5 raisons pour lesquelles votre équipe chargée de l'infrastructure adorera la microsegmentation
Beaucoup admettront volontiers que, dans un monde idéal, une segmentation accrue et plus stricte permettra d'améliorer les résultats en matière de sécurité. Malheureusement, dans le monde réel, la segmentation a été longue, complexe et coûteuse. Les équipes chargées des applications ont du mal à fournir les informations dont les équipes chargées de l'infrastructure ont besoin, et rien ne peut se passer tant que toute la logique métier n'a pas été traduite en adresses IP et vérifiée manuellement. Heureusement, microsegmentation offre une meilleure solution et supprime une grande partie de la charge opérationnelle liée au renforcement des contrôles de segmentation.
Examinons cinq avantages dont bénéficient les équipes chargées de l'infrastructure.
1. Plus de réseaux VLAN pour des raisons de sécurité
La microsegmentation déplace le point d'application de la segmentation du réseau vers les instances de l'application. Cela signifie que la politique de segmentation existe indépendamment des sous-réseaux, VLAN ou zones existants. Du point de vue purement réseau, les grands réseaux plats fonctionnent bien, s'adaptent parfaitement et sont simples à gérer. La politique de sécurité préfèrerait disposer de petits réseaux étroitement limités, qui seraient alors difficiles à gérer. La microsegmentation permet de résoudre cette impasse. Vous pouvez avoir une segmentation fine et une structure VLAN simple une fois que la segmentation ne dépend plus de l'application du réseau.
2. Plus aucune ACL à gérer
La microsegmentation définit la politique de segmentation par étiquettes et métadonnées, et non par adresses IP. Enfin, personne n'a besoin de traduire manuellement les noms de serveurs ou d'applications et les adresses IP lors de la rédaction d'une politique ! Lorsque la microsegmentation fait abstraction de la définition des politiques des structures de réseau, l'ensemble du processus d'élaboration des politiques devient plus simple et plus rapide. Politiques de microsegmentation spécifiées dans un liste d'autorisation Les modèles présentent l'avantage supplémentaire d'éviter les considérations relatives à l'ordre des règles et de favoriser l'héritage des politiques. Dans l'ensemble, une politique de microsegmentation est plus rapide, plus simple et plus facile qu'une ACL traditionnelle, tout en offrant un contrôle plus strict.
3. Obtenir la topologie des applications pour toutes les applications
Bien qu'elles contiennent un enregistrement de l'ensemble du trafic, les données de flux réseau ne sont pas bien adaptées à la compréhension du comportement des applications. La microsegmentation produit une carte de dépendance des applications indépendante de la topologie du réseau sous-jacent. Même les applications réparties sur plusieurs centres de données ou sites cloud sont visualisées comme une seule instance d'application. Cette clarté simplifie les conversations au sein de l'organisation, en particulier avec les équipes chargées des applications, du DevOps et de la sécurité qui ne sont pas directement concernées par la topologie du réseau. En particulier lors de l'élaboration d'une politique de segmentation, cette compréhension partagée rationalise les conversations d'approbation et la prise de décisions politiques.
4. Segmentation automatique
Les meilleures règles de segmentation sont peut-être celles que personne n'a à écrire ou à ajuster. Étant donné que la microsegmentation spécifie la politique dans les étiquettes et les métadonnées, vous pouvez automatiser l'ensemble de la politique. Lorsque le moteur de politique de microsegmentation reçoit des appels d'API l'informant de nouveaux appareils ou de changements d'adresse IP, il recalcule et distribue automatiquement les règles de segmentation nécessaires. La politique de sécurité sera constamment et continuellement mise à jour. Les étiquettes sont facilement intégrées aux flux de travail DevOps pour l'instanciation des serveurs, et lorsqu'elles sont ainsi intégrées, la politique est automatiquement calculée et ajustée pour chaque serveur créé ou démonté.
5. Répondez à la demande des responsables de la sécurité en matière de segmentation plus fine sans difficultés opérationnelles
Un architecte de sécurité préfèrera presque toujours davantage de segmentation à une moindre segmentation. Le seul défi est que, sans microsegmentation, une politique de segmentation plus granulaire coûte très cher aux équipes chargées des opérations d'infrastructure. Lorsque la politique de segmentation ne dépend plus de l'application du réseau, des adresses IP ou des flux de données dérivés du réseau, la charge opérationnelle est considérablement réduite. Une fois que les outils de rédaction de politiques, l'automatisation et la visibilité améliorent le projet, même une segmentation très étroite peut être réalisée sans les maux de tête attendus.
La segmentation à l'aide de listes de contrôle d'accès nécessite beaucoup de temps et d'efforts. La microsegmentation allège la charge de travail et, grâce au contrôle d'accès basé sur les rôles, elle permet de répartir la charge entre les équipes chargées des applications, du DevOps, de la sécurité et de l'infrastructure. Une demande de segmentation qui aurait pu être considérée comme trop coûteuse avec les ACL traditionnelles devient beaucoup plus facile avec la microsegmentation.
Traditionnellement, la segmentation s'est révélée difficile, à tel point que des considérations opérationnelles déterminent souvent ce qui est faisable. Mais la microsegmentation offre la possibilité agréable d'avoir à la fois une politique de segmentation plus stricte et une charge opérationnelle plus légère. La microsegmentation supprime l'application des politiques du réseau. Il redéfinit les politiques sans dépendre des adresses IP, facilite l'automatisation des politiques et fournit des outils de visualisation et de rédaction de politiques utiles.
Dans l'ensemble, une équipe chargée de l'infrastructure peut satisfaire les collègues chargés de la sécurité qui ont besoin de demander une politique précise. En fait, la microsegmentation offre aux équipes chargées de l'infrastructure la meilleure nouvelle possible : vous pouvez supprimer la segmentation de l'infrastructure réseau.
Pour en savoir plus, consultez notre papier sur le découplage de la segmentation de l'infrastructure réseau.