Christophe Cuenot

La micro-segmentation, kesako ?

De la défense périmétrique à la micro-segmentation

L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels. En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche insuffisante.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources.
L’un des outils permettant cette évolution est la micro-segmentation.

Transfert des données personnelles hors de l'Union Européenne
Fonctionnement de la micro-segmentation

Historiquement, l’utilisation de VLAN a permis de séparer des réseaux. Rapidement, cette séparation a été utilisée pour isoler des parties du réseau par niveau de sécurité. La limite de cette isolation repose sur l’introduction dans un VLAN. Mais une fois l’accès à un VLAN établi, les ressources au sein de ce réseau ne sont généralement pas protégées ou mal. Il est possible de mettre en place des restrictions sur celles-ci, comme par exemple le firewall sur les serveurs, cependant l’exploitation de ces outils est délicate et rend rare son déploiement à grande échelle.

Par ailleurs, la micro-segmentation permet un contrôle des échanges entre les différents composants du SI. Ce contrôle peut se baser sur de multiples critères, en commençant par une simple matrice de flux, et en allant jusqu’à la validation de multiples critères techniques (état de l’anti-virus, patch,…). Les actions sont également nombreuses et vont bien au-delà du simple blocage de flux, par exemple, une redirection vers un IDS…. Concrètement, l’intégration par Illumio (micro-segmentation) de mappage de vulnérabilité provenant des outils de Qualys (gestion des vulnérabilités) illustre cette tendance.

La micro-segmentation est avant tout un concept ayant plusieurs déclinaisons selon les constructeurs. Elle peut passer par la mise en place de services de type End point sur les ressources ou être prise en charge/appliquée au niveau des composants réseaux, des hyperviseurs ou des cartes réseaux.

Concrètement, les éditeurs utilisent un vocabulaire différent, mais quelle que soit l’approche, on note des similitudes.

Le point de départ est la connaissance des échanges inter-server et les dépendances applicatives. Les solutions du marché collectent et centralisent ces informations. Cette cartographie sert de base à la création de politiques de sécurité.

La création de ces politiques de sécurité peut se faire selon différentes approches:

  • Par environnement;
  • En fonction des contraintes réglementaires (PCI DSS…);
  • Par type d’application;
  • Par niveau (présentation, application, DB…).

La démarche retenue doit correspondre aux attentes de sécurité.
Ces différentes approches sont déjà connues dans le filtrage des firewalls « traditionnels ».

Les politiques sont ensuite déployées sur l’infrastructure ou les serveurs.

Selon l’éditeur, la politique de sécurité à appliquer peut être déterminée en fonction de différents attributs comme, par exemple, le nom. Cette approche permet d’ajouter la sécurité via la micro-segmentation sans trop alourdir le processus de mise en place d’un nouveau serveur.

La précision des politiques étant un point particulièrement important. Trop générique, cela limite la pertinence de la micro-segmentation, trop spécifique, cela rend la généralisation complexe.

Les flux ne rentrant pas dans la politique en place sur un serveur, ils peuvent fournir des informations pour identifier rapidement un problème de sécurité. Cette divergence peut par exemple servir à la mise en quarantaine du serveur.

Plusieurs approches possibles pour la mise en oeuvre

Pour la mise en oeuvre de la micro-segmentation, plusieurs approches sont possibles: à travers des agents (ex: solution guardicore) ou via un composant d’architecture dédié. Ces différentes solutions ont des avantages et des inconvénients, il faut cependant retenir les éléments suivants:

Le mode agent offre une souplesse et permet de valider facilement des éléments du serveur (état antiviral, patch,…) mais nécessite l’installation d’un agent, entrainant des inconvénients (prise en charge des OS, gestion des Virtual Appliances, impacts sur les performances…).

A l’inverse, le positionnement sur un composant d’infrastructure, comme l’hyperviseur (solution NSX de VMware) permet un fonctionnement indépendant de la ressource protégée, mais ne prend pas en compte directement les composants non virtualisés.

L’approche pure réseau, comme le propose Cisco avec Tetration, agit au niveau de l’orchestration du réseau. Cela nécessite la mise en place d’une infrastructure de collecte des données (création des matrices de flux). L’application des politiques est ensuite directement appliquée sur les commutateurs (physique et virtuel). Cette approche repose sur l’utilisation des ACL sur les commutateurs. L’impact de la mise en œuvre doit donc être analysé précisément.

Une dernière approche repose sur l’utilisation de cartes réseau spécialisées intégrant des composants dédiés à la segmentation (solution ServerLock de Solaflare). Le fonctionnement de cette solution doit être pris en compte lors de l’acquisition des équipements. Cela rend la mise en place délicate dans un parc existant. Evidemment le support des cartes sur les différentes plateformes matérielles est un autre point important. Cette dernière solution semble, a priori, être destinée à des cas d’usage bien précis.

En conséquence, le choix d’une solution doit être mûrement réfléchi pour intégrer les différents cas d’usage, le type d’hébergement, les contraintes techniques ou réglementaires….

Conclusion

Le concept de micro-segmentation n’est pas récent mais suit l’évolution des infrastructures vers le Software Design.

Dans tous les cas, sa mise en œuvre doit se faire de manière réfléchie et étudiée. Une bonne connaissance du SI étant le prérequis indispensable à sa mise en œuvre.

Articles associés

Tout savoir sur le SDN : « Software Defined Networking »

6 mai 2022
Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

Bien choisir son accès internet

22 décembre 2021
De nos jours, toutes les entreprises disposent d’un accès internet, mais comment bien le choisir ?   Avant d’aborder quelques principes permettant d’aiguiller le choix, il convient de rappeler les éléments techniques primordiaux dans les accès internet.   Le premier est la latence, que l’on peut résumer au temps mis pour qu’un message aille de […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]