La segmentation réseau est une approche architecturale fondamentale en matière de cybersécurité. Elle consiste à diviser un réseau physique ou logique en segments plus petits, ou sous-réseaux. Cette division est réalisée sur une base logique, souvent par le biais d'une approche de réseau défini par le logiciel (SDN - Software-Defined Networking), mais également manuellement. L'objectif principal est d'améliorer la sécurité et les performances du réseau.
Un réseau "plat" ou non segmenté présente des risques significatifs en matière de cybersécurité. Si un attaquant parvient à compromettre un appareil sur un réseau non segmenté, il peut facilement se déplacer latéralement pour accéder à d'autres systèmes critiques. La segmentation vise à rendre cette tâche plus difficile et à augmenter la probabilité de détection. En divisant le réseau, une entreprise rend celui-ci plus performant et efficient, car le trafic est dédié à la communication entre les appareils connectés à chaque sous-réseau, évitant ainsi les ralentissements dus au trafic général. Le principal avantage de la segmentation est de limiter les dommages causés par les violations de données en isolant la section compromise.
La mise en œuvre de la segmentation réseau implique l'utilisation de divers appareils et technologies, notamment les switches (commutateurs), les routeurs et les firewalls (pare-feux).
1. Segmentation via les Switches à l'aide des VLANs
Historiquement et encore couramment, les entreprises segmentent leur réseau en créant des réseaux locaux virtuels (VLAN). Un VLAN est une structure logique qui permet de séparer le trafic au niveau de la couche 2 (couche de liaison de données) du modèle OSI. Tous les hôtes d'un VLAN sont connectés virtuellement les uns aux autres, comme s'ils étaient sur le même réseau local physique.
Les VLANs sont implémentés sur les switches. En configurant des VLANs sur un switch, on crée un ensemble de réseaux isolés, chacun avec son propre domaine de diffusion. Cela permet de réduire la taille des domaines de diffusion, ce qui améliore les performances du réseau. Un port de switch peut être affecté à un VLAN spécifique. Les VLANs permettent également la mise en œuvre de politiques d'accès et de sécurité basées sur des groupes spécifiques d'utilisateurs ou d'appareils.
La segmentation via VLANs peut être basée sur différents critères :
- Par service/département : Un VLAN distinct peut être attribué à chaque service comme les finances ou l'ingénierie, permettant d'inspecter ou de limiter le trafic entre eux.
- Par type d'appareil : Les appareils IoT ou les dispositifs médicaux peuvent être isolés dans leur propre segment pour renforcer la sécurité.
- Pour les visiteurs : Un VLAN invité sépare le trafic des visiteurs du reste du réseau de l'entreprise.
2. Segmentation via les Routeurs à l'aide des Sous-réseaux
Les sous-réseaux opèrent au niveau de la couche 3 (couche réseau) du modèle OSI, utilisant les adresses IP pour diviser un réseau en segments plus petits. Les routeurs sont les appareils clés pour la communication entre les sous-réseaux (ou VLANs). Chaque VLAN est généralement associé à son propre sous-réseau. L'établissement des réseaux (sous-réseaux) se fait sur un appareil de couche 3, qui peut être un switch ou un routeur de couche 3. Chaque VLAN dispose d'une passerelle et d'un domaine de diffusion. La communication entre VLANs est assurée en les ajoutant à la table de routage.
L'utilisation combinée de VLANs et de sous-réseaux est une pratique courante. Cette approche permet une segmentation à la fois au niveau du switch (couche 2) et du réseau (couche 3).
3. Segmentation via les Firewalls
Les firewalls jouent un rôle crucial dans la segmentation en contrôlant le trafic entre les segments ou les zones de sécurité. Ils peuvent être déployés à l'intérieur d'un centre de données ou d'un réseau pour créer des zones internes, permettant de segmenter les domaines fonctionnels les uns des autres. Cela limite la propagation des menaces au-delà d'une zone de sécurité compromise.
En utilisant un firewall pour la segmentation, une organisation obtient une meilleure visibilité sur le trafic. Les firewalls permettent d'appliquer des politiques de contrôle d'accès et de restreindre l'accès au réseau en fonction des besoins des utilisateurs. Une mauvaise configuration d'un firewall peut cependant potentiellement impacter le fonctionnement des applications et nuire à l'entreprise.
Un exemple de zone de sécurité est la Zone Démilitarisée (DMZ), un sous-réseau séparé et isolé du réseau interne et d'Internet par un firewall. Les serveurs et bases de données critiques sont souvent placés dans une DMZ plus sécurisée.
Une catégorie spécifique est le Firewall de Segmentation Interne (ISFW). Contrairement à un firewall "border" traditionnel qui protège le périmètre, un ISFW est installé à des points stratégiques du réseau interne, devant des serveurs spécifiques ou des groupes d'appareils. L'ISFW intègre des caractéristiques différentes d'un Firewall Border. Il apporte une couche de protection supplémentaire en établissant des barrières de sécurité pour interrompre et limiter la propagation des menaces au sein du réseau interne. Il permet également un contrôle d'accès aux ressources plus proche de l'utilisateur et augmente la visibilité des menaces internes. Certains ISFWs peuvent même intégrer des fonctionnalités de commutation pour séparer physiquement les sous-réseaux ou serveurs.
4. Nouvelles Approches : SDN et Microsegmentation
Pour relever les défis de la segmentation classique (division en VLANs/sous-réseaux), qui peut être manuelle, pénible et difficile à étendre ou gérer dans des environnements complexes, de nouvelles approches émergent comme le Software-Defined Networking (SDN) et la microsegmentation.
En utilisant le SDN, une organisation peut mettre en œuvre la microsegmentation, aussi appelée segmentation de sécurité ou segmentation basée sur l'hôte. La microsegmentation augmente la granularité de la segmentation en isolant les charges de travail individuelles les unes des autres, plutôt que de travailler à l'échelle de groupes plus larges de points d'extrémité.
Cette approche offre un niveau plus élevé de visibilité et de contrôle du réseau. Elle tend à utiliser des modèles de liste blanche, bloquant tout trafic réseau sauf celui qui est explicitement autorisé. La microsegmentation permet de baser les politiques et les autorisations sur l'identité des ressources.
La différence entre la segmentation réseau traditionnelle et la microsegmentation est la granularité. La segmentation réseau est comparée aux murs extérieurs d'un château protégeant contre les menaces externes, tandis que la microsegmentation serait les gardes aux portes intérieures, contrôlant le trafic latéral à l'intérieur du réseau (serveur à serveur, application à serveur). Un défi de la microsegmentation est qu'elle demande une adaptation et une formation pour les professionnels habitués aux méthodes traditionnelles basées sur les pare-feux et les concepts de mise en réseau.
Meilleures Pratiques
Pour une segmentation réseau efficace, certaines bonnes pratiques sont recommandées :
- Implémenter des contrôles sur plusieurs couches du modèle TCP/IP (filtrage par MAC, IP, port, etc.).
- Appliquer le principe du moindre privilège, n'accordant que les autorisations strictement nécessaires.
- Rejeter le trafic par défaut et n'autoriser que le trafic réseau nécessaire via une liste d'approbation (modèle de liste blanche).
- Restreindre l'accès des tiers, en créant par exemple des portails isolés pour eux.
- Auditer et surveiller le réseau en permanence pour s'assurer que l'architecture fonctionne comme prévu.
- Rendre les chemins d'accès légitimes plus faciles que les chemins illégitimes.
- Éviter la sur-segmentation ou la sous-segmentation, en divisant le réseau en fonction des besoins réels des employés. Gartner note que la sur-segmentation (trop de zones) est une erreur courante qui ajoute une complexité inutile à la gestion du réseau.Voici un exemple de mise en œuvre de la segmentation réseau en utilisant des équipements de différents constructeurs, en s'appuyant sur les informations fournies dans les sources :
La segmentation réseau est une approche architecturale qui consiste à diviser un réseau en segments plus petits afin d'améliorer la sécurité et les performances. Elle implique généralement l'utilisation combinée de switches, de routeurs et de firewalls. Bien qu'il n'existe pas de configuration unique qui convienne à toutes les entreprises, on peut illustrer une approche courante avec des équipements de constructeurs différents mentionnés dans les sources.
1. Définition des Segments (VLANs et Sous-réseaux)
Une approche courante consiste à segmenter le réseau en fonction des services ou des types d'appareils. Par exemple, on pourrait définir les segments suivants :
- Un segment pour les utilisateurs du service financier.
- Un segment pour les utilisateurs du service d'ingénierie.
- Un segment pour les serveurs critiques (par exemple, dans une Zone Démilitarisée - DMZ).
- Un segment pour les appareils IoT ou les visiteurs.
Ces segments sont généralement implémentés à l'aide de VLANs au niveau de la couche 2 et associés à des sous-réseaux distincts au niveau de la couche 3. La meilleure pratique est d'avoir une relation 1:1 entre un VLAN et un sous-réseau pour une conception de réseau optimale.
2. Implémentation sur les Switches et les Routeurs
Les switches sont utilisés pour implémenter les VLANs. Chaque port de switch connectant des appareils d'un segment spécifique est configuré pour appartenir au VLAN correspondant. Par exemple, tous les ordinateurs du service financier seraient connectés à des ports de switch configurés pour le VLAN "Finances".
Les routeurs (ou switches de couche 3) sont nécessaires pour permettre la communication entre ces différents sous-réseaux/VLANs. Chaque VLAN/sous-réseau a besoin d'une passerelle, qui est généralement une interface sur un routeur ou un switch de couche 3. La communication entre VLANs est rendue possible en ajoutant ces VLANs à la table de routage.
Bien que les sources ne nomment pas spécifiquement des marques de switches ou de routeurs pour cette implémentation de base, les concepts décrits s'appliquent aux équipements réseau standard. Le contexte CCNA mentionné dans une source implique l'utilisation d'équipements Cisco pour l'apprentissage des concepts réseau, y compris la configuration de routeurs.
3. Contrôle du Trafic Inter-Segments via les Firewalls
C'est au niveau du firewall que le contrôle précis du trafic entre ces segments est appliqué. Les firewalls sont déployés pour créer des zones internes et segmenter les domaines fonctionnels. Par exemple, un firewall peut être positionné pour contrôler le trafic entre le VLAN "Finances", le VLAN "Ingénierie", la DMZ et le réseau général.
Firewalls de constructeurs spécifiques qui peuvent être utilisés pour cette segmentation :
- Cisco ASA (Adaptive Security Appliance) est une gamme de pare-feux réseau produite par Cisco. Il peut être utilisé pour contrôler le réseau entier. Dans un exemple de configuration, différentes interfaces de l'ASA sont connectées à différents segments (extérieur, intérieur, DMZ) et se voient attribuer des niveaux de sécurité différents (0, 100, 50 respectivement). Le trafic entre ces segments est contrôlé par des règles de pare-feu et des listes de contrôle d'accès (ACLs). Par défaut, le trafic d'une interface de sécurité inférieure vers une interface de sécurité supérieure est refusé, nécessitant l'ajout d'ACLs pour l'autoriser explicitement.
- Un Firewall de Segmentation Interne (ISFW), tel qu'un équipement FortiGate, est spécifiquement conçu pour être déployé à l'intérieur du réseau, protégeant des ensembles spécifiques de ressources. Contrairement aux firewalls de périmètre traditionnels, un ISFW est placé stratégiquement devant des serveurs ou groupes d'appareils pour limiter la propagation des menaces au sein du réseau interne. Certains ISFWs peuvent même intégrer des fonctionnalités de commutation pour séparer physiquement les sous-réseaux ou serveurs.
- Dans un environnement cloud comme Azure, on peut utiliser Azure Firewall pour appliquer et sécuriser la segmentation basée sur des groupes de sécurité réseau (NSG) ou des groupes de sécurité d'application (ASG). Le Pare-feu Azure ou Azure Firewall Manager permettent de créer des règles ou des stratégies autorisant/refusant le trafic en utilisant des contrôles de couche 3 à 7.
En résumé, une mise en place typique de segmentation réseau avec différents constructeurs pourrait impliquer :
- Des switches (potentiellement de marque générique ou Cisco) configurant les VLANs.
- Un routeur ou un switch de couche 3 (potentiellement Cisco) assurant le routage entre les sous-réseaux associés à ces VLANs.
- Un firewall interne (comme un Cisco ASA ou un FortiGate ISFW) placé aux points de jonction critiques entre les segments pour inspecter et contrôler le trafic, limitant ainsi le mouvement latéral des menaces et assurant la sécurité interne.
Cette combinaison de technologies et d'équipements permet d'atteindre les objectifs de la segmentation réseau : limiter les surfaces d'attaque et contenir les incidents de sécurité en créant des barrières entre les différentes parties du réseau.
Conclusion: l'application de la segmentation réseau à l'aide de switches (pour les VLANs), de routeurs (pour les sous-réseaux) et de firewalls (pour le contrôle inter-segment) est essentielle pour renforcer la sécurité d'un réseau en limitant les mouvements latéraux des attaquants, en contenant les incidents et en améliorant la visibilité et le contrôle. Des approches plus modernes comme la microsegmentation via SDN permettent une granularité encore plus fine pour protéger les charges de travail individuelles.
Amadou Lamine Diouf
Consultant Expert | Formateur | Auditeur des Systèmes d'Information
🌐 Site Web : www.truetechnologie.com
📧 Email : lamine.diouf@truetechnologie.com
📞 Téléphone : +221 77 856 27 66
0 Commentaires