Par Ramyan Selvam, Systems Engineer, Juniper Networks
La microsegmentation est aujourd’hui de plus en plus utilisée par les équipes IT pour renforcer la sécurité des datacenters et des réseaux. Son objectif est d’adopter une approche Zero Trust en limitant les communications illégitimes entre les différents éléments qui composent un SI.
Une fois mis en place, les systèmes ne peuvent communiquer entre eux que si cela est explicitement autorisé par les administrateurs et uniquement via les canaux et protocoles déterminés, conformément aux exigences de sécurité. C’est une approche de la sécurité extrêmement stricte, mais très performante.
Cette méthode a la réputation d’être complexe à mettre en œuvre, difficile à déployer et à maintenir, et donc coûteuse. C’est effectivement le cas si elle n’est pas déployée de manière réfléchie et prudente. Cependant, en suivant quelques bonnes pratiques, les responsables IT peuvent obtenir le résultat voulu : maximiser la sécurité de leurs systèmes sans entraver le bon fonctionnement de leurs applications ni l’accès aux données.
L’occasion d’établir un nouveau paradigme
Une architecture adéquate et une planification précise sont indispensables au succès de l’approche de microsegmentation. Si l’entreprise n’a jamais appliqué cette méthode auparavant, elle doit impérativement veiller à ce que son infrastructure ait la capacité de prendre en charge un nombre de microsegments nettement supérieur à celui dont elle pense avoir besoin.
Le déploiement de nouveaux services peut rapidement entraîner une prolifération des segments. L’ensemble des composants concernés, ainsi que les logiciels de visualisation, de monitoring et de gestion doivent pouvoir évoluer pour absorber cette prolifération.
Les équipements réseau – commutateurs, routeurs et commutateurs virtuels – ont généralement peu de capacité de filtrage, de restriction ou de verrouillage du trafic. L’inspection approfondie des paquets (DPI), le proxy SSL/TLS et de nombreuses autres fonctionnalités de sécurité nécessitent que le trafic traverse des dispositifs de défense plus performants, tels qu’un pare-feu professionnel.
Il est important d’être attentif à l’augmentation de la charge de traitement que peut induire la mise en place de la microsegmentation. C’est généralement la phase idéale du projet pour se rapprocher de votre fournisseur de SD-LAN (Software-Defined LAN), car si l’entreprise doit remettre en question l’ensemble de son approche de la gestion et de la protection du réseau, il est logique d’aborder en même temps les questions d’automatisation et d’orchestration. La microsegmentation est un changement important, probablement celui de la décennie. C’est donc aussi l’occasion de remettre à plat d’autres pratiques.
Un luxe aujourd’hui incontournable
Des déploiements soigneusement planifiés, conçus par des professionnels expérimentés, peuvent non seulement être efficaces, mais aussi accroitre considérablement la capacité d’une entreprise à réagir à des changements inattendus, et se traduire en fin de compte en avantages financiers.
La mise en conformité avec la règlementation est également une préoccupation de plus en plus importante. La microsegmentation constitue un outil précieux pour se maintenir en conformité – en règle générale, plus la charge de travail est isolée et sécurisée, plus les régulateurs sont satisfaits – cependant elle nécessite, sur le plan fonctionnel, une plateforme de gestion centralisée.
Le fait de disposer d’une sécurité réseau orchestrée par une plateforme de gestion centralisée permet de consolider en un seul endroit toutes les règles et polices que l’on veut voir appliquées dans le SI. Il est ainsi possible d’organiser un reporting efficace et donc de fluidifier les audits.
Un rapport unique peut être produit pour attester de la qualité de la conception de la sécurité, en particulier dans le cas de la microsegmentation, car la liste exacte des restrictions de trafic réseau peut être examinée, depuis chaque workload individuelle jusqu’à la périphérie du datacenter, en passant par les workloads en edge computing et les clouds intermédiaires.
Une bonne pratique fondamentale
Si vous avez en place un réseau massif et tentaculaire avec des décennies d’héritage technologique, vous ne vous êtes peut-être pas laissé séduire immédiatement par la microsegmentation et c’est tout à fait compréhensible. Cependant rien de ce qui est nouvellement déployé ne devrait y échapper. Il ne s’agit plus d’une approche expérimentale de niche. Elle doit être considérée comme une bonne pratique fondamentale tant pour l’agilité des réseaux que pour la sécurité des SI.
La lutte entre les hackeurs et les entreprises ne prendra jamais fin. Minimiser les contacts entre les systèmes en utilisant la distanciation digitale est une pratique de plus à disposition des entreprises pour réduire l’impact des compromissions lorsque ces incidents, inévitables, se produisent. Et il se trouve qu’elle est très efficace.