L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels. En effet, l’utilisation de service dans le cloud, les outils « As A Services », les changements des usages (BYOD, nomadisme, télétravail,…), rendent cette approche insuffisante.
La sécurisation des data center évolue donc depuis quelques années pour répondre de manière plus adaptée à ces nouveaux cas d’usage.
Ainsi, en plus du filtrage périmétrique, on voit apparaitre du filtrage au sein du data center, au plus proche des ressources.
L’un des outils permettant cette évolution est la micro-segmentation.

Historiquement, l’utilisation de VLAN a permis de séparer des réseaux. Rapidement, cette séparation a été utilisée pour isoler des parties du réseau par niveau de sécurité. La limite de cette isolation repose sur l’introduction dans un VLAN. Mais une fois l’accès à un VLAN établi, les ressources au sein de ce réseau ne sont généralement pas protégées ou mal. Il est possible de mettre en place des restrictions sur celles-ci, comme par exemple le firewall sur les serveurs, cependant l’exploitation de ces outils est délicate et rend rare son déploiement à grande échelle.

Par ailleurs, la micro-segmentation permet un contrôle des échanges entre les différents composants du SI. Ce contrôle peut se baser sur de multiples critères, en commençant par une simple matrice de flux, et en allant jusqu’à la validation de multiples critères techniques (état de l’anti-virus, patch,…). Les actions sont également nombreuses et vont bien au-delà du simple blocage de flux, par exemple, une redirection vers un IDS…. Concrètement, l’intégration par Illumio (micro-segmentation) de mappage de vulnérabilité provenant des outils de Qualys (gestion des vulnérabilités) illustre cette tendance.

La micro-segmentation est avant tout un concept ayant plusieurs déclinaisons selon les constructeurs. Elle peut passer par la mise en place de services de type End point sur les ressources ou être prise en charge/appliquée au niveau des composants réseaux, des hyperviseurs ou des cartes réseaux.

Concrètement, les éditeurs utilisent un vocabulaire différent, mais quelle que soit l’approche, on note des similitudes.

Le point de départ est la connaissance des échanges inter-server et les dépendances applicatives. Les solutions du marché collectent et centralisent ces informations. Cette cartographie sert de base à la création de politiques de sécurité.

La création de ces politiques de sécurité peut se faire selon différentes approches:

• Par environnement;
• En fonction des contraintes réglementaires (PCI DSS…);
• Par type d’application;
• Par niveau (présentation, application, DB…).

La démarche retenue doit correspondre aux attentes de sécurité.
Ces différentes approches sont déjà connues dans le filtrage des firewalls « traditionnels ».

Les politiques sont ensuite déployées sur l’infrastructure ou les serveurs.

Selon l’éditeur, la politique de sécurité à appliquer peut être déterminée en fonction de différents attributs comme, par exemple, le nom. Cette approche permet d’ajouter la sécurité via la micro-segmentation sans trop alourdir le processus de mise en place d’un nouveau serveur.

La précision des politiques étant un point particulièrement important. Trop générique, cela limite la pertinence de la micro-segmentation, trop spécifique, cela rend la généralisation complexe.

Les flux ne rentrant pas dans la politique en place sur un serveur, ils peuvent fournir des informations pour identifier rapidement un problème de sécurité. Cette divergence peut par exemple servir à la mise en quarantaine du serveur.

Pour la mise en oeuvre de la micro-segmentation, plusieurs approches sont possibles: à travers des agents (ex: solution guardicore) ou via un composant d’architecture dédié. Ces différentes solutions ont des avantages et des inconvénients, il faut cependant retenir les éléments suivants:

Le mode agent offre une souplesse et permet de valider facilement des éléments du serveur (état antiviral, patch,…) mais nécessite l’installation d’un agent, entrainant des inconvénients (prise en charge des OS, gestion des Virtual Appliances, impacts sur les performances…).

A l’inverse, le positionnement sur un composant d’infrastructure, comme l’hyperviseur (solution NSX de VMware) permet un fonctionnement indépendant de la ressource protégée, mais ne prend pas en compte directement les composants non virtualisés.

L’approche pure réseau, comme le propose Cisco avec Tetration, agit au niveau de l’orchestration du réseau. Cela nécessite la mise en place d’une infrastructure de collecte des données (création des matrices de flux). L’application des politiques est ensuite directement appliquée sur les commutateurs (physique et virtuel). Cette approche repose sur l’utilisation des ACL sur les commutateurs. L’impact de la mise en œuvre doit donc être analysé précisément.

Une dernière approche repose sur l’utilisation de cartes réseau spécialisées intégrant des composants dédiés à la segmentation (solution ServerLock de Solaflare). Le fonctionnement de cette solution doit être pris en compte lors de l’acquisition des équipements. Cela rend la mise en place délicate dans un parc existant. Evidemment le support des cartes sur les différentes plateformes matérielles est un autre point important. Cette dernière solution semble, a priori, être destinée à des cas d’usage bien précis.

En conséquence, le choix d’une solution doit être mûrement réfléchi pour intégrer les différents cas d’usage, le type d’hébergement, les contraintes techniques ou réglementaires….

Le concept de micro-segmentation n’est pas récent mais suit l’évolution des infrastructures vers le Software Design.

Dans tous les cas, sa mise en œuvre doit se faire de manière réfléchie et étudiée. Une bonne connaissance du SI étant le prérequis indispensable à sa mise en œuvre.