Une nouvelle approche de la sécurité basée sur la micro segmentation

September 6, 2016
Une nouvelle approche de la sécurité basée sur la micro segmentation

Sécuriser les datacenters consiste traditionnellement à établir un solide périmètre de défense pour garder les menaces à l’extérieur. Malheureusement dans un contexte où les applications sont devenues plus complexes les datacenters, même munis de DMZs, sont dépourvus de défenses efficaces une fois que la menace a réussi à pénétrer un périmètre. De nouvelles approches basées sur le principe de la « Zero Trust Zone » et de la micro segmentation sont apparues pour répondre à ces nouvelles menaces.

Il est temps de repenser l’approche de la sécurité. A l’époque où les  applications reposaient sur des architectures relativement simples on pouvait sécuriser assez facilement un environnement applicatif en se concentrant sur le trafic « Nord-Sud » c’est-à-dire entre l’utilisateur qui faisait une requête et le serveur d’application dans le Data Center. Aujourd’hui les applications sont nombreuses et dynamiques et nécessitent des architectures complexes mettant en jeux de nombreux composants  qui interagissent entre eux lors d’une requête et génèrent du trafic dit « Est-Ouest » dans le réseau du Data Center. Une simple requête peut générer 7 transactions au sein du data center. Les pirates qui ne sont pas en manquent d’ingéniosité ont su profité de ce contexte en exploitant les contrôles de sécurité positionnés au niveau d’un périmètre et les flux ouverts entre les  composants d’une même application. Tout ceci concourt à accroitre le sentiment d’insécurité alors que les budgets de la sécurité sont en constante augmentation. Il faut donc repenser l’approche de la sécurité.

On ne doit plus faire confiance.  Auparavant on cloisonnait le datacenter avec des niveaux de confiance différents en supposant que tous les éléments d’une même zone avaient le même niveau de confiance. Les risques de propagation latérale remettent brutalement ce modèle en cause. Une fois la faille trouvée, la menace s’installe dans la place et se propage latéralement d’Est en Ouest dans l’infrastructure applicative pour dérober des données, réclamer une rançon ou bloquer un système informatique. On doit donc partir du principe que la confiance n’existe plus et bâtir des zones en conséquence. C’est le principe même des « Zero Trust Zones » qui se construisent par le biais de la micro segmentation et ou chaque action est validée avant d’être exécutée. C’est un modèle stricte de sécurité micro granulaire capable de relier la sécurité à des charges applicatives individuelles (au niveau d’une VM) et de provisionner des politiques de sécurité automatiquement. La segmentation n’est pas un modèle nouveau en soi, elle fait partie des principes fondamentaux de la sécurité depuis des dizaines d’années mais pour être réellement efficace dans le contexte actuel, la segmentation et les pare-feu doivent pouvoir s’effectuer au niveau d’une charge applicative individuelle. Un problème complexe quand on sait qu’un datacenter peut contenir des milliers d’applications et que chacune peut nécessiter des conditions de sécurité particulières. Déployer des milliers de pare-feu pour réaliser cette tâche serait à la fois coûteuse et peu efficace.

Une sécurité intelligente qui s’adapte dynamiquement.  La micro segmentation divise le datacenter  en petits segments de sécurité distincts. Chaque micro segment est un workload (une VM) et se voit associer des services et des règles de sécurité appropriés. Cela revient à ramener la sécurité au plus proche du workload en utilisant la virtualisation du réseau.  La micro segmentation est mise en œuvre par VMware avec NSX et offre de nombreuses possibilités :

  • Isolation et Segmentation au niveau de l’interface virtuelle de réseau d’une VM. En cas d’une VM compromise, la zone de quarantaine se limitera à la VM concernée sans pénaliser d’autres ressources
  • intelligent  grouping (ou de « security grouping »). Cette fonction utilisée par NSX permet d’appliquer dynamiquement au niveau d’une VM des politiques de sécurité indépendamment de l’infrastructure physique.
  • Automatisation des workflows de sécurité tels que la réponse à des menaces ou la gestion des politiques de sécurité par exemple.
  • Service chaining sans redesign de l’architecture réseau. C’est la seule solution qui le permette à ce jour.
  • Sécurité granulaire avec une gestion centralisée. Appelée aussi ubiquité, cette caractéristique permet d’amener la sécurité près du workload sans rajouter de la complexité de gestion

La micro segmentation mise en œuvre avec NSX apporte une nouvelle vision  de la sécurité plus conforme aux datacenters modernes et aux nouvelles applications. Elle offre également l’architecture de base adressant les niveaux de filtrage de 2 à 4 sur laquelle des partenaires spécialistes de la sécurité vont pouvoir s’appuyer pour offrir des services de sécurité complémentaires.

A lire également le billet d’Alexandre Hugla « VMware NSX : l’ascension d’un acteur inattendu de la sécurité »

Pour plus de détails télécharger Micro-Segmentation for Dummies


 
Related Posts
 

Bienvenue pour notre récapitulatif du deuxième jour de VMworld Europe ! …

Read More

Résumé du premier jour de VMworld : les bons experts résolvent …

Read More

VMworld 2017 Europe arrive la semaine prochaine. Pour profiter pleinement …

Read More

Chronique de Sylvain Cazard, Vice-Président de VMware en France

Les entreprises …

Read More

 
 
Blog Archive