À quoi s'attendre lors du démarrage de la microsegmentation
Selon Gartner, « D'ici 2026, 60 % des entreprises travaillant vers une architecture Zero Trust utiliseront plus d'une forme de déploiement de microsegmentation, contre moins de 5 % en 2023. »
La microsegmentation est essentielle à la confiance zéro. Vous ne pouvez pas atteindre la confiance zéro sans elle.
En fait, John Kindervag, le créateur de Zero Trust, a abordé le lien entre la confiance zéro et la segmentation dans le deuxième rapport jamais écrit sur le sujet, Intégrez la sécurité à l'ADN de votre réseau : l'architecture réseau Zero Trust. Dans le rapport, il a déclaré : « De nouvelles méthodes de segmentation des réseaux doivent être créées car tous les réseaux futurs doivent être segmentés par défaut ».
Si vous créez une architecture Zero Trust, la microsegmentation devrait être un élément crucial de votre plan. Voici les 10 choses que vous pouvez vous attendre à faire lorsque vous débutez avec la microsegmentation.
1. Bénéficiez d'une visibilité sur l'ensemble du trafic des charges de travail dans tous les environnements
La première étape, et l'une des plus importantes, de la création d'une microsegmentation consiste à être en mesure de savoir ce qui se passe sur tous les segments de votre réseau. Comment visualisez-vous l'ensemble du trafic entre toutes les charges de travail dans vos environnements de cloud, de terminaux et de centres de données ? Il est essentiel de pouvoir atteindre ce niveau de visibilité à n'importe quelle échelle sans un flux de travail trop complexe.
Vous pouvez essayer d'utiliser différents outils de visibilité pour les différents segments de votre réseau. Mais l'utilisation de plusieurs outils créera une vue fragmentée. Il peut donc être difficile de comprendre le comportement dans tous les segments, partout dans le monde.
Trouvez plutôt une solution capable de découvrir le trafic sur tous les segments et de l'afficher dans une seule vue. Par exemple, Illumio peut vous aider à voir qui parle à qui sur quels ports afin que vous puissiez découvrir toutes les dépendances.
Grâce à ces informations, vous pouvez trouver les « portes ouvertes » de votre réseau, décider du trafic requis, puis refuser tout autre trafic par défaut.
2. Comprenez comment les applications communiquent
La plupart des gens s'accordent à dire que Zero Trust est une bonne idée, mais comment savoir quel trafic est requis avant de décider lequel protéger ? Il n'est pas toujours facile de savoir quelles applications s'exécutent sur votre réseau et quels ports elles doivent utiliser.
Avec une solution telle qu'Illumio, vous pouvez découvrir quelles applications s'exécutent sur toutes les charges de travail et quels ports elles utilisent. Cela fournit un inventaire complet de toutes les applications et de leurs dépendances sur votre réseau afin que vous puissiez décider comment appliquer la politique de segmentation.
3. Verrouillez vos ressources les plus critiques et les plus risquées
Les points d'entrée de votre réseau ne sont pas tous sous votre contrôle direct. Bien qu'un centre de données pour un réseau de campus puisse disposer de contrôles stricts, les ressources du cloud ou l'accès tiers des partenaires sont souvent moins sécurisés.
De nombreuses menaces proviennent de ces environnements moins sécurisés, car ils restent souvent ouverts en raison d'une erreur humaine. N'importe lequel de ces points d'accès peut être le premier pas d'un attaquant, permettant aux menaces de se déplacer sur votre réseau vers vos actifs de grande valeur.
C'est là qu'une solution de microsegmentation telle qu'Illumio peut vous aider à sécuriser ces parties vulnérables de votre réseau. Quel que soit l'endroit où se produit une faille, la microsegmentation l'empêchera d'atteindre les ressources critiques que vous avez segmentées. La brèche sera isolée de l'autre côté de ce segment afin qu'elle ne puisse pas causer d'autres dommages.
4. Étiquetez les charges de travail en fonction des fonctions métier, et non en fonction des adresses réseau
Dans les réseaux modernes d'aujourd'hui, les charges de travail sont déployées sur une architecture hybride multicloud. Cela rend les adresses réseau éphémères. L'adresse réseau d'une charge de travail peut changer de façon dynamique en fonction de l'environnement d'hébergement sous-jacent.
C'est pourquoi vous devez étiqueter les charges de travail à l'aide d'étiquettes lisibles par l'homme plutôt qu'à l'aide d'adresses IP traditionnelles. Avec une solution de microsegmentation telle qu'Illumio Zero Trust Segmentation, vous pouvez identifier les charges de travail en fonction de leur fonction commerciale ou de leur propriété, comme leur rôle, leur application, leur environnement, leur emplacement, leur système d'exploitation ou leur unité commerciale, ce qui est beaucoup plus instructif si elles utilisent une adresse IP.
Les outils d'étiquetage d'Illumio peuvent :
- Modifiez les étiquettes de charge de travail de manière dynamique
- Importez des étiquettes à partir de structures d'étiquetage existantes, telles qu'une base de données de gestion de configuration (CMDB)
- Recommandez des étiquettes en fonction des applications et du trafic découvert dans les environnements gérés
En utilisant des étiquettes lisibles par l'homme, vous obtenez une solution basée sur les métadonnées pour voir comment les segments entre les charges de travail sont appliqués, entièrement découplée de l'adresse réseau.
5. Optez pour une approche avec ou sans agent
Lorsque vous créez une microsegmentation, il est important de comprendre quand une approche avec ou sans agent fonctionne le mieux. Certaines solutions, comme Illumio, vous permettent de choisir d'utiliser des agents ou non, ce qui vous permet d'obtenir une visibilité et une segmentation de toutes les charges de travail dans tous les environnements.
