Qu'est-ce que la segmentation du réseau ?

Le concept de segmentation du réseau existe depuis un certain temps. La forme la plus simple de segmentation d'un réseau consiste à isoler le réseau interne d'une organisation du reste de l'internet.

En définissant cette limite, il est possible d'élaborer une politique de sécurité axée sur le périmètre, conçue pour maintenir les menaces potentielles à l'extérieur du réseau tout en garantissant que les données sensibles d'une organisation restent à l'intérieur. Toutefois, les organisations peuvent aller plus loin en définissant des limites internes supplémentaires au sein de leur réseau, ce qui peut améliorer la sécurité et le contrôle d'accès.

Demande de démo Guide IDC Sécurité de l'IdO

Qu'est-ce que la segmentation du réseau ?

Les rouages de la segmentation du réseau

La segmentation du réseau peut être réalisée de différentes manières. La segmentation du pare-feu est une approche courante. Dans cette approche, une organisation déploie un pare-feu à une frontière souhaitée du réseau et architecture le réseau, via des liens physiques ou des réseaux locaux virtuels (VLAN), de manière à ce que tout le trafic traversant la frontière soit acheminé à travers ce pare-feu.

 

En donnant au pare-feu une visibilité et un contrôle complets sur le trafic transfrontalier, l'entreprise peut appliquer des contrôles d'accès à cette frontière. Sur la base de règles prédéfinies, le pare-feu peut autoriser ou bloquer différents types de trafic. Ces règles peuvent limiter l'accès à un segment de réseau à certains utilisateurs ou à application, empêcher certains types de trafic de franchir la frontière, etc.

 

En utilisant le réseau défini par logiciel (SDN), une organisation a également la possibilité de mettre en œuvre la microsegmentation. La microsegmentation augmente la granularité de la segmentation en isolant les charges de travail individuelles les unes des autres, plutôt que de travailler à l'échelle de plusieurs postes comme le fait la segmentation traditionnelle du réseau. Cette granularité supplémentaire amplifie les avantages de la segmentation du réseau en offrant à l'organisation un niveau plus élevé de visibilité et de contrôle du réseau.

Pourquoi avons-nous besoin de la segmentation du réseau ?

Si tout le trafic était autorisé à entrer et à sortir du réseau de l'entreprise, la probabilité de réussite des cyberattaques augmenterait de façon exponentielle. Le pare-feu périmétrique de l'organisation constitue sa première ligne de défense contre les attaquants externes.

 

Cependant, les organisations peuvent également tirer des avantages significatifs de la mise en œuvre d'une segmentation interne du réseau. Voici quelques exemples des principaux avantages de la segmentation du réseau :

 

  • Increased Visibility: Un pare-feu permet à une organisation d'avoir une visibilité sur tout le trafic qui le traverse. Plus le réseau d'une organisation est segmenté, plus la visibilité sur le trafic de son réseau interne est grande.
  • Défense en profondeur : Les défenses périmétriques d'une organisation permettent de détecter et d'empêcher un certain nombre de menaces de pénétrer dans le réseau, mais elles ne peuvent pas tout arrêter. L'ajout de plusieurs frontières de réseau entre les actifs critiques et le monde extérieur offre des possibilités supplémentaires de détection et de réponse à une intrusion.
  • Amélioration du contrôle d'accès : Les pare-feu qui mettent en œuvre la segmentation du réseau peuvent appliquer des politiques de contrôle d'accès. Cela permet à une organisation de restreindre l'accès au réseau en fonction du besoin de savoir.
  • Restriction des mouvements latéraux : Les cybercriminels compromettent généralement les postes de travail des utilisateurs et doivent se déplacer dans le réseau pour accéder aux systèmes critiques et atteindre leurs objectifs. La segmentation du réseau rend cet objectif plus difficile à atteindre et augmente la probabilité de détection lorsqu'ils tentent de franchir les limites d'un segment.
  • Gestion des menaces internes : Les défenses basées sur le périmètre peuvent être efficaces pour détecter les menaces externes, mais elles ne tiennent pas compte des personnes malveillantes à l'intérieur de l'entreprise. La segmentation du réseau interne offre une visibilité et une détection des menaces pour les employés malveillants et les comptes compromis.
  • Meilleures performances du réseau : La segmentation du réseau divise l'intranet d'une organisation en segments distincts avec des rôles définis. Cela permet de réduire la congestion du réseau et d'améliorer les performances.
  • Protéger les systèmes critiques. Certains systèmes, comme les systèmes de contrôle industriel (ICS), ont des exigences très élevées en matière de disponibilité, ce qui les rend difficiles à mettre à jour et à protéger contre les cybermenaces. Les meilleures pratiques en matière de sécurité des SCI consistent à les placer sur des segments de réseau isolés afin de minimiser leur exposition aux menaces potentielles.
  • Isolement des systèmes non fiables. De nombreuses organisations disposent d'un réseau public invité, et l'utilisation croissante d'appareils L'internet des objets (IoT) commerciaux introduit un certain nombre d'appareils non sécurisés et non fiables sur le réseau de l'entreprise. Isoler ces appareils sur un segment de réseau séparé est une bonne pratique de sécurité de l'IdO et limite la menace qu'ils représentent pour le résultat du réseau de l'entreprise.
  • Conformité réglementaire simplifiée : Les audits de conformité réglementaire portent généralement sur toutes les machines ayant accès à des données protégées. La segmentation du réseau limite cette portée en confinant les informations sensibles et protégées à un segment particulier du réseau, ce qui simplifie les responsabilités en matière de conformité réglementaire.

Mise en œuvre de la confiance zéro par la segmentation du réseau

La mise en œuvre d'une politique de segmentation du réseau est une étape cruciale vers une politique de sécurité sans confiance. La sécurité sans confiance repose sur la capacité à appliquer des politiques de contrôle d'accès basées sur les rôles professionnels des employés. La segmentation du réseau crée des frontières où le trafic peut être inspecté et où ces contrôles d'accès peuvent être appliqués et mis en œuvre.

 

Les Pare-feu de nouvelle génération de Check Point constituent une solution idéale pour la mise en œuvre de la segmentation du réseau. Ils assurent non seulement l'inspection du contenu et l'application du contrôle d'accès, mais intègrent également une série de solutions de détection des menaces pour identifier et bloquer le trafic malveillant qui tente de franchir les limites d'un segment. Pour en savoir plus sur les solutions de Check Point, contactez-nous. Ensuite, demandez une démonstration pour voir par vous-même les capacités de Check Point NGFWs.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK