Il est important de choisir une approche de microsegmentation qui fonctionne de manière cohérente entre les fournisseurs de cloud. En découplant la sécurité du fournisseur d'infrastructure de cloud, les entreprises peuvent empêcher que la dépendance vis-à-vis d'un fournisseur n'augmente les coûts et éviter une complexité inutile lorsque les fusions et acquisitions créent des environnements de cloud mixtes.
La microsegmentation expliquée
La microsegmentation est l'une des meilleures pratiques de sécurité émergentes qui offre plusieurs avantages par rapport à des approches plus établies comme la segmentation du réseau et la segmentation des applications. Les méthodes traditionnelles reposent fortement sur des contrôles réseau grossiers et souvent lourds à gérer. Toutefois, l'élément de segmentation logiciel de la microsegmentation sépare les contrôles de sécurité de l'infrastructure sous-jacente et permet aux entreprises d'étendre la protection et la visibilité partout.
La granularité supplémentaire qu'offre la microsegmentation est essentielle à l'heure où de nombreuses entreprises adoptent des services cloud et de nouvelles options de déploiement, telles que des conteneurs qui rendent la sécurité de périmètre traditionnelle moins pertinente.
La visualisation des infrastructures joue un rôle essentiel dans l'élaboration d'une stratégie de microsegmentation solide. Lorsqu'elle est bien faite, la visualisation facilite l'identification et la compréhension par les équipes informatiques des activités sanctionnées et non sanctionnées dans l'environnement.
Cette visibilité supplémentaire permet aux équipes informatiques de définir et d'affiner les stratégies de microsegmentation qui peuvent à la fois alerter et bloquer les activités non autorisées. Les stratégies de microsegmentation peuvent prendre de nombreuses formes, y compris des contrôles basés sur le type d'environnement, la portée réglementaire, l'application et le niveau d'infrastructure. La microsegmentation permet également d'appliquer plus largement le principe du moindre privilège dans les centres de données et les environnements cloud, offrant ainsi une posture de défense plus efficace que les contrôles traditionnels de la couche réseau.
La microsegmentation peut-elle être mise en œuvre à travers différents fournisseurs de cloud ?
La microsegmentation réduira-t-elle les coûts ?
De nombreuses entreprises calculent les coûts de pare-feu pour un projet de segmentation et constatent que les coûts de licence élevés, les longs délais et les temps d'arrêt nécessaires sont très coûteux. Cependant, une solution de microsegmentation logicielle peut être déployée rapidement et avec beaucoup moins de dépenses d'investissement (CapEx) que lors de l'achat de dispositifs de pare-feu et de matériel supplémentaire. En outre, la réduction des efforts de maintenance et de gestion nécessaires se traduit par des frais d'exploitation beaucoup plus faibles au fil du temps, sous la forme d'économies de main-d'œuvre et de ressources.
La microsegmentation est un nouveau concept pour de nombreuses personnes, mais elle devient un outil de plus en plus important pour les équipes informatiques, qui doivent veiller à ce que les stratégies de sécurité et la conformité soient en phase avec le rythme du changement rapide des environnements dynamiques des centres de données, du cloud et du cloud hybride actuels.
Qu'est-ce que la segmentation des applications ?
Au fur et à mesure que l'utilisation du cloud augmente et que le rythme des déploiements et des mises à jour d'applications s'accélère, de nombreuses équipes de sécurité se concentrent de plus en plus sur la segmentation des applications. Il existe plusieurs approches de la segmentation des applications, ce qui peut entraîner une confusion car les équipes de sécurité comparent les techniques traditionnelles de segmentation des applications avec des approches plus récentes comme la microsegmentation.
La segmentation des applications comprend souvent une combinaison de segmentation intra-application et d'isolation des clusters d'applications par rapport au reste de l'infrastructure informatique. Les deux techniques offrent une sécurité différente. Cependant, les approches traditionnelles de la segmentation des applications reposent principalement sur les contrôles de couche 4, qui deviennent moins efficaces et plus difficiles à gérer à mesure que les environnements et les processus de déploiement d'applications deviennent plus dynamiques.
Les technologies de microsegmentation offrent aux équipes de sécurité une approche plus efficace de la segmentation des applications en fournissant une représentation visuelle détaillée de l'environnement, ainsi qu'un ensemble plus granulaire de contrôles des règles. Les technologies de microsegmentation les plus efficaces sont axées sur les applications et s'étendent jusqu'à la couche 7. La visibilité et le contrôle au niveau des processus individuels rendent la segmentation des applications plus efficace et plus facile à gérer. Les activités sanctionnées peuvent être régies par des stratégies très spécifiques qui ne sont pas affectées par l'usurpation d'adresse IP ou les tentatives d'exécution d'attaques sur les ports autorisés.
À mesure que les environnements de cloud hybride et les processus DevOps en évolution rapide deviennent la norme, la segmentation des applications est plus importante et plus complexe que jamais. L'utilisation de la microsegmentation centrée sur les applications pour effectuer la segmentation des applications garantit que la visibilité de la sécurité et les contrôles des règles suivent le rythme de l'évolution rapide de l'environnement et des applications qui s'y exécutent.
Comment les stratégies réseau fonctionnent-elles avec la microsegmentation ?
L'application des stratégies réseau est l'ensemble des règles que vous placez sur votre environnement informatique pour vous assurer d'en contrôler l'accès et la communication. Cela peut être aussi simple que de maintenir la production et le développement séparés les uns des autres pour éviter toute erreur humaine. Des règles d'application de stratégies plus spécifiques peuvent vous aider à répondre à vos besoins en conformité, telles que l'isolation de votre CDE afin que le reste de votre réseau reste hors de portée pour la conformité PCI DSS.
Les moteurs de règles des centres de données sont traditionnellement inflexibles, s'appuyant sur des approches strictes de type « tout ou rien », ou sur des listes de refus mondiales sans possibilité de former des exceptions. À mesure que les charges de travail deviennent de plus en plus dynamiques et que de plus en plus d'entreprises adoptent le cloud hybride, les moteurs de règles flexibles sont incontournables. Ils permettent la mise à l'échelle automatique, des règles qui suivent les charges de travail et la création de stratégies qui ne dépendent pas de la plateforme.
Le processus de création de règles commence par une forte connaissance de votre entreprise et de vos objectifs de sécurité. Il y a un équilibre à trouver avec la politique de microsegmentation. Trop fortes, et vous risquez de vous trouver dans un environnement inflexible qui rend difficile pour le personnel de travailler librement et avec autonomie. Trop faibles, et vous vous retrouvez avec une surface d'attaque dangereusement grande.
L'accès à une carte en temps réel de votre environnement informatique peut vous donner des informations sur l'endroit où les règles de segmentation doivent être placées, et de quelle façon. Le choix d'une solution capable d'appliquer des règles jusqu'à la couche 7, et non la traditionnelle couche 4, peut vous apporter des avantages encore plus importants en matière de sécurité. Même en cas de violation de votre périmètre, les règles appropriées en place peuvent arrêter ou détourner un pirate, qui ne pourra pas effectuer de mouvements latéraux sur votre réseau.
Microsegmentation et détection d'applications : un contexte plus précis pour une action plus précise
L'infrastructure et les techniques utilisées pour fournir des applications subissent une transformation importante, ce qui rend plus difficile que jamais pour les équipes informatiques et de cybersécurité de maintenir à la fois une connaissance ponctuelle et historique de toutes les activités des applications. Obtenir le meilleur niveau de protection de sécurité, de conformité et de performances applicatives n'est possible que par le biais d'un processus de détection d'applications qui couvre tous les environnements et technologies de diffusion d'applications d'une entreprise.
Un processus efficace de détection des applications comprend quatre éléments essentiels.
Le premier élément est la collecte de données. Différentes techniques reposant sur des agents et des réseaux peuvent être utilisées pour collecter des informations détaillées sur l'activité des applications dans des environnements sur site et dans le cloud. Ces deux solutions offrent une valeur significative, mais la collecte sur la base des agents est particulièrement importante, car elle permet la collecte de détails de couche 7 plus riches.
Les données brutes ont à elles seules une valeur limitée sans contexte, de sorte que le deuxième élément clé de la détection d'applications est l'organisation et l'étiquetage. Des solutions comme Guardicore Segmentation d'Akamai rationalisent ce processus en interagissant avec des sources de données existantes et en utilisant d'autres méthodes d'automatisation.
La troisième étape vers une détection d'applications efficace est la visualisation. La visualisation rassemble les données contextualisées dans une interface visuelle adaptable, pertinente pour l'équipe de sécurité et les autres parties prenantes de l'application. Les affichages en temps réel et historiques de l'activité de l'application servent chacun à des fins distinctes. Il est donc important de mettre en œuvre une approche de visualisation capable de prendre en charge ces deux types de données.
Le quatrième et dernier élément critique d'une approche de détection d'applications est une méthode claire et intuitive d'actions basées sur les informations obtenues grâce à une meilleure visibilité sur les applications. Il s'agit du point d'intersection stratégique entre la détection d'applications et la microsegmentation.
Quels sont les avantages de la microsegmentation ?
À mesure que l'infrastructure informatique devient plus dynamique et que les nouvelles approches de déploiement, telles que l'infrastructure de cloud et les conteneurs cloud, jouent un rôle plus important, la valeur de la sécurité traditionnelle centrée sur le périmètre est considérablement réduite. Au lieu de cela, les équipes informatiques ont de plus en plus besoin d'améliorer leur capacité à détecter et à prévenir les mouvements latéraux entre les ressources hétérogènes du centre de données et du cloud. La microsegmentation avec granularité de couche 7 offre plusieurs avantages clés aux entreprises confrontées à ce défi.
La mise en œuvre de la microsegmentation réduit considérablement la surface d'attaque dans les environnements ayant un ensemble varié de modèles de déploiement et un taux élevé de changement. Même si les processus de développement et de déploiement d'applications de type DevOps apportent des changements fréquents, une plateforme de microsegmentation peut fournir une visibilité continue et garantir que les stratégies de sécurité suivent le rythme de l'ajout et de la mise à jour des applications.
Même si des mesures proactives sont en place pour réduire la surface d'attaque, des violations occasionnelles sont inévitables. Heureusement, la microsegmentation améliore également considérablement la capacité des entreprises à détecter et à contenir rapidement les violations. Cela inclut la possibilité de générer des alertes en temps réel lorsque des violations de règles sont détectées et de bloquer activement les tentatives d'utilisation des ressources compromises comme points de lancement pour les mouvements latéraux.
Un autre avantage clé de la microsegmentation est qu'elle aide les entreprises à renforcer leur conformité réglementaire, même lorsqu'elles commencent à utiliser davantage les services cloud. Les segments de l'infrastructure contenant des données réglementées peuvent être isolés, l'utilisation conforme peut être étroitement appliquée et les audits sont grandement simplifiés.
Les avantages de la microsegmentation sont maximisés lorsque l'approche est intégrée à l'infrastructure plus vaste d'une organisation, à l'image des outils d'orchestration. Il est également essentiel de choisir une approche de microsegmentation qui fonctionne sur des serveurs physiques, des machines virtuelles et des fournisseurs de cloud multiples pour une efficacité et une flexibilité maximales.
Consulter l'article de blog 5 avantages de la segmentation du réseau
Sécurité des mouvements latéraux
Bien que les équipes de sécurité informatique accordent souvent une attention importante à la protection du périmètre, le trafic est-ouest dépasse le trafic nord-sud en termes de volume et d'importance stratégique. Cette évolution est due à des facteurs tels que les changements dans les approches d'évolutivité des centres de données, les nouveaux besoins en analyse du Big Data et l'utilisation croissante des services cloud avec un périmètre moins défini. Il est plus important que jamais pour les équipes de sécurité informatique de développer leurs capacités pour empêcher le mouvement latéral dans ces types d'environnements.
Le mouvement latéral est l'ensemble des mesures que les attaquants qui ont pris place dans un environnement de confiance prennent pour étendre leur niveau d'accès, accéder à d'autres ressources de confiance supplémentaires et progresser dans la direction de leur cible ultime. Il est difficile à détecter, car il se fond souvent avec un important volume de trafic est-ouest légitime similaire dans l'environnement.
Il existe également des techniques plus sophistiquées que les organisations peuvent mettre en œuvre pour améliorer la sécurité des mouvements latéraux. Par exemple, notre solution peut offrir une visibilité continue et historique sur tout le trafic est-ouest et permettre aux équipes informatiques d'utiliser ces informations pour créer des stratégies proactives afin d'éviter les mouvements latéraux.
Réduisez la surface d'attaque
Alors que le passage des centres de données traditionnels sur site au cloud et aux modèles de cloud hybride et multi-cloud a permis de créer de nombreux avantages commerciaux, il a également considérablement augmenté la surface d'attaque que les équipes de sécurité doivent défendre. Ce défi est amplifié par l'accélération du rythme des changements d'infrastructure et les modèles de déploiement d'applications plus dynamiques que de nombreuses entreprises adoptent.
Bien que de nombreuses techniques existantes de réduction de la surface d'attaque, telles que le renforcement du système, la gestion des failles de sécurité, les contrôles d'accès, la segmentation du réseau restent pertinentes à mesure que l'utilisation des plateformes cloud augmente, les équipes de sécurité cherchant à réduire la surface d'attaque peuvent bénéficier d'une meilleure visibilité et de contrôles des règles plus granulaires qui peuvent être appliqués de manière cohérente du centre de données au cloud.
La visualisation détaillée de la surface d'attaque rend beaucoup plus réalisable le développement de stratégies de réduction de sa taille. Une représentation visuelle détaillée de toutes les applications et de leurs dépendances, le long de l'infrastructure sous-jacente qui les prend en charge, permet aux équipes de sécurité d'évaluer plus facilement leur niveau d'exposition et de découvrir des indicateurs d'infection.
Ces informations peuvent ensuite être utilisées pour développer des stratégies de microsegmentation qui régissent l'activité de l'application avec une granularité au niveau du processus. Ce niveau de contrôle permet d'aligner les stratégies de sécurité avec la logique applicative et de mettre en œuvre un environnement de sécurité Zero Trust dans lequel seule une activité d'application approuvée peut s'exécuter.
Au fur et à mesure que la transition vers des modèles de cloud hybride progresse, il est facile pour les entreprises de négliger la mesure dans laquelle ce changement amplifie la taille de leur surface d'attaque. De nouveaux environnements physiques, plateformes et méthodes de déploiement d'applications créent de nombreux nouveaux domaines d'exposition potentielle. Pour réduire efficacement la surface d'attaque dans les environnements de cloud hybride, une solution de microsegmentation doit appliquer des règles de manière cohérente dans des environnements de centre de données et de cloud disparates, ainsi que dans une combinaison de systèmes d'exploitation et de modèles de déploiement.
Sécurisez les applications stratégiques.
Aujourd'hui, les équipes de sécurité de l'information sont confrontées à deux tendances majeures qui rendent la sécurisation des applications critiques plus difficile que jamais. La première est que l'infrastructure informatique évolue rapidement et en permanence. La seconde est que les pirates sont de plus en plus précis et sophistiqués au fil du temps.
La mise en œuvre d'une approche de microsegmentation efficace est l'une des meilleures mesures que les équipes de sécurité peuvent prendre pour améliorer la visibilité sur l'infrastructure et sécuriser les applications critiques, car elle :
fournit une granularité au niveau des processus qui aligne les stratégies de sécurité avec la logique applicative ;
permet de mettre en œuvre des stratégies de sécurité de manière cohérente, du centre de données au cloud ;
assure une sécurité cohérente sur différentes plateformes sous-jacentes.
Cette puissance et cette flexibilité sont utiles à toute entreprise qui envisage la meilleure façon de protéger des cibles de grande valeur comme les contrôleurs de domaine, les systèmes de gestion des accès privilégiés et les serveurs de contournement. Elle est également très précieuse à mesure que les entreprises adoptent des services de sécurité dans le cloud et de nouvelles approches de déploiement d'applications comme les conteneurs.
La microsegmentation peut également jouer un rôle important dans la sécurisation des applications clés spécifiques à des segments de marché, notamment les applications de soins de santé contenant des informations de santé protégées, les applications de services financiers soumises à la norme PCI DSS et à d'autres réglementations, les applications juridiques ayant des implications en matière de confidentialité pour les clients, et bien d'autres. La granularité supplémentaire des règles fournie par la microsegmentation simplifie la création de limites de sécurité autour des données sensibles ou réglementées, même lorsqu'elles s'étendent sur plusieurs environnements et plateformes. La visibilité accrue que la microsegmentation offre est également extrêmement précieuse pendant le processus d'audit réglementaire.
Alors que l'évolution de l'infrastructure informatique crée de nouveaux défis pour les équipes de sécurité, le fait de dissocier la visibilité sur la sécurité et les contrôles de stratégies de l'infrastructure sous-jacente garantit que les applications critiques peuvent être sécurisées efficacement dans des environnements hétérogènes avec un taux de changement élevé.
Quelles sont les meilleures méthodes de microsegmentation ?
La microsegmentation est une fonctionnalité essentielle pour les entreprises chargées de sécuriser les infrastructures informatiques des centres de données, du cloud et du cloud hybride en évolution rapide. Cependant, la puissance et la flexibilité de la microsegmentation peuvent rendre difficile l'identification de la combinaison optimale de techniques avec laquelle commencer. L'examen initial des méthodes de microsegmentation fréquemment utilisées peut aider les entreprises à concevoir une approche progressive qui s'aligne sur leurs exigences uniques en matière de sécurité et de conformité.
De nombreuses entreprises connaissent l'utilisation des réseaux VLAN et d'autres formes de segmentation de réseau. Bien que la segmentation du réseau offre une valeur de sécurité, la microsegmentation offre une granularité de contrôle beaucoup plus importante et est beaucoup plus efficace pour le déploiement et la gestion à grande échelle. La microsegmentation est également beaucoup plus pratique pour s'étendre au-delà du centre de données vers l'infrastructure cloud que les VLAN.
Une bonne première étape dans l'élaboration de règles de microsegmentation consiste à identifier les applications et les services dans l'environnement qui nécessitent un vaste accès à de nombreuses ressources. Les systèmes de gestion des journaux, les outils de surveillance et les contrôleurs de domaine en sont quelques exemples. Ces types de systèmes peuvent bénéficier d'un accès étendu, mais les stratégies de microsegmentation peuvent être utilisées pour appliquer leur utilisation uniquement à des fins autorisées.
Il existe un certain nombre d'autres méthodes que les entreprises peuvent utiliser lors de la conception de leur approche de microsegmentation, notamment :
la microsegmentation par environnement ;
la création de limites réglementaires ;
la microsegmentation par type d'application ;
la microsegmentation par niveau.
La meilleure façon pour les entreprises de commencer à utiliser la microsegmentation est d'identifier les méthodes qui s'alignent le mieux sur leurs objectifs sécuritaires et stratégiques, de commencer par des règles ciblées et d'appliquer progressivement des techniques de microsegmentation supplémentaires au fil du temps, en passant par l'itération étape par étape.
Consulter l'article de blog La microsegmentation dans les règles de l'art
Comment bien débuter avec la microsegmentation
La microsegmentation est clairement le chemin à suivre pour protéger ses réseaux. Elle est non seulement la réponse à l'érosion du périmètre, mais elle est également efficace en termes de coût et de main-d'œuvre. Toutefois, un déploiement réussi de la microsegmentation ne peut pas être effectué à la hâte. Il faut une prévoyance délibérée et détaillée pour que tout se passe bien dès la première fois.
Certaines choses doivent être examinées minutieusement pour établir les bases d'un déploiement réussi de la microsegmentation.
Au départ, vous devez comprendre ce qui doit être segmenté. Le déploiement de votre microsegmentation reflétera vos besoins ; déterminez si vous segmentez pour réduire les risques généraux ou pour des raisons de conformité. Ensuite, abordez les objectifs à court terme, puis traitez les objectifs à long terme une fois que vous avez une base de microsegmentation protégeant vos ressources.
Une fois terminé, obtenez une image complète de votre environnement, mais sachez que votre image initiale est incomplète. Vous pouvez (et devrez) en ajouter plus à mesure que vous en apprenez davantage sur vos connexions. Il est essentiel d'étiqueter correctement vos ressources. En outre, la flexibilité du processus d'étiquetage est essentielle, car les étiquettes doivent refléter votre environnement aussi précisément que possible. Enfin, identifiez vos sources d'information et planifiez la façon dont en extraire des informations.
Ces étapes vous permettront de vous assurer que vous êtes sur la voie d'un déploiement solide et fructueux de la microsegmentation, qui sera couronné de succès.
Quelles sont les meilleures pratiques en matière de sécurité pour la microsegmentation ?
La montée en puissance des centres de données de type cloud hybride, des solutions SaaS et IaaS, ainsi que de la virtualisation, a entraîné une infrastructure informatique complexe, difficile à sécuriser. En réponse, la microsegmentation est en passe de devenir la meilleure pratique en matière de sécurité pour les entreprises travaillant dans ces types d'environnements dynamiques. La valeur de cette technologie varie, de la segmentation de zone à l'isolation d'applications ou à la restriction des services.
Un point important à prendre en compte est le choix d'une approche centrée sur le réseau ou sur les applications. Alors qu'une approche centrée sur le réseau gère le trafic par goulots d'étranglement, contrôles tiers ou application du réseau, une approche centrée sur les applications déploie les agents sur la charge de travail elle-même. Cette dernière approche offre des avantages tels qu'une meilleure visibilité et une possibilité accrue d'évolutivité, et est une technologie entièrement indépendante de l'infrastructure. Pour être paré pour l'avenir, le bon choix permettra de couvrir tout environnement, des systèmes existants aux serveurs dédiés physiques (bare metal), en passant par les environnements virtualisés, les conteneurs et le cloud public.
La visibilité inégalée que vous obtenez avec un modèle centré sur les applications est ce qui vous permettra de ne pas tomber dans le piège le plus courant en matière de microsegmentation : la sursegmentation de vos applications. Les meilleures pratiques consistent à commencer par ce que nous appelons les « premières victoires ». Il s'agit de stratégies de segmentation simples qui pourront être mises en place et créer une valeur immédiate. Par exemple, cela peut consister à séparer les environnements tels que la production et le développement, ou de respecter les réglementations de conformité en sécurisant les données ou les applications critiques.
Enfin, les meilleures pratiques consistent à regarder en dehors de la microsegmentation seule pour voir où des contrôles complémentaires peuvent renforcer votre sécurité globale. La détection des violations et la réponse aux incidents sont deux exemples exceptionnels qui peuvent fonctionner en toute transparence avec la microsegmentation et sont puissants utilisés dans un ensemble tout-en-un. Sans ces éléments, votre entreprise doit essayer de forcer des solutions tierces à fonctionner en harmonie, sans lacunes ni risques accrus, soit un défi d'ampleur et des tracas administratifs que vous n'êtes pas obligé d'affronter.
Penser à ces meilleures pratiques de microsegmentation au début de votre projet peut alléger la charge de la mise en œuvre de cette technologie révolutionnaire, en vous assurant que les problèmes de mise en œuvre communs sont pris en charge dès le début.
La microsegmentation peut-elle fonctionner comme une alternative à un pare-feu ?
Les pare-feu de périmètre traditionnels conçus pour le trafic nord-sud ne peuvent pas fournir le contrôle et les performances nécessaires pour protéger les applications et les charges de travail dynamiques d'aujourd'hui. Les entreprises peuvent techniquement utiliser des pare-feu à l'intérieur du périmètre pour mettre en œuvre un modèle de sécurité à plusieurs niveaux, mais ce n'est tout simplement pas faisable pour la plupart des entreprises en raison des dépenses et du temps nécessaires pour configurer et gérer les stratégies nécessaires. En conséquence, les entreprises contemporaines ont besoin d'un meilleur moyen de défendre les grands volumes de trafic réseau est-ouest contre les cyberattaques.
Avec un réseau relativement plat, n'importe quel port ou serveur peut communiquer avec n'importe quel autre. Cela signifie que si un pare-feu de serveur fait l'objet d'une violation, un cybercriminel peut facilement se déplacer vers n'importe quel autre dans le réseau.
La prévention des mouvements latéraux au sein du centre de données constitue une défense efficace contre les pirates qui contournent les mesures de sécurité du périmètre. La microsegmentation comme alternative à un pare-feu peut aider les entreprises à appliquer des contrôles de plus en plus granulaires des règles pour contrôler l'activité est-ouest et limiter l'impact d'une violation réussie.
L'application de règles de segmentation au niveau de la couche applicative (couche 7) empêche efficacement les mouvements latéraux, puisque la couche 7 est le lieu où les services réseau s'intègrent au système d'exploitation. Les dernières avancées de la microsegmentation à ce niveau permettent aux équipes de sécurité informatique de visualiser et de contrôler l'activité au niveau de la couche 7, ainsi que d'utiliser l'approche traditionnelle de la couche 4. Cela signifie qu'au lieu de s'appuyer sur des adresses IP et des ports, les entreprises peuvent utiliser des processus spécifiques pour définir des stratégies de segmentation pour l'intérieur du centre de données. Cela permet également aux administrateurs de répondre à des exigences spécifiques en matière de sécurité et de conformité en définissant des stratégies basées sur des attributs tels que les processus, l'identité de l'utilisateur ou les noms de domaine complets.
La microsegmentation offre également plusieurs avantages par rapport aux méthodes traditionnelles, ce qui la rend idéale en tant que pare-feu de segmentation interne au centre de données. Plutôt que d'introduire des goulots d'étranglement dans l'infrastructure, elle exécute des agents sur chaque système qui peuvent s'organiser entre eux pour créer et appliquer des règles de segmentation définies par logiciel. Pour cette raison, la microsegmentation offre de nombreux autres points de visibilité à partir desquels détecter et contextualiser l'activité dans vos environnements, indépendamment de l'infrastructure sous-jacente actuelle et de l'évolution de votre stratégie informatique. Elle permet également de créer et de gérer des règles sans modification de l'infrastructure ni indisponibilité. C'est non seulement beaucoup plus rapide et plus facile, mais cela vous laisse également un ensemble de contrôles que les équipes de sécurité informatique peuvent étendre n'importe où. Avec la microsegmentation (lien vers https://www.akamai.com/fr/our-thinking/microsegmentation) comme alternative à un pare-feu, si vous déplacez une charge de travail du centre de données vers le cloud, ses règles migreront automatiquement avec elle.
Comment la microsegmentation s'adapte-t-elle à une stratégie Zero Trust ?
Initialement introduite par Forrester, la stratégie Zero Trust est une alternative à la stratégie de sécurité traditionnelle du « château fort ». Bien que populaires par le passé, les défenses axées sur le périmètre ne sont plus aussi efficaces aujourd'hui. Face aux menaces qui pèsent de plus en plus sur le trafic est-ouest, les entreprises ont besoin de nouvelles approches de sécurité à plusieurs niveaux pour garantir une sécurité solide.
La structure Zero Trust suppose que chaque utilisateur, terminal, système ou connexion est déjà compromis par défaut, qu'il provienne de l'intérieur ou de l'extérieur du réseau. La partie concernée est la construction d'une architecture qui prend en charge ce principe tout en permettant aux activités commerciales légitimes de continuer sans interruption ni latence. Cette nouvelle structure a trouvé écho chez les professionnels de la sécurité réseau dès ses débuts. Cependant, il a fallu des années aux fournisseurs et aux entreprises pour comprendre comment la réaliser dans des environnements sans se noyer dans la complexité des infrastructures.
Aujourd'hui, la structure et les technologies Forrester Zero Trust qui la permettent, telles que la microsegmentation, ont évolué au point de pouvoir être mises en œuvre à grande échelle dans les organisations de toute taille. Bien qu'il n'existe pas de fournisseur unique de solutions de sécurité pour tous les aspects de la structure Zero Trust de Forrester, la microsegmentation peut aider les équipes de sécurité réseau à faire progresser significativement la maturité de leurs initiatives Zero Trust.
La première étape vers la réalisation du Zero Trust consiste à mieux comprendre votre environnement et les ressources essentielles que vous essayez de protéger. Une bonne solution de microsegmentation peut vous aider à recueillir des informations détaillées à partir des charges de travail, des points de terminaison et des réseaux. Cela vous aidera à comprendre les relations et les dépendances entre vos charges de travail et vos points de terminaison, ainsi que leurs schémas de communication normaux.
Vous pouvez ensuite utiliser ces données pour construire la base de votre programme Zero Trust, en commençant par vos ressources les plus prioritaires. À l'aide de contrôles de segmentation granulaires, vous pouvez créer des micropérimètres autour d'applications et d'environnements spécifiques qui ne permettent que les activités que vos équipes autorisent explicitement. Le Zero Trust consiste principalement à mettre en œuvre des stratégies qui refusent toutes les actions qui ne sont pas expressément autorisées et vérifiées. Toutefois, la microsegmentation définie par logiciel offre également aux équipes de sécurité informatique la souplesse nécessaire pour modifier rapidement les stratégies afin de répondre aux nouveaux cas d'utilisation de la sécurité ou à l'évolution des exigences de l'entreprise.
En plus de servir de base de visibilité et de stratégie pour le Zero Trust, une solution de microsegmentation doit également surveiller en permanence vos environnements pour détecter les menaces et violations éventuelles de vos stratégies Zero Trust. Ainsi, votre position Zero Trust reste solide même lorsque vos applications, systèmes et environnements changent au fil du temps.
La microsegmentation peut-elle contribuer à la conformité réglementaire ?
Lorsqu'il s'agit de respecter les réglementations, les entreprises sont confrontées à l'environnement de plus en plus dynamique dans lequel nous travaillons aujourd'hui. À mesure que les réglementations deviennent plus strictes, les audits de sécurité deviennent de plus en plus courants et les conséquences sont plus graves en cas de non-conformité. Il s'agit notamment d'amendes, de dommages à la réputation de l'entreprise et même de pertes de revenus jusqu'à ce que la conformité soit obtenue.
La séparation physique de l'infrastructure informatique ne suffit plus. Les charges de travail sont devenues dynamiques et le CDE n'est pas statique, y compris aux niveaux qui permettent une mise à l'échelle automatique ou des changements imprévisibles. Les réseaux et les applications concernés par les réglementations PCI DSS sont complexes. Ils peuvent s'étendre sur plusieurs machines, inclure des environnements hybrides comme des conteneurs et des machines virtuelles, et même fonctionner à travers plusieurs emplacements physiques ou fuseaux horaires.
La microsegmentation devient une option populaire pour répondre aux réglementations de conformité telles que la norme PCI DSS. La bonne solution peut offrir une visibilité inégalée du trafic et des flux de données sur l'ensemble de votre infrastructure, y compris les environnements hybrides. Elle peut ensuite vous aider à segmenter votre réseau, ce qui réduit la portée et limite la communication au niveau du processus. Cela peut protéger votre CDE, même contre les mouvements latéraux ou les pivots en cas de violation. Un moteur de règles flexible pour la création de règles vous garantit un contrôle absolu sur votre approche de microsegmentation, répondant à des exigences plus approfondies telles que les autorisations et le comportement pour les protocoles non sécurisés.
Pour la conformité PCI et bien plus encore, la microsegmentation peut vous permettre d'obtenir une visibilité puissante sur toutes les applications et charges de travail au niveau des processus, d'élaborer des règles flexibles qui s'appuient sur les réglementations de conformité et de les appliquer afin de contrôler une stratégie de sécurité globale qui vous permet d'effectuer n'importe quel audit.
Pourquoi les clients choisissent-ils Akamai ?
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.