Segmentation du réseau Meilleures pratiques en matière de sécurité

La segmentation du réseau permet à une organisation de réduire les risques en matière de cybersécurité et constitue une première étape essentielle vers la définition d'une politique de sécurité "zéro confiance". La segmentation du réseau crée les frontières du réseau où une politique de sécurité de confiance zéro peut appliquer des contrôles d'accès.

 

Dans le passé, de nombreuses organisations ne définissaient une frontière sécurisée qu'au niveau du périmètre du réseau. Les étapes suivantes expliquent comment mettre en œuvre une segmentation efficace au sein du réseau de l'entreprise.

Bilan de sécurité Guide IDC Sécurité de l'IdO

#1. Identifier les données et les actifs de valeur

Toutes les données et tous les actifs d'une organisation n'ont pas la même valeur. Certains systèmes, comme la base de données des clients, peuvent être essentiels au maintien des activités normales. D'autres, comme l'imprimante, sont utiles mais pas indispensables au fonctionnement de l'entreprise.

 

L'attribution de niveaux d'importance et de valeur aux actifs est une première étape importante de la segmentation du réseau. Ces étiquettes seront ensuite utilisées pour définir les différentes zones de confiance au sein du réseau.

#2. Attribuez des étiquettes de classification à chaque actif

Outre la valeur des actifs, il est également important de tenir compte de la sensibilité des données qu'ils contiennent. Les biens contenant des données très sensibles, telles que des informations sur les clients, des données sur la recherche et le développement, etc., peuvent nécessiter des protections supplémentaires pour se conformer aux réglementations sur la protection des données ou à la politique de sécurité de l'entreprise.

 

Ces étiquettes doivent tenir compte à la fois de la sensibilité des données (c.-à-d. public à très restreint) et les types de données qu'un bien contient. Cela permet de définir des politiques de segmentation conformes aux réglementations applicables, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

#3. Cartographier les flux de données sur le réseau

La segmentation du réseau permet d'améliorer la sécurité du réseau en le divisant en segments isolés. Il est donc plus difficile pour un attaquant de se déplacer latéralement dans le réseau après avoir pris pied.

 

Toutefois, un certain nombre de flux de données légitimes doivent être autorisés. Tous les flux de données entre tous les systèmes du réseau doivent être cartographiés, y compris :

 

  • Trafic en direction du nord : Le trafic en direction du nord quitte le réseau de l'entreprise, comme les employés qui visitent saleforce.com à partir d'un appareil géré connecté au réseau de l'entreprise.
  • Trafic est-ouest : Le trafic est-ouest se déplace entre des systèmes situés à l'intérieur du périmètre du réseau, tels qu'un serveur web frontal et des serveurs de base de données dorsaux dans le réseau du centre de données.
  • Trafic vers le sud : Le trafic sud comprend les données qui entrent dans un segment ou une zone du réseau, par exemple les clients ou les employés qui accèdent à un serveur web situé sur place dans un réseau DMZ ou dans l'intranet de l'entreprise.

#4. Définir les groupes d'actifs

Certains actifs du réseau d'une organisation sont utilisés à des fins similaires et communiquent régulièrement. Il n'est pas judicieux de segmenter ces systèmes les uns par rapport aux autres, car un certain nombre d'exceptions seraient nécessaires pour maintenir une fonctionnalité normale.

 

Lors de la définition des groupes d'actifs, il est important de tenir compte à la fois de cette fonctionnalité similaire et de la sensibilité des différents actifs sur le réseau de l'entreprise. Tout actif servant des objectifs similaires et présentant des niveaux de sensibilité similaires doit être regroupé dans un segment distinct des autres actifs ayant des niveaux de confiance ou des fonctions différents.

#5. Déployez une passerelle de segmentation

Il est important de définir les limites des segments, mais cela n'apporte aucun avantage à l'organisation si ces limites ne sont pas respectées. L'application des contrôles d'accès sur chaque segment du réseau nécessite le déploiement d'une passerelle de segment.

 

Pour faire respecter la limite d'un segment, tout le trafic réseau entrant et sortant de ce segment doit passer par la passerelle. Par conséquent, une organisation peut avoir besoin de plusieurs passerelles pour mettre en œuvre une segmentation efficace. Ces exigences peuvent aider à prendre la décision de choisir un pare-feu matériel ou un pare-feu virtuel.

#6. Créez des politiques de contrôle d'accès

Le trafic entre les actifs d'un même segment peut être autorisé sans restriction. Toutefois, les communications intersectorielles doivent être surveillées par la passerelle du segment et respecter les politiques de contrôle d'accès.

 

Ces politiques doivent être définies sur la base du principe du moindre privilège, qui stipule qu'une application, un appareil ou un utilisateur doit disposer du niveau minimum d'autorisations nécessaires pour effectuer son travail. Ces autorisations doivent être basées sur les flux de données légitimes identifiés au point 3.

#7. Réalisez des audits et des examens périodiques

Après avoir défini les micro-segments, déployé une passerelle de segmentation et créé et appliqué des politiques de contrôle d'accès, le processus de mise en œuvre de la segmentation du réseau est en grande partie terminé. Cependant, la définition d'une politique de segmentation du réseau n'est pas un exercice ponctuel.

 

Les politiques de segmentation du réseau peuvent changer en raison de l'évolution du réseau de l'entreprise ou d'oublis et d'erreurs dans le processus de conception initial. Pour résoudre ces problèmes potentiels, il faut procéder à des audits périodiques afin de déterminer si des changements ont été effectués, s'il existe des risques inutiles dans le système et comment les segments du réseau et les contrôles d'accès peuvent être mis à jour pour atténuer ces risques.

#8. Automatisez lorsque c'est possible

Définir une politique de segmentation du réseau peut être une tâche énorme, en particulier pour les réseaux d'entreprise. Il peut s'avérer difficile, voire impossible, d'effectuer toutes ces étapes manuellement.

 

C'est pourquoi il est important de tirer parti des capacités d'automatisation chaque fois que cela est possible. En particulier dans la phase de découverte et de classification, l'automatisation peut s'avérer précieuse pour identifier les nouveaux actifs ajoutés sur le réseau, leurs flux de communication, s'ils contiennent une vulnérabilité quelconque et pour appliquer la politique de segmentation du réseau.

Mise en œuvre de la segmentation du réseau pour l'IdO avec Check Point

L'automatisation de la détection et de l'étiquetage est devenue plus précieuse avec l'essor de l'internet des objets (IoT). Ces appareils sont souvent peu sûrs et une segmentation est nécessaire pour les isoler des systèmes critiques du réseau de l'entreprise. Cependant, la mise en œuvre d'une sécurité de l'IdO efficace nécessite un pare-feu qui comprend les protocoles IdO. Pour voir la segmentation du réseau pour l'IdO en action, nous vous invitons à demander une démo.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK