Micro-segmentation et sécurité au sein d’un réseau

Micro-segmentation et sécurité au sein d’un réseau

La micro-segmentation et la sécurité au sein d’un réseau

Sécurité : vlan, micro-segmentation

  • Micro-segmentation : La segmentation réseau est une technique ayant pour objectif de diviser un réseau informatique en plusieurs sous-réseaux. La segmentation est principalement utilisée afin d’augmenter les performances globales du réseau et améliorer sa sécurité.
  • Cette approche doit améliorer l’utilisabilité et la sécurité en établissant des zones de confiance zéro où des contrôles d’accès plus granulaires peuvent être appliqués : des réseaux virtuels isolés sont ainsi créés et existent en parallèle les uns des autres. Dans la pratique, la création de zones de confiance zéro avec la micro-segmentation constitue une façon d’utiliser le réseau à définition logicielle (SDN) pour répondre aux besoins de sécurité spécifiques des centres de calcul modernes.
  • Les avantages de la micro-segmentation sont :
    • Contrôle plus granulaire des entrées et sorties du réseau. Un tel contrôle granulaire serait plus difficile à mettre en œuvre avec les contrôles de sécurité réseau traditionnels (pare-feu et les routeurs).
    • Les contrôles de sécurité personnalisés de chaque environnement virtualisé persistent y compris lorsque ces environnements sont reconfigurés ou repositionnés au sein du centre de calcul.
    • Correctement mise en œuvre, la micro-segmentation peut simplifier la réaction aux incidents et leur analyse en cas de brèche de sécurité ou d’autre événement réseau nécessitant enquête.
  • Les inconvénients de la micro-segmentation sont :
    • Les contrôles plus granulaires offerts par les zones de confiance zéro peuvent se traduire par une complexité réseau accrue dans des domaines tels que la gestion des identités et la surveillance de systèmes. Ces contrôles peuvent également nécessiter l’implication de plus de personnes dans leur définition et administration, dont des architectes réseau, des administrateurs sécurité, des développeurs, et les propriétaires des données.
    • La mise en œuvre de la micro-segmentation va systématiquement créer de nouvelles demandes en budget et personnel, tant pour le déploiement initial que pour l’administration régulière.
    • Puisqu’il s’agit d’une technologie de niche, justifier la micro-segmentation à sa direction peut s’avérer difficile, en particulier alors que la plupart des entreprises peinent encore à embrasser les bases de la sécurité de l’information.
  • Vlan : Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau.
  • Il y a différents types de vlan qui sont définis par le critère de communication et le niveau auquel il s’effectue :
    • Un VLAN de niveau 1 (aussi appelés VLAN par port, en anglais Port-Based VLAN) définit un réseau virtuel en fonction des ports de raccordement sur le commutateur ;
    • Un VLAN de niveau 2 (également appelé VLAN MAC, VLAN par adresse IEEE ou en anglais MAC Address-Based VLAN) consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station ;
    • Un VLAN de niveau 3 distingue plusieurs types de VLAN de niveau 3 :
      • Le VLAN par sous-réseau (en anglais Network Address-Based VLAN) associe des sous-réseaux selon l’adresse IP source des datagrammes. Ce type de solution apporte une grande souplesse dans la mesure où la configuration des commutateurs se modifie automatiquement en cas de déplacement d’une station. En contrepartie une légère dégradation de performances peut se faire sentir dans la mesure où les informations contenues dans les paquets doivent être analysées plus finement.
      • Le VLAN par protocole (en anglais Protocol-Based VLAN) permet de créer un réseau virtuel par type de protocole (par exemple TCP/IP, IPX, AppleTalk, etc.), regroupant ainsi toutes les machines utilisant le même protocole au sein d’un même réseau.
  • Les différentes solutions techniques pour sécuriser un réseau informatique sont nombreuses et complémentaires :
    • Pare-feu : Le pare-feu surveille les connexions au réseau de l’entreprise. Il filtre les connexions entrantes et sortantes du réseau informatique selon des règles établies par l’administrateur réseau. Il empêche ainsi l’intrusion de pirates. Le pare-feu tient à jour un journal de connexions qui offre un inventaire des connexions effectuées au réseau de l’entreprise.
    • VPN (réseau privé virtuel) : Le VPN ouvre une passerelle sécurisée et chiffrée entre l’extérieur et le réseau de l’entreprise.
    • Antivirus : Installés sur les serveurs et sur les postes de travail, les antivirus empêchent l’intrusion de virus dans le SI. Ils doivent néanmoins être mis à jour régulièrement de façon à détecter les nouveaux virus. L’antivirus analyse également les supports amovibles connectés au poste de travail.
    • Anti-spywares et anti-spams : Les anti-spywares filtrent les logiciels espions. Les anti-spams filtrent les pourriels.
    • Solutions de contrôle d’accès et d’authentification : Des constructeurs, comme Cisco, fournissent des serveurs et des cadres applicatifs pouvant administrer une gestion fine des accès au réseau de l’entreprise. Ces solutions prennent également en compte les connexions Wifi de l’entreprise.

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *