Christophe Cuenot

La micro-segmentation, kesako ?

De la défense périmétrique à la micro-segmentation

L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels. En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche insuffisante.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources.
L’un des outils permettant cette évolution est la micro-segmentation.

Transfert des données personnelles hors de l'Union Européenne
Fonctionnement de la micro-segmentation

Historiquement, l’utilisation de VLAN a permis de séparer des réseaux. Rapidement, cette séparation a été utilisée pour isoler des parties du réseau par niveau de sécurité. La limite de cette isolation repose sur l’introduction dans un VLAN. Mais une fois l’accès à un VLAN établi, les ressources au sein de ce réseau ne sont généralement pas protégées ou mal. Il est possible de mettre en place des restrictions sur celles-ci, comme par exemple le firewall sur les serveurs, cependant l’exploitation de ces outils est délicate et rend rare son déploiement à grande échelle.

Par ailleurs, la micro-segmentation permet un contrôle des échanges entre les différents composants du SI. Ce contrôle peut se baser sur de multiples critères, en commençant par une simple matrice de flux, et en allant jusqu’à la validation de multiples critères techniques (état de l’anti-virus, patch,…). Les actions sont également nombreuses et vont bien au-delà du simple blocage de flux, par exemple, une redirection vers un IDS…. Concrètement, l’intégration par Illumio (micro-segmentation) de mappage de vulnérabilité provenant des outils de Qualys (gestion des vulnérabilités) illustre cette tendance.

La micro-segmentation est avant tout un concept ayant plusieurs déclinaisons selon les constructeurs. Elle peut passer par la mise en place de services de type End point sur les ressources ou être prise en charge/appliquée au niveau des composants réseaux, des hyperviseurs ou des cartes réseaux.

Concrètement, les éditeurs utilisent un vocabulaire différent, mais quelle que soit l’approche, on note des similitudes.

Le point de départ est la connaissance des échanges inter-server et les dépendances applicatives. Les solutions du marché collectent et centralisent ces informations. Cette cartographie sert de base à la création de politiques de sécurité.

La création de ces politiques de sécurité peut se faire selon différentes approches:

  • Par environnement;
  • En fonction des contraintes réglementaires (PCI DSS…);
  • Par type d’application;
  • Par niveau (présentation, application, DB…).

La démarche retenue doit correspondre aux attentes de sécurité.
Ces différentes approches sont déjà connues dans le filtrage des firewalls « traditionnels ».

Les politiques sont ensuite déployées sur l’infrastructure ou les serveurs.

Selon l’éditeur, la politique de sécurité à appliquer peut être déterminée en fonction de différents attributs comme, par exemple, le nom. Cette approche permet d’ajouter la sécurité via la micro-segmentation sans trop alourdir le processus de mise en place d’un nouveau serveur.

La précision des politiques étant un point particulièrement important. Trop générique, cela limite la pertinence de la micro-segmentation, trop spécifique, cela rend la généralisation complexe.

Les flux ne rentrant pas dans la politique en place sur un serveur, ils peuvent fournir des informations pour identifier rapidement un problème de sécurité. Cette divergence peut par exemple servir à la mise en quarantaine du serveur.

Plusieurs approches possibles pour la mise en oeuvre

Pour la mise en oeuvre de la micro-segmentation, plusieurs approches sont possibles: à travers des agents (ex: solution guardicore) ou via un composant d’architecture dédié. Ces différentes solutions ont des avantages et des inconvénients, il faut cependant retenir les éléments suivants:

Le mode agent offre une souplesse et permet de valider facilement des éléments du serveur (état antiviral, patch,…) mais nécessite l’installation d’un agent, entrainant des inconvénients (prise en charge des OS, gestion des Virtual Appliances, impacts sur les performances…).

A l’inverse, le positionnement sur un composant d’infrastructure, comme l’hyperviseur (solution NSX de VMware) permet un fonctionnement indépendant de la ressource protégée, mais ne prend pas en compte directement les composants non virtualisés.

L’approche pure réseau, comme le propose Cisco avec Tetration, agit au niveau de l’orchestration du réseau. Cela nécessite la mise en place d’une infrastructure de collecte des données (création des matrices de flux). L’application des politiques est ensuite directement appliquée sur les commutateurs (physique et virtuel). Cette approche repose sur l’utilisation des ACL sur les commutateurs. L’impact de la mise en œuvre doit donc être analysé précisément.

Une dernière approche repose sur l’utilisation de cartes réseau spécialisées intégrant des composants dédiés à la segmentation (solution ServerLock de Solaflare). Le fonctionnement de cette solution doit être pris en compte lors de l’acquisition des équipements. Cela rend la mise en place délicate dans un parc existant. Evidemment le support des cartes sur les différentes plateformes matérielles est un autre point important. Cette dernière solution semble, a priori, être destinée à des cas d’usage bien précis.

En conséquence, le choix d’une solution doit être mûrement réfléchi pour intégrer les différents cas d’usage, le type d’hébergement, les contraintes techniques ou réglementaires….

Conclusion

Le concept de micro-segmentation n’est pas récent mais suit l’évolution des infrastructures vers le Software Design.

Dans tous les cas, sa mise en œuvre doit se faire de manière réfléchie et étudiée. Une bonne connaissance du SI étant le prérequis indispensable à sa mise en œuvre.

Articles associés

Wissam : être une femme dans l’IT

9 octobre 2023
Wissam est consultante Gouvernance Risque et Conformité (GRC) chez iDNA et évolue dans un univers principalement masculin. Nous avons souhaité en savoir plus sur son parcours et sa place en tant que femme dans l’IT. Elle a accepté volontiers de répondre à nos questions :   Bonjour Wissam, tout d’abord quel est ton parcours de formation ? Initialement, […]

Tout savoir sur le SDN : « Software Defined Networking »

6 mai 2022
Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]