Microsegmentation est une méthode de création de zones sécurisées granulaires dans les centres de données et les déploiements cloud jusqu'aux charges de travail individuelles à l'aide de la technologie de virtualisation pour surveiller et protéger le trafic latéral. Les solutions de sécurité traditionnelles, telles que les pare-feu, les VPN et le contrôle d'accès au réseau (NAC), se concentrent principalement sur la protection du périmètre d'un réseau, également appelé trafic nord-sud. La microsegmentation, quant à elle, surveille et sécurise le trafic est-ouest ou latéral. Cela inclut les connexions de serveur à serveur, d'application à serveur et de Web à serveur au sein du réseau.
L'adoption croissante des réseaux définis par logiciel et de la virtualisation des réseaux a créé le besoin de mesures de sécurité interne plus granulaires. La microsegmentation est au cœur de la sécurité Zero Trust.
Microsegmentation vs segmentation du réseau
Les organisations dotées d'environnements matériels utilisent des pare-feu, des VPN et des VLAN pour la segmentation du réseau. Cette méthode protège le périmètre mais ne sécurise pas le trafic interne. Il repose sur des politiques grossières qui offrent un contrôle limité du trafic. Si un attaquant parvient à y accéder, on lui fera confiance pour se déplacer librement sur le réseau. La microsegmentation vise à bloquer ces connexions non autorisées.
Des politiques de sécurité granulaires sont attribuées à chaque segment avec une microsegmentation pour éloigner les paramètres de sécurité des réseaux et des adresses IP et les concentrer sur l'identité des utilisateurs et les applications. Ces politiques empêchent les utilisateurs et applications non autorisés de se déplacer latéralement sur un réseau. Les politiques peuvent être définies en fonction de constructions du monde réel, telles que des groupes d'utilisateurs, des groupes d'accès et des groupes de réseau. Si une violation de politique est détectée, les outils de microsegmentation enverront une alerte et, dans certains cas, bloqueront les activités non autorisées. Des milliers de politiques grossières pour chaque segment seraient nécessaires pour obtenir la même protection latérale du trafic que la microsegmentation peut fournir.
Sécurité de base à zéro confiance
La microsegmentation est la clé de la mise en œuvre d'un cadre de confiance zéro. Ce modèle repose sur le concept de «ne rien faire confiance et de tout vérifier». Il vise à authentifier chaque connexion établie à l'intérieur du réseau pour empêcher les attaquants de passer d'une charge de travail compromise à une autre. En segmentant les charges de travail et en appliquant des politiques de sécurité à granularité fine, jusqu'aux machines et applications uniques, la surface d'attaque globale d'un réseau est réduite.