Approche des agents
L'agent du nœud d'application virtuel (VEN) Illumio collecte des données télémétriques concernant l'utilisation des applications sur et entre les charges de travail. Cela vous permet de contrôler l'accès aux segments directement au niveau de la charge de travail.
Approche sans agent
Illumio peut également découvrir et appliquer l'utilisation de segments sans agent.
Cela est crucial dans les environnements qui ne peuvent pas prendre en charge les agents, tels que les appareils IoT dans les secteurs de la fabrication ou de la santé. C'est également essentiel dans les environnements qui ne peuvent pas utiliser d'agents pour des raisons de conformité.
- Dans un centre de données : Illumio peut sécuriser les commutateurs réseau déployés devant des appareils qui ne peuvent pas prendre en charge les agents. Illumio collectera la télémétrie du réseau à partir des commutateurs et convertira la politique basée sur des étiquettes en listes d'accès à utiliser par les commutateurs.
- Dans le cloud : Illumio peut collecter le comportement des applications et du réseau sans agent. Il convertira la politique basée sur les étiquettes et l'appliquera aux points d'application du réseau existants déjà dans le cloud.
6. Commencez par un modèle de liste de refus, puis passez à un modèle de liste d'autorisations
Lors de la création de la microsegmentation, les équipes rencontrent souvent un défi : elles connaissent les ports qu'elles souhaitent refuser, mais ne comprennent pas parfaitement tous les ports dont elles ont besoin pour autoriser les applications.
Les rançongiciels utilisent généralement des ports tels que le protocole RDP (Remote Desktop Protocol) et le protocole SMB (Server Message Block) pour passer d'un segment à l'autre d'une charge de travail à l'autre. Mais nous savons que ces ports ont rarement besoin d'être ouverts entre les charges de travail.
C'est pourquoi il est recommandé de commencer par un modèle denyliste. Bloquez uniquement les ports dont vous savez qu'ils ne devraient pas être ouverts et autorisez tous les autres. Ensuite, lorsque vous aurez parfaitement compris les ports dont les applications ont besoin, vous pourrez passer à un modèle de liste d'autorisation. Ne laissez ouverts que les ports requis et bloquez tous les autres.
Cette approche vous permet de commencer à créer une microsegmentation par rançongiciel dès aujourd'hui et de renforcer votre politique lorsque vous serez prêt.
7. Modèle de politique avant son déploiement
La cybersécurité repose depuis longtemps sur une approche basée sur le déploiement et la prière. Les équipes de sécurité créent un modèle de politique et le modifient jusqu'à ce qu'il soit correct. Ensuite, lorsqu'il est déployé, ils prient pour que le téléphone ne sonne pas à cause de dépendances applicatives rompues.
C'est pourquoi il est préférable de tester votre politique avant qu'elle ne soit complètement déployée. Avec Illumio, vous pouvez créer une politique, puis la mettre en mode surveillance. Cela mettra en évidence tous les problèmes que la politique pourrait créer une fois qu'elle est déployée afin que vous puissiez les résoudre avant qu'ils n'interrompent les opérations.
La modélisation garantit que votre politique peut être déployée en toute sécurité sans risquer de rompre par inadvertance les dépendances des applications.
8. Étendez la segmentation cohérente dans le multicloud hybride
Si vous utilisez une solution qui permet uniquement de segmenter le datacenter, il est peu probable que vous obteniez une sécurité cohérente dans d'autres environnements tels que le cloud. La segmentation ne doit jamais dépendre d'un seul environnement. Cela se traduira par une approche cloisonnée de la segmentation qui ne laissera que des vulnérabilités et rendra plus difficile l'arrêt et la maîtrise des violations.
La microsegmentation doit plutôt suivre la charge de travail au fur et à mesure de sa migration entre les environnements. Cela garantit que la segmentation ne s'interrompt pas lorsque les charges de travail sont hébergées dans différents environnements.
Avec Illumio, vous pouvez élaborer une politique de segmentation cohérente dans vos environnements de cloud, de terminaux et de centres de données. Cela permet aux charges de travail de migrer entre les environnements grâce à un modèle de microsegmentation cohérent qui fonctionne de la même manière sur l'ensemble de l'architecture.
9. Automatisez les modifications de sécurité sans vous fier à des décisions humaines
Les malwares se propagent plus rapidement que n'importe quel humain ne peut taper sur un clavier. Il est essentiel de disposer d'une solution de microsegmentation capable d'automatiser les changements de politique dès qu'une violation peut se propager.
Grâce à la riche bibliothèque d'API d'Illumio, vous pouvez intégrer Illumio à votre solution SOAR. L'outil SOAR détectera les ports ouverts que les malwares utilisent pour se propager sur le réseau. Ensuite, l'outil enverra à Illumio un appel d'API pour arrêter immédiatement les ports à risque.
Tout cela se fait sans intervention humaine.
10. Prouvez que la sécurité est conforme
La quantification des risques peut s'avérer difficile, car la sécurisation des applications et des segments peut impliquer de nombreux éléments mobiles. Lors d'un audit, il n'est pas toujours facile de se faire une idée précise du risque existant et de la manière dont il est réduit une fois la politique de sécurité appliquée. Il est important d'utiliser des outils qui montrent cela avant et après la comparaison.
Grâce aux cartes de vulnérabilité d'Illumio, vous pouvez quantifier les risques à l'aide d'un score qui combine les risques découverts par Illumio et des scanners externes. L'outil recommandera ensuite une politique modifiée qui réduira les risques.
Cela permet aux auditeurs d'obtenir un score avant-après clair pour le risque d'exposition d'un environnement, éliminant ainsi les conjectures de conformité de votre équipe.
Prêt à en savoir plus sur Illumio ZTS ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.