Appuyez sur Entrée pour rechercher

Micro-segmentation dans les environnements virtualisés

23/10/2020
Author Avatar
Jérémy Derzelle
Expert System Engineer, EASI

Récemment, EASI a participé activement au Fortinet Xperts Summit EMEA 2020 ! A l'occasion de cet événement, nous avons notamment assisté à la session « Secure and Protect VMware NSX-T SDDC ». Nous pensons qu'il s'agit du bon moment pour vous rappeler ce qu'est la segmentation.

Comme l'écrit mon collègue Maxime, EASI a participé récemment au Fortinet Xperts Summit EMEA 2020. Après avoir participé à la session « Secure and Protect VMware NSX-T SDDC », nous aimerions partager quelques éléments avec vous :

Le début

À mesure que les réseaux locaux se développent, les performances commencent à se dégrader. Plus il y a de machines dans le même domaine de diffusion, plus le « bruit » devient dominant et affecte les performances.

La répartition de ces grands réseaux en plusieurs réseaux de plus petite taille s'avère nécessaire. VLAN est venu à la rescousse pour répartir efficacement ces réseaux en blocs logiques, qui avaient plus de sens que la répartition en blocs physiques (en fonction des localisations physiques).

Dans ces réseaux, tous les VLANs sont acheminés en interne et il existe un pare-feu périmétrique pour contrôler le trafic entrant/sortant depuis/vers Internet.

Pare-feu interne

Avec la segmentation effectuée sur le routeur, nous ne souffrons plus d'une quantité excessive de « bruit » dans chaque VLAN, mais du point de vue de la sécurité, nous ne protégeons aucune machine efficacement les unes des autres. Et donc, une seule machine infectée pourrait commencer à attaquer l'ensemble du réseau de l'intérieur et causer de graves dommages.

De nos jours, les protections de périmètre ne suffisent plus et les entreprises commencent donc à utiliser des pare-feu comme routeurs internes. Cela leur permet d'avoir une visibilité complète sur le trafic inter-vlan, mais également d'appliquer des politiques pour réduire la surface d'attaque.

Micro-segmentation

Un problème persiste toujours avec les pare-feu internes : comment faire pour se protéger de ses voisins directs ? Le pare-feu agit comme un routeur et peut filtrer le trafic entre les vlans, mais est complètement aveugle à l'intérieur des mêmes vlans.

Dans une approche de confiance zéro, vous ne faites même plus confiance aux machines qui se trouvent dans le même (v)lan que vous. Cependant, procéder à cette micro-segmentation par le biais d'un pare-feu qui sert de routeur impliquerait la répartition des réseaux mondiaux en trop de blocs, ce qui n'est pas gérable.

La virtualisation à la rescousse

Heureusement, dans le monde virtuel d'aujourd'hui, où beaucoup de choses sont « définies par logiciel », les réseaux ne font pas figure d'exception. VMware utilise NSX pour effectuer la virtualisation du réseau et FortiGate est prêt à fonctionner avec NSX, et non seulement NSX-V (la version ancienne) mais également la version plus récente, NSX-T !

Grâce à sa certification NSX, un FortiGate-VM peut agir comme une protection « basée sur l'hôte » (filtrage des paquets entrants et sortants d'une machine virtuelle) sans devoir installer et maintenir un logiciel sur vos machines virtuelles.

Vous pourrez ainsi non seulement réaliser la migro-segmentation, mais également tirer parti de toutes les fonctionnalités de FortiGate telles que la Prévention des intrusions, l'Antivirus, l'Inspection SSL, ... pour toutes vos machines virtuelles, sans devoir repenser votre réseau et créer des vlans supplémentaires !

Où en sommes-nous aujourd'hui ?

De nombreuses entreprises, en particulier sur le marché des PME, en sont encore « aux débuts ». Elles utilisent toutes des VLANs parce que c'est nécessaire, mais une fois passées le périmètre, elles ne sont pas fort protégées.

Cela fait déjà quelques années que les grandes entreprises ont commencé à implémenter « le pare-feu interne » à différents niveaux, y compris les doubles couches de pare-feu, les pare-feu dans les centres de données ...

Cependant, peu d'entreprises ont déjà entamé le déploiement de la confiance zéro et de la micro-segmentation.

Quel est l'avantage pour vous ?

La virtualisation du réseau et l'intégration NSX vous permet de commencer à protéger vos machines virtuelles sans devoir passer par les étapes de « pare-feu interne ». Cela vous permet de vous mettre directement à niveau et d’être à la hauteur de l'approche actuelle de zéro confiance.

Pas besoin de repenser votre réseau interne et de créer plus de vlans, protégez-vous immédiatement !

N'hésitez pas à nous contacter pour en savoir plus !

SentinelOne Singularity Demistified