Christophe Cuenot

La micro-segmentation, kesako ?

De la défense périmétrique à la micro-segmentation

L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels. En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche insuffisante.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources.
L’un des outils permettant cette évolution est la micro-segmentation.

Transfert des données personnelles hors de l'Union Européenne
Fonctionnement de la micro-segmentation

Historiquement, l’utilisation de VLAN a permis de séparer des réseaux. Rapidement, cette séparation a été utilisée pour isoler des parties du réseau par niveau de sécurité. La limite de cette isolation repose sur l’introduction dans un VLAN. Mais une fois l’accès à un VLAN établi, les ressources au sein de ce réseau ne sont généralement pas protégées ou mal. Il est possible de mettre en place des restrictions sur celles-ci, comme par exemple le firewall sur les serveurs, cependant l’exploitation de ces outils est délicate et rend rare son déploiement à grande échelle.

Par ailleurs, la micro-segmentation permet un contrôle des échanges entre les différents composants du SI. Ce contrôle peut se baser sur de multiples critères, en commençant par une simple matrice de flux, et en allant jusqu’à la validation de multiples critères techniques (état de l’anti-virus, patch,…). Les actions sont également nombreuses et vont bien au-delà du simple blocage de flux, par exemple, une redirection vers un IDS…. Concrètement, l’intégration par Illumio (micro-segmentation) de mappage de vulnérabilité provenant des outils de Qualys (gestion des vulnérabilités) illustre cette tendance.

La micro-segmentation est avant tout un concept ayant plusieurs déclinaisons selon les constructeurs. Elle peut passer par la mise en place de services de type End point sur les ressources ou être prise en charge/appliquée au niveau des composants réseaux, des hyperviseurs ou des cartes réseaux.

Concrètement, les éditeurs utilisent un vocabulaire différent, mais quelle que soit l’approche, on note des similitudes.

Le point de départ est la connaissance des échanges inter-server et les dépendances applicatives. Les solutions du marché collectent et centralisent ces informations. Cette cartographie sert de base à la création de politiques de sécurité.

La création de ces politiques de sécurité peut se faire selon différentes approches:

  • Par environnement;
  • En fonction des contraintes réglementaires (PCI DSS…);
  • Par type d’application;
  • Par niveau (présentation, application, DB…).

La démarche retenue doit correspondre aux attentes de sécurité.
Ces différentes approches sont déjà connues dans le filtrage des firewalls “traditionnels”.

Les politiques sont ensuite déployées sur l’infrastructure ou les serveurs.

Selon l’éditeur, la politique de sécurité à appliquer peut être déterminée en fonction de différents attributs comme, par exemple, le nom. Cette approche permet d’ajouter la sécurité via la micro-segmentation sans trop alourdir le processus de mise en place d’un nouveau serveur.

La précision des politiques étant un point particulièrement important. Trop générique, cela limite la pertinence de la micro-segmentation, trop spécifique, cela rend la généralisation complexe.

Les flux ne rentrant pas dans la politique en place sur un serveur, ils peuvent fournir des informations pour identifier rapidement un problème de sécurité. Cette divergence peut par exemple servir à la mise en quarantaine du serveur.

Plusieurs approches possibles pour la mise en oeuvre

Pour la mise en oeuvre de la micro-segmentation, plusieurs approches sont possibles: à travers des agents (ex: solution guardicore) ou via un composant d’architecture dédié. Ces différentes solutions ont des avantages et des inconvénients, il faut cependant retenir les éléments suivants:

Le mode agent offre une souplesse et permet de valider facilement des éléments du serveur (état antiviral, patch,…) mais nécessite l’installation d’un agent, entrainant des inconvénients (prise en charge des OS, gestion des Virtual Appliances, impacts sur les performances…).

A l’inverse, le positionnement sur un composant d’infrastructure, comme l’hyperviseur (solution NSX de VMware) permet un fonctionnement indépendant de la ressource protégée, mais ne prend pas en compte directement les composants non virtualisés.

L’approche pure réseau, comme le propose Cisco avec Tetration, agit au niveau de l’orchestration du réseau. Cela nécessite la mise en place d’une infrastructure de collecte des données (création des matrices de flux). L’application des politiques est ensuite directement appliquée sur les commutateurs (physique et virtuel). Cette approche repose sur l’utilisation des ACL sur les commutateurs. L’impact de la mise en œuvre doit donc être analysé précisément.

Une dernière approche repose sur l’utilisation de cartes réseau spécialisées intégrant des composants dédiés à la segmentation (solution ServerLock de Solaflare). Le fonctionnement de cette solution doit être pris en compte lors de l’acquisition des équipements. Cela rend la mise en place délicate dans un parc existant. Evidemment le support des cartes sur les différentes plateformes matérielles est un autre point important. Cette dernière solution semble, a priori, être destinée à des cas d’usage bien précis.

En conséquence, le choix d’une solution doit être mûrement réfléchi pour intégrer les différents cas d’usage, le type d’hébergement, les contraintes techniques ou réglementaires….

Conclusion

Le concept de micro-segmentation n’est pas récent mais suit l’évolution des infrastructures vers le Software Design.

Dans tous les cas, sa mise en œuvre doit se faire de manière réfléchie et étudiée. Une bonne connaissance du SI étant le prérequis indispensable à sa mise en œuvre.

Articles associés

L’évolution des architectures réseaux en data center

12 juillet 2021
L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6

3 mars 2021
Comme vous l’aurez deviné, on ne va pas discuter ici de l’importance d’utiliser le pronom masculin ou féminin pour l’acronyme wifi, mais bien de cette “version 6” qui chamboule tout – à commencer par sa nomenclature. Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons […]
Partager cet article
Derniers articles

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]

L’évolution des architectures réseaux en data center

L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]