Réseaux : l’essor de la microsegmentation ou « distanciation digitale »

Par Trevor Pott, Technical Security Lead, Juniper Networks

Le monde entier est désormais familier avec le concept de « distanciation sociale » ou l’observation d’une distance de sécurité vis-à-vis des autres personnes afin de limiter les risques de contamination. L’informatique professionnelle, qui réplique souvent les modèles que la nature ou l’humain explorent se met peu à peu à la « distanciation digitale ». Cette approche connait un succès croissant chez les spécialistes de la sécurité tant le parallèle est évident : maintenir une distance de sécurité entre les workloads et les éléments d’un SI pour éviter la circulation des menaces.

La microsegmentation d’un réseau est une pratique qui s’inscrit parfaitement dans cette logique et son utilisation est en plein essor. Comme pour son alter ego social, le concept fondamental qui la régit est de limiter autant que possible les contacts inutiles. La plupart des systèmes qui composent un SI n’ont besoin de communiquer qu’avec un nombre très limité d’autres systèmes. La microsegmentation consiste donc à s’assurer que chaque système ne peut communiquer qu’avec les entités qui sont nécessaires à son bon fonctionnement, rien de plus et rien de moins.

Une approche par liste blanche

Sur le plan technique, la microsegmentation revient à établir une liste blanche du trafic réseau qui encadre quels systèmes peuvent communiquer entre eux et par quels moyens. C’est une approche qui renforce largement la sécurité des datacenters puisqu’elle exerce un contrôle strict sur le trafic entrant et sortant d’une connexion réseau donnée, potentiellement de toutes les connexions. Fondamentalement, la microsegmentation est issue du modèle Zero Trust dans lequel on considère qu’aucun utilisateur n’est totalement digne de confiance sur un réseau.

La microsegmentation est l’une des pratiques les plus performantes dont disposent actuellement les professionnels IT pour lutter contre la propagation latérale des menaces. En limitant la capacité de chaque système à communiquer avec les autres sur le réseau, les possibilités de progression d’une attaque sont réduites. Le parallèle avec la distanciation sociale ne s’arrête pas là. Des quarantaines sélectives peuvent être appliquées pour confiner complètement les segments compromis d’un réseau. Le trafic est alors complètement interrompu depuis et vers ces segments.

La microsegmentation est une approche radicalement différente par rapport au modèle de sécurité périmétrique dans lequel toutes les protections sont concentrées autour du réseau alors que la circulation est libre à l’intérieur. Lorsqu’une compromission intervient à l’intérieur du périmètre, les hackeurs les plus expérimentés savent en tirer parti pour diffuser leurs attaques latéralement. L’approche périmétrique est alors inefficace. Pour bloquer les attaques les plus perfectionnées, il est essentiel de déployer des protections horizontales aux côtés des systèmes verticaux plus traditionnels.

Le risque d’une trop grande isolation existe-t-il ?

Dans ses implémentations les plus élaborées, la microsegmentation ajoute des overlays réseau. En combinant un overlay avec des listes de contrôle d’accès (ACL), il est possible de restreindre tout le trafic entrant et sortant d’un système spécifique de sorte que seuls les éléments légitimes puissent le consulter et y répondre.

En pratique, dans un SI, rares sont les systèmes qui peuvent être complètement isolés. A minima, ils font appel à un autre élément pour obtenir les mises à jour de sécurité. Dans un fonctionnement applicatif traditionnel, l’isolement total d’un système tel que requis par certaines réglementations n’est tout simplement pas possible. La microsegmentation peut apporter une réponse à ce besoin et à cette contrainte.

Un système de microsegmentation judicieusement conçu permet de placer des pare-feux virtuels (ou, comme c’est de plus en plus souvent le cas, containerisé) à la périphérie d’un segment donné, de sorte qu’il en contrôle l’ensemble du trafic entrant ou sortant. Cette approche permet une isolation très forte des systèmes. Seuls ceux qui ont absolument besoin de communiquer avec l’extérieur sont rattachés au segment de réseau concerné et le pare-feu contrôle le routage au-delà de ce segment.

Le contrôle du trafic entrant et sortant de chaque segment à travers un pare-feu (comprenant l’examen et/ou le filtrage de toute autre fonction de sécurité du réseau incluse pour aider à l’analyse du trafic) fournit un niveau de protection supplémentaire – qui ne peut être facilement atteint avec de simples listes de contrôles d’accès ou des overlays réseau. Toutefois la combinaison des deux approches – la sécurité périmétrique et les listes de contrôles d’accès soigneusement conçues – assure la protection maximale des workloads.

Les listes de contrôles d’accès limitent la communication vers une charge de travail donnée et à partir de celle-ci. Le pare-feu et les services de sécurité avancés associés au bord du segment analysent et contrôlent le trafic entrant et sortant du segment. Les flux de données qui sortent du datacenter peuvent également être examinés plus en détail par les systèmes de défense périmétriques.

Cela conduit à une sécurité multicouche qui protège les workloads des menaces extérieures au datacenter (défenses en périphérie du datacenter), intérieures au datacenter, mais extérieures au segment de réseau de la charge de travail (défenses en périphérie du segment) et intérieures au segment de réseau lui-même (listes de contrôle d’accès).

Dans ce modèle, la multiplication des couches de sécurité peut compliquer la tâche lorsqu’il faut déterminer celle qui empêche le fonctionnement d’une application. Cependant il constitue une amélioration significative de la sécurité par rapport à l’approche classique qui repose exclusivement sur les systèmes de défense en périphérie des datacenters.

Une agilité maximale

La combinaison des listes de contrôle d’accès et des overlays réseau permet aux workloads d’exister partout où la couche virtuelle nécessaire est présente. Si tous les ports des switches sont capables de permettre à une charge de travail de se connecter au réseau virtuel (overlay), alors celle-ci peut physiquement exister partout où le réseau s’étend, ce qui facilite le déploiement de workloads à l’endroit précis où elles sont nécessaires, uniquement quand elles le sont, et sans nécessiter de planification importante.

La possibilité d’ajouter, en toute sécurité, un serveur ou une machine virtuelle n’importe où sur le réseau augmente considérablement la flexibilité du positionnement des workloads.

Ce type d’agilité repose toutefois complètement sur la manière dont le réseau est conçu. Au lieu d’un réseau strictement hiérarchique conçu pour des interactions verticales, le trafic horizontal et le modèle « mesh » deviennent fondamentaux. La transition entre ces deux approches du design réseau nécessite souvent une période d’adaptation, mais le design « mesh » peut réduire les coûts en permettant une plus grande capacité structurelle et sans requérir des switchs centraux capables de gérer seuls la quasi-totalité du trafic horizontal.