Christophe Cuenot

La micro-segmentation, kesako ?

De la défense périmétrique à la micro-segmentation

L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels. En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche insuffisante.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources.
L’un des outils permettant cette évolution est la micro-segmentation.

Transfert des données personnelles hors de l'Union Européenne
Fonctionnement de la micro-segmentation

Historiquement, l’utilisation de VLAN a permis de séparer des réseaux. Rapidement, cette séparation a été utilisée pour isoler des parties du réseau par niveau de sécurité. La limite de cette isolation repose sur l’introduction dans un VLAN. Mais une fois l’accès à un VLAN établi, les ressources au sein de ce réseau ne sont généralement pas protégées ou mal. Il est possible de mettre en place des restrictions sur celles-ci, comme par exemple le firewall sur les serveurs, cependant l’exploitation de ces outils est délicate et rend rare son déploiement à grande échelle.

Par ailleurs, la micro-segmentation permet un contrôle des échanges entre les différents composants du SI. Ce contrôle peut se baser sur de multiples critères, en commençant par une simple matrice de flux, et en allant jusqu’à la validation de multiples critères techniques (état de l’anti-virus, patch,…). Les actions sont également nombreuses et vont bien au-delà du simple blocage de flux, par exemple, une redirection vers un IDS…. Concrètement, l’intégration par Illumio (micro-segmentation) de mappage de vulnérabilité provenant des outils de Qualys (gestion des vulnérabilités) illustre cette tendance.

La micro-segmentation est avant tout un concept ayant plusieurs déclinaisons selon les constructeurs. Elle peut passer par la mise en place de services de type End point sur les ressources ou être prise en charge/appliquée au niveau des composants réseaux, des hyperviseurs ou des cartes réseaux.

Concrètement, les éditeurs utilisent un vocabulaire différent, mais quelle que soit l’approche, on note des similitudes.

Le point de départ est la connaissance des échanges inter-server et les dépendances applicatives. Les solutions du marché collectent et centralisent ces informations. Cette cartographie sert de base à la création de politiques de sécurité.

La création de ces politiques de sécurité peut se faire selon différentes approches:

  • Par environnement;
  • En fonction des contraintes réglementaires (PCI DSS…);
  • Par type d’application;
  • Par niveau (présentation, application, DB…).

La démarche retenue doit correspondre aux attentes de sécurité.
Ces différentes approches sont déjà connues dans le filtrage des firewalls « traditionnels ».

Les politiques sont ensuite déployées sur l’infrastructure ou les serveurs.

Selon l’éditeur, la politique de sécurité à appliquer peut être déterminée en fonction de différents attributs comme, par exemple, le nom. Cette approche permet d’ajouter la sécurité via la micro-segmentation sans trop alourdir le processus de mise en place d’un nouveau serveur.

La précision des politiques étant un point particulièrement important. Trop générique, cela limite la pertinence de la micro-segmentation, trop spécifique, cela rend la généralisation complexe.

Les flux ne rentrant pas dans la politique en place sur un serveur, ils peuvent fournir des informations pour identifier rapidement un problème de sécurité. Cette divergence peut par exemple servir à la mise en quarantaine du serveur.

Plusieurs approches possibles pour la mise en oeuvre

Pour la mise en oeuvre de la micro-segmentation, plusieurs approches sont possibles: à travers des agents (ex: solution guardicore) ou via un composant d’architecture dédié. Ces différentes solutions ont des avantages et des inconvénients, il faut cependant retenir les éléments suivants:

Le mode agent offre une souplesse et permet de valider facilement des éléments du serveur (état antiviral, patch,…) mais nécessite l’installation d’un agent, entrainant des inconvénients (prise en charge des OS, gestion des Virtual Appliances, impacts sur les performances…).

A l’inverse, le positionnement sur un composant d’infrastructure, comme l’hyperviseur (solution NSX de VMware) permet un fonctionnement indépendant de la ressource protégée, mais ne prend pas en compte directement les composants non virtualisés.

L’approche pure réseau, comme le propose Cisco avec Tetration, agit au niveau de l’orchestration du réseau. Cela nécessite la mise en place d’une infrastructure de collecte des données (création des matrices de flux). L’application des politiques est ensuite directement appliquée sur les commutateurs (physique et virtuel). Cette approche repose sur l’utilisation des ACL sur les commutateurs. L’impact de la mise en œuvre doit donc être analysé précisément.

Une dernière approche repose sur l’utilisation de cartes réseau spécialisées intégrant des composants dédiés à la segmentation (solution ServerLock de Solaflare). Le fonctionnement de cette solution doit être pris en compte lors de l’acquisition des équipements. Cela rend la mise en place délicate dans un parc existant. Evidemment le support des cartes sur les différentes plateformes matérielles est un autre point important. Cette dernière solution semble, a priori, être destinée à des cas d’usage bien précis.

En conséquence, le choix d’une solution doit être mûrement réfléchi pour intégrer les différents cas d’usage, le type d’hébergement, les contraintes techniques ou réglementaires….

Conclusion

Le concept de micro-segmentation n’est pas récent mais suit l’évolution des infrastructures vers le Software Design.

Dans tous les cas, sa mise en œuvre doit se faire de manière réfléchie et étudiée. Une bonne connaissance du SI étant le prérequis indispensable à sa mise en œuvre.

Articles associés

Tout savoir sur le SDN : « Software Defined Networking »

6 mai 2022
Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

Bien choisir son accès internet

22 décembre 2021
De nos jours, toutes les entreprises disposent d’un accès internet, mais comment bien le choisir ?   Avant d’aborder quelques principes permettant d’aiguiller le choix, il convient de rappeler les éléments techniques primordiaux dans les accès internet.   Le premier est la latence, que l’on peut résumer au temps mis pour qu’un message aille de […]
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]