La grande majorité des réseaux d'entreprise s’appuie sur une stratégie de sécurité séparant les réseaux interne et externe. La zone interne où se trouvent les utilisateurs et la zone externe qui est exposée à Internet et aux partenaires. La plupart du temps, certaines zones intermédiaires sont construites pour permettre et contrôler les flux entrants (DMZ). Mais les topologies de sécurité reposant sur les principes de la macro-segmentation ne sont définitivement plus suffisantes. Pour protéger le réseau de l'entreprise, le filtrage doit s'appuyer sur l'inspection à l'intérieur de la transaction et sur le décodage du trafic chiffré.
Du point de vue de l’architecture, la réponse logique serait de réduire la taille des zones. Autrement dit de passer de macro-segments à des micro-segments pouvant être aussi petits qu'un client, une ressource ou un serveur unique. Si cela est techniquement possible, les capacités de filtrage restent très restreintes et extrêmement complexe à mettre en œuvre pour ce niveau de finesse. A moins bien sûr de penser différemment la manière dont les réseaux sont architecturés et automatisés...
Zoom sur l'architecture zero trust
Le modèle d'architecture « zero trust » repose sur le fait qu'il n'y a plus de zones, de périmètres, de périphériques et d'utilisateurs approuvés ou non. Rien n’est fiable - par défaut.
Voici les concepts fondamentaux de l’architecture zero trust :
- Des micro-segments pouvant englober un petit groupe de périphériques alignés sur un usage ;
- La connaissance approfondie des utilisateurs et des applications grâce à la gestion des identités et des accès (IAM) permettant de filtrer les flux au niveau fonctionnel ;
- Les outils de mesure pour connaître l'état du réseau en temps réel.
Là où les macro-segments pouvaient être gérés « à la main » avec des règles d'ingénierie simples, l'utilisation de micro-segments impose d'avoir recours à de l'automatisation. Ils doivent être décomposés en motifs architecturaux plus petits. On se rend alors compte de la nécessité d’une configuration dynamique avec un modèle centralisé et automatisé du réseau et de la sécurité associée. Pour automatiser la mise en œuvre d'une stratégie de micro-segmentation granulaire, il faut évidemment disposer d’une bonne visibilité sur le trafic réseau et la configuration des traitements.
Une transition fondamentale vers l'automatisation
Adopter une stratégie zero trust permet également de passer d'applications monolithiques à des microservices avec un référentiel source, un déploiement continu et une infrastructure immuable. En outre, cela nécessite aussi des périphériques réseau et de sécurité spécifiques, une solution intégrée et une compréhension complète des API impliquées dans l'écosystème. Mais le plus important est que cela requiert une grande confiance dans le processus d’automatisation, puisque tout sera exécuté automatiquement. La mise en oeuvre de cette micro-segmentation requiert donc des efforts importants sur la façon dont les réseaux d’entreprise sont conçus et déployés, des investissements sont nécessaires notamment vers les solutions de réseaux virtualisés (SDN) et ceci pourrait prendre beaucoup de temps.
Dans l’intérim de cette mise en oeuvre et de façon à limiter les impacts des attaques actuelles s’appliquant depuis l’intérieur des réseaux d’entreprise, via des malwares par exemple, le DNS a un rôle clé à jouer. Cette solution est disponible techniquement dans toutes les entreprises et le fait de lui adjoindre des fonctions de sécurité avancées permet de limiter les impacts de ces attaques. Le DNS est en effet l’élément clé du rapprochement des utilisateurs avec les applications qu’ils utilisent, il est à l’initiative de la mise en communication et ainsi peut influencer cette mise en relation.
La sécurité DNS est indéniablement une étape clé de la migration vers des architectures de réseau d’entreprise de type zero-trust.
Commentaire