Comment fonctionne la macro-segmentation
La macro-segmentation est souvent mise en œuvre sous la forme d'une superposition à l'infrastructure du réseau physique d'une organisation. Pour ce faire, on utilise une combinaison de pare-feu et de réseaux locaux virtuels (VLAN).
Un VLAN est un réseau virtualisé qui définit la manière dont le trafic doit être acheminé sur le réseau physique. Cela signifie que si deux systèmes se trouvent sur des VLAN différents, il se peut que le trafic ne puisse pas être acheminé directement entre eux. Au lieu de cela, les VLAN sont configurés de telle sorte que tout le trafic entre les VLAN doit d'abord passer par un pare-feu. Cela permet au pare-feu d'imposer des limites entre les VLAN, c'est-à-dire de bloquer tout trafic qui tente de franchir une limite de VLAN sans autorisation, et d'effectuer des inspections de sécurité et d'appliquer des politiques de contrôle d'accès.
Macro-segmentation et micro-segmentation
La macro-segmentation et la micro-segmentation sont toutes deux des méthodes permettant de diviser le réseau d'une organisation en sections et peuvent offrir un certain nombre d'avantages. Cependant, les politiques de macro-segmentation et de micro-segmentation sont très différentes :
- Macro-segmentation : La macro-segmentation divise un réseau en groupes de systèmes, ce qui permet de diviser l'infrastructure du réseau et les systèmes en fonction des départements ou d'autres critères. Il est généralement mis en œuvre à l'aide de VLAN et de pare-feu.
- Micro-segmentation : La micro-segmentation divise généralement l'infrastructure d'une organisation au niveau du système ou même de l'application. Il est utilisé pour fournir une visibilité et un contrôle très granulaires sur les flux de données au sein du réseau d'une organisation, permettant la mise en œuvre d'une stratégie de sécurité de type "zéro confiance". Il est souvent déployé à l'aide de solutions définies par logiciel, car ces systèmes nécessitent déjà une visibilité et un contrôle approfondis à des fins de routage (ce qui facilite l'inspection et l'application des politiques).
Principaux avantages de la macro-segmentation
La macro-segmentation transforme le réseau d'une organisation d'un monolithe en une collection de sous-réseaux distincts. Cela présente un certain nombre d'avantages pour une organisation :
- Visibilité et contrôle accrus : Sans la mise en œuvre de la macro-segmentation, une organisation ne dispose que d'une visibilité et d'un contrôle approfondis du trafic réseau au niveau du périmètre du réseau, là où il passe par le pare-feu périphérique. Grâce à la macro-segmentation, les pare-feu des réseaux internes permettent de mieux comprendre et contrôler les flux de données au sein du réseau d'une organisation.
- Amélioration de la sécurité : L'une des principales raisons pour lesquelles les entreprises mettent en œuvre la macro-segmentation est de renforcer leur résistance aux cyber-attaques. Un attaquant qui se trouve à l'intérieur du réseau d'une organisation devra probablement s'y déplacer latéralement pour atteindre son objectif, car il est peu probable que les systèmes communément compromis (postes de travail des utilisateurs, etc.) soient son objectif. La macro-segmentation permet à une organisation d'inspecter les flux de données internes aux limites des segments, ce qui augmente la probabilité de détecter ce mouvement latéral.
- Amélioration des performances du réseau : La macro-segmentation permet à une organisation de segmenter un réseau en fonction de ses besoins. Cela peut contribuer à réduire la latence et la congestion du réseau en garantissant que les systèmes qui communiquent fréquemment entre eux sont étroitement connectés et que les flux de réseau superflus ne consomment pas une bande passante précieuse.
- Conformité réglementaire : Certaines réglementations relatives à la protection des données, comme la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), exigent que les organisations limitent l'accès aux données protégées (comme les cartes de paiement) en fonction du besoin d'en connaître. La macro-segmentation est un élément essentiel de la conformité réglementaire PCI DSS, car les organisations conformes doivent isoler les systèmes utilisés pour le traitement des cartes de paiement du reste du réseau de l'entreprise.
Mise en œuvre de la macro-segmentation avec le point de contrôle
La macro-segmentation utilise des pare-feu de réseau interne pour définir des VLAN et effectuer une inspection du contenu du trafic traversant les limites des VLAN. Cela présente un certain nombre d'avantages pour une organisation et constitue probablement un élément essentiel de la sécurité des données et de la stratégie de conformité réglementaire d'une entreprise.
Cependant, les organisations doivent également tenir compte de la facilité d'utilisation de leur infrastructure réseau lorsqu'elles conçoivent et mettent en œuvre une stratégie de déploiement de la macro-segmentation au sein de leurs réseaux. Si tout le trafic du réseau interne traversant les limites des segments doit passer par les pare-feu du réseau interne, les entreprises ont besoin de pare-feu avec un débit élevé et des capacités d'inspection de sécurité robustes afin de maximiser à la fois les performances et la sécurité du réseau.
Les solutions de sécurité de Point de contrôle permettent aux organisations de mettre en place une macro-segmentation efficace à travers l'ensemble de leur infrastructure réseau. Point de contrôle Pare-feu de nouvelle génération (NGFW) fournit une sécurité robuste et un débit élevé pour l'infrastructure sur site, tandis que Point de contrôle CloudGuard fournit des solutions de visibilité et de sécurité cloud-native pour le déploiement basé sur cloudd'une organisation. Pour voir ces solutions en action, demandez des démonstrations des solutions Point de contrôle NGFW et CloudGuard Infrastructure as a Service (IaaS).
Commentaires