrie de la charge de travail pour créer un carte d'environnements et d'applications informatiques dans le cloud et sur site. Cette carte permet de visualiser ce qui doit être protégé et de mettre en place une politique de segmentation automatisée. Cette approche utilise des étiquettes lisibles par l'homme par rapport à des adresses IP ou à des règles de pare-feu pour créer une politique. L'un des avantages est la possibilité d'appliquer la segmentation jusqu'au niveau du processus, de manière plus granulaire que de simples ports spécifiques.

Les personnes initiées à la segmentation basée sur l'hôte nécessitent une période d'adaptation. La plupart des nouveaux utilisateurs sont familiarisés avec les pare-feux et les concepts de mise en réseau, mais estiment qu'il est nécessaire de se former à une nouvelle méthode pour créer des politiques et appliquer la segmentation au niveau de l'hôte.

Qui doit segmenter les réseaux ou les environnements ?

Les organisations soucieuses de la sécurité et de la conformité doivent mettre en place une segmentation pour protéger leurs environnements contre les violations en limitant les mouvements latéraux des attaquants.

Les organisations qui doivent se conformer aux normes de conformité en matière de cybersécurité du secteur de la santé ou aux normes PCI sont deux exemples éloquents de la nécessité de disposer de réseaux segmentés :

  • Organisations de santé doit protéger les données PHI, conformément aux cadres de conformité en matière de cybersécurité des soins de santé. Des cadres de sécurité communs existent pour aider les établissements de santé et leurs prestataires à démontrer leur sécurité et leur conformité de manière cohérente et rationalisée. Les principaux contrôles de sécurité qui doivent être mis en œuvre incluent la segmentation ou la ségrégation des réseaux, l'isolation des systèmes sensibles, la cartographie précise et le contrôle des connexions réseau.
  • Conformité à la norme PCI les normes obligent les commerçants et autres entreprises à traiter les informations relatives aux cartes de crédit de manière sécurisée afin de réduire le risque de violations de données concernant les informations sensibles des comptes financiers des titulaires de cartes. Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) les efforts de conformité incluent la segmentation du réseau pour isoler les composants du système au sein d'un environnement de données des titulaires de carte (CDE). Par exemple, cela peut impliquer de séparer les systèmes concernés des systèmes hors du périmètre ou de gérer l'accès entre les systèmes ou réseaux concernés. La bonne segmentation du réseau peut également réduire le nombre de systèmes concernés par la norme PCI DSS dans un premier temps.

Quel est un exemple de segmentation ?

Il existe de nombreux bons exemples de la manière dont la segmentation peut contribuer à réduire les surfaces d'attaque et la perspective d'une violation très médiatisée. Les organisations peuvent mettre en œuvre segmentation des applications pour segmenter une application du reste des environnements. Comme indiqué, la segmentation peut être utilisée pour séparer les systèmes PCI, SWIFT ou de santé du reste de l'environnement. Séparation environnementale est également courant lorsque les organisations segmentent leur environnement de production de l'environnement de développement.

Avantages de la segmentation du réseau

Meilleures performances du réseau : Un réseau segmenté peut améliorer les performances du réseau en limitant le trafic spécifique aux seules parties du réseau qui ont besoin de le voir.

Surface d'attaque réduite : Le mouvement latéral de l'attaquant est limité par la segmentation du réseau qui empêche la propagation de l'attaque. Par exemple, la segmentation garantit que les programmes malveillants présents dans une section n'affectent pas les systèmes d'une autre.

Périmètre de conformité réduit : La segmentation réduit le nombre de systèmes concernés, limitant ainsi les coûts liés à la conformité réglementaire.

En savoir plus

Découvrez comment Plateforme de segmentation Illumio Zero Trust arrête la propagation des rançongiciels et des violations et protège les données, les utilisateurs, les appareils, les charges de travail et les réseaux.

retour au glossaire

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus