La microsegmentation, qu'est-ce que c'est ?

La microsegmentation est une technique de sécurité logicielle qui consiste à diviser un environnement de datacenter et d'applications en petits segments isolés afin de protéger chaque charge de travail, par exemple une application exécutée sur une machine virtuelle ou dans un conteneur. Dans le cadre de la segmentation traditionnelle du réseau, la sécurité se concentre généralement à la jonction entre le réseau interne et Internet. Avec la microsegmentation, la protection est déployée à l'intérieur du réseau, en appliquant des politiques de sécurité granulaires au trafic interne.

Grâce au principe de l'isolation, la microsegmentation permet d'empêcher un attaquant de se déplacer d'un système à un autre s'il parvient à franchir le point d'entrée initial. Cette approche est un élément essentiel de la sécurité Zero Trust, qui part du principe que tout trafic à l'intérieur du datacenter doit être considéré comme non fiable par défaut. Chaque requête doit donc être vérifiée en fonction de politiques strictes et automatisées. 

Découvrir Red Hat OpenShift

Au lieu de s'appuyer sur un seul point central, la microsegmentation renforce la sécurité du réseau en protégeant chaque charge de travail. Dans les datacenters modernes, où les charges de travail peuvent prendre la forme d'une machine virtuelle, d'un conteneur ou d'une application serverless, cette approche complète le périmètre de défense existant. Ainsi, même si la barrière principale du réseau est franchie, chaque composant interne reste protégé par sa propre limite logicielle.

Segmentation traditionnelle du réseau et microsegmentation

Habituellement, les réseaux étaient segmentés à l'aide d'outils matériels tels que les pare-feu et les réseaux locaux virtuels (VLAN). Cette approche repose sur une sécurité de type nord-sud, selon laquelle le trafic entrant ou sortant transite par une passerelle principale. 

Le problème de ce modèle est qu'il considère que tout le trafic à l'intérieur d'un segment donné est fiable. Ainsi, une application et une base de données qui se trouvent sur le même VLAN peuvent communiquer entre elles sans restriction. Si l'une est compromise, elle devient une menace pour l'autre, car elle a déjà contourné les mécanismes de sécurité au niveau du point d'entrée du réseau.

La microsegmentation couvre le trafic est-ouest, autrement dit la communication interne entre les serveurs et les applications. Puisque les politiques de sécurité sont appliquées au niveau de chaque charge de travail, elles ne dépendent pas de la configuration physique du réseau ou du VLAN sur lequel le serveur repose. La sécurité est définie par le logiciel en fonction de l'identité de la charge de travail. 

Mécanismes

Pour assurer la sécurité des réseaux, la microsegmentation applique trois principes fondamentaux :

• Isolation : tant qu'une règle ne leur permet pas de communiquer, les charges de travail sont isolées. Ce mécanisme favorise la souveraineté de l'environnement numérique. Par exemple, un environnement de développement peut être isolé d'un environnement de production, même s'ils s'exécutent sur le même matériel physique.
• Contrôle granulaire : ce principe permet aux équipes de sécurité de définir des règles très précises. Par exemple, au lieu d'établir une règle générale de type « Le serveur A peut communiquer avec le serveur B », elles peuvent donner plus de détails : « Le serveur web peut communiquer avec la base de données uniquement via un port spécifique et n'échanger que certains types de données ».
• Principe du moindre privilège : cette pratique consiste à accorder à la charge de travail uniquement le niveau d'accès minimal nécessaire à l'exécution de la tâche. La microsegmentation permet d'empêcher toutes connexions non indispensables. 

Mise en œuvre logicielle basée sur des politiques

Face à l'évolution constante des infrastructures modernes, la sécurisation à l'aide de paramètres matériels définis manuellement ne suffit plus. Les équipes ne sont pas assez rapides pour suivre le rythme de lancement et d'arrêt des machines virtuelles et des conteneurs.

La microsegmentation est définie par logiciel et régie par des politiques de sécurité rédigées sous forme de code. Le système détecte tout démarrage de machines virtuelles ou de conteneurs et applique automatiquement les balises et les règles de sécurité pertinentes. Les mécanismes de protection se déplacent avec la charge de travail, quel que soit le serveur physique ou l'environnement cloud utilisé.

En savoir plus sur la mise en réseau logicielle 

La microsegmentation offre un niveau de contrôle et de visibilité qu'il serait difficile, voire impossible, d'atteindre avec la mise en réseau matérielle traditionnelle. Voici les principaux avantages de cette approche pour les environnements informatiques modernes :

Renforcement de la sécurité et limitation des déplacements latéraux 

La microsegmentation s'avère particulièrement efficace pour limiter la propagation d'une violation. Au sein d'un réseau plat ou non segmenté, un attaquant qui parvient à entrer dans un système de faible priorité peut souvent accéder librement aux cibles plus sensibles, notamment les bases de données client.

La création de segments individuels permet d'isoler les menaces, même si l'intégrité d'une charge de travail est compromise. L'attaquant se retrouve en quelque sorte piégé dans une « pièce virtuelle », sans accès aux autres pièces de la maison.

Amélioration de la conformité et de l'auditabilité

La microsegmentation facilite la mise en conformité, en particulier dans les secteurs soumis à des réglementations strictes tels que la santé et la finance. Elle permet aux entreprises d'isoler les systèmes qui traitent des données sensibles du reste du réseau.

Puisque les politiques de sécurité sont définies par logiciel, il est facile pour les responsables d'audit d'identifier précisément les utilisateurs autorisés ainsi que les systèmes auxquels ils peuvent accéder. Grâce à ce niveau granulaire de traçabilité, les équipes peuvent aisément démontrer que les informations sensibles sont protégées conformément aux normes réglementaires. 

Renforcement de la visibilité et du contrôle du trafic

Les équipes de sécurité peuvent difficilement protéger ce qu'elles ne voient pas. Les outils de microsegmentation leur offrent une visibilité complète sur les flux de trafic est-ouest. Elles peuvent voir en temps réel les interactions entre les applications et les services, ce qui leur permet d'identifier les comportements inhabituels potentiellement révélateurs d'une menace pour la sécurité ou d'un goulet d'étranglement.

Compatibilité avec les environnements modernes

Les règles de sécurité traditionnelles sont souvent associées à des emplacements physiques tels qu'une adresse IP ou un port matériel spécifique. Dans un environnement cloud-native, ces emplacements changent constamment à mesure que des conteneurs sont lancés et arrêtés. 

La microsegmentation est indépendante de l'environnement informatique. Puisque les politiques de sécurité sont appliquées à chaque charge de travail et non au matériel réseau, la protection reste cohérente dans tous les environnements, du datacenter sur site aux clouds privés ou publics.

Simplification de la gestion grâce à l'automatisation

Au sein des environnements modernes et microsegmentés, les politiques de sécurité sont automatisées. Lors du déploiement d'une nouvelle application, celle-ci hérite automatiquement de politiques en fonction de son rôle. Cette approche limite le besoin de configuration manuelle, ce qui entraîne une réduction du risque d'erreur humaine.

Apprendre à configurer un accès au réseau à l'aide de la microsegmentation

Pendant des années, l'efficacité des datacenters reposait essentiellement sur la virtualisation, qui permettait d'exécuter plusieurs machines virtuelles sur un seul serveur physique. La transition vers des environnements virtuels a cependant engendré de nouvelles vulnérabilités. Les pare-feu traditionnels ne sont généralement pas capables de détecter le trafic entre deux machines virtuelles hébergées sur le même hôte physique. 

Ce manque de visibilité interne complique parfois l'identification ou le blocage de certains mouvements latéraux malveillants. Avec l'adoption d'architectures cloud-native et l'utilisation parallèle des machines virtuelles et des conteneurs, ce problème s'est aggravé. 

Limites de la segmentation traditionnelle dans les environnements virtuels

Dans le cadre de la segmentation traditionnelle, le trafic est acheminé hors de l'hôte virtuel via un pare-feu physique, puis renvoyé vers l'hôte pour inspection. Ce processus génère des goulets d'étranglement et de la latence, ce qui l'empêche de sécuriser efficacement un environnement évolutif. Par ailleurs, dans un environnement virtuel dynamique, les adresses IP et les emplacements changent fréquemment. Face à des machines virtuelles qui se déplacent ou évoluent sans arrêt, les règles basées sur le matériel manquent de flexibilité.

Atouts de la microsegmentation pour les infrastructures évolutives

La microsegmentation remédie à ces problèmes d'efficacité en dissociant la sécurité du matériel physique sous-jacent. Au lieu d'acheminer tout le trafic au travers d'un pare-feu central, cette approche permet d'appliquer les politiques de sécurité au niveau de l'interface réseau virtuelle de chaque machine virtuelle ou conteneur. 

Cette technique offre les avantages suivants : 

• Performances à grande échelle : les contrôles de sécurité sont effectués localement à l'intérieur de la couche virtualisée, ce qui évite les longs détours vers des périphériques externes.
• Cohérence entre les environnements : la microsegmentation fournit une approche unique pour gérer les politiques de sécurité dans l'ensemble de la pile, aussi bien pour les machines virtuelles que pour les conteneurs.
• Mobilité : lorsqu'une machine virtuelle se déplace d'un hôte physique à un autre, son périmètre de sécurité la suit automatiquement.

Parce qu'elle intègre la sécurité directement à la couche de virtualisation, la microsegmentation permet de mettre à l'échelle rapidement l'infrastructure en évitant tout risque d'exposition des systèmes internes.

La microsegmentation est plus efficace lorsqu'elle est appliquée à des objectifs spécifiques, dont voici quelques exemples : 

• Sécurisation des environnements de cloud hybride : une politique de sécurité cohérente peut protéger les applications hébergées dans des datacenters sur site et dans les environnements cloud de différents fournisseurs.
• Conformité réglementaire : les systèmes qui traitent des données financières ou médicales sensibles (telles que les numéros de carte bancaire ou les dossiers médicaux) peuvent être isolés afin de répondre à des exigences strictes d'audit sans avoir à cloisonner l'ensemble du réseau.
• Protection du développement et de la production : la microsegmentation permet d'éviter la propagation d'un bogue ou d'une faille de sécurité touchant un environnement de test à un environnement de production où sont stockées les données des clients. 

Même si la microsegmentation offre un niveau supérieur de sécurité, il est nécessaire de bien planifier la transition entre un réseau traditionnel et un réseau microsegmenté.

Défis courants

• Complexité initiale : dans les grandes entreprises, des milliers de connexions s'établissent en permanence. Il peut s'avérer difficile de les cartographier pour identifier les communications indispensables.
• Gestion des politiques : plus les équipes créent de segments, plus elles doivent définir de politiques de sécurité qui, lorsqu'elles s'accumulent, deviennent difficiles à gérer manuellement sans les bons outils.
• Intégration aux outils existants : la microsegmentation doit s'intégrer aux technologies existantes de la pile de sécurité et de l'infrastructure sans entraîner de problèmes de performances ni de risques cachés.

Meilleures pratiques

Voici quelques meilleures pratiques pour relever les défis courants liés à la microsegmentation et réussir sa mise en œuvre :

• Démarrer à petite échelle : au lieu de segmenter la totalité du datacenter en une seule fois, il vaut mieux commencer par une application bien définie ou un environnement particulier. Ces projets pilotes serviront de base pour améliorer la définition des politiques.
• Accorder la priorité aux ressources à forte valeur ajoutée : il est conseillé de commencer par les applications qui traitent des données sensibles de clients ou des données essentielles aux activités de l'entreprise.
• Avoir recours à l'automatisation dès que possible : la définition manuelle de règles est un frein à la mise à l'échelle. Il est recommandé d'utiliser des outils qui peuvent identifier automatiquement des schémas de trafic et suggérer des politiques de sécurité. L'automatisation permet de s'assurer que la sécurité évolue au même rythme que l'environnement.
• Mettre en œuvre la surveillance continue : il est important de surveiller continuellement le trafic du réseau afin d'identifier de nouveaux schémas de communication et d'adapter les politiques en fonction de l'évolution des applications. 

Chez Red Hat, nous proposons une approche moderne et modulaire en matière de microsegmentation permettant d'éviter la complexité et l'inutilisation de fonctionnalités qui sont souvent associées aux souscriptions propriétaires surdimensionnées. Avec Red Hat® OpenShift® Virtualization, les entreprises peuvent gérer les machines virtuelles et les conteneurs sur une seule plateforme, à l'aide de politiques de sécurité cohérentes. Elles peuvent ainsi faire évoluer leur infrastructure sans être contraintes de payer des fonctionnalités inutiles. 

Basée sur des normes Open Source, la plateforme d'applications moderne Red Hat OpenShift permet de déployer une architecture Zero Trust grâce à la possibilité d'appliquer des politiques réseau granulaires directement aux charges de travail. Chaque machine virtuelle et conteneur est isolé par défaut, ce qui garantit la protection contre les menaces internes. 

Flexibles et évolutives, nos solutions de sécurité s'intègrent facilement aux environnements existants et évitent aux entreprises les désavantages des outils propriétaires traditionnels. 

Migrer des machines virtuelles depuis VMware vers Red Hat