Passer au contenu

les défis de la micro-segmentation en datacenter

Pierre-Charles Wagrez
1 mars 2024

Par opposition à la macro-segmentation, qui consiste à regrouper un plus ou moins grand nombre de serveurs dans une même zone de sécurité, la micro-segmentation applique un filtrage de flux réseaux au niveau d’une charge de travail (en général un serveur, une Virtual Machine (VM), un conteneur) ou au maximum d’un petit groupe de charges de travail. Cette démarche peut aller jusqu’à la nano-segmentation, un filtrage jusqu’au process au sein de la machine.

Cette technologie mature et intégrée de base par les Hyperscalers est déjà présente chez de nombreux hébergeurs, mais beaucoup moins dans les datacenters des entreprises.

Une technologie attractive

Si le risque principal de la macro-segmentation est celui de la contamination entre serveurs, par déplacement latéral, la micro-segmentation est assurément une technologie attractive pour les responsables réseau et sécurité des entreprises.

Elle permet d’une part une protection contre le déplacement latéral en cas de compromission d’une machine. Ainsi, un cryptolocker ayant touché un serveur ne pourra pas se propager à tous les serveurs du même Virtual Local Area Network (vlan).

D’autre part elle implique une décorrélation entre la segmentation et l’architecture logique ou physique du datacenter. Des règles de filtrage peuvent en effet être mises en place indépendamment de l’architecture réseau et peuvent évoluer sans impact sur les infrastructures.

Une adoption timide

Malgré tout, nombre d’entreprises n’ont toujours pas adopté cette technologie pour leurs datacenters. Cette adoption timide s’explique par de multiples raisons, au premier lieu desquels le coût associé aux solutions de micro-segmentation. Ceux-ci sont élevés, et viennent s’ajouter aux coûts projets, dans un contexte où la plupart des entreprises ne maitrisent pas assez finement les flux de chaque application, ni les coûts d’exploitation, les incidents et les demandes concernant ces derniers.

Cette adoption s’avère également trop complexe pour nombre d’organisations. D’une part les solutions du marché n’offrent pas toute la même couverture en termes de charge de travail et la plupart sont plus adaptées à un type de charge de travail, serveur physique, VM ou conteneur, ce qui rend le choix d’autant plus difficile.  

D’autre part appliquer de la micro-segmentation à un environnement existant implique une analyse approfondie des flux de chaque application et l’analyse des dépendances entre toutes les applications. Or il est souvent compliqué, voire impossible, lorsqu’une application fonctionne depuis un certain temps, de retrouver la connaissance permettant de décider si un flux est normal ou non.

Enfin, les solutions de micro-segmentation introduisent de nouveaux outils, de nouvelles façons de faire et un surcroit de travail alors que le gain n’est pas toujours perçu par les équipes d’exploitation, ce qui peut donner lieu à une certaine résistance au changement.

Les leviers pour faciliter son adoption

Des leviers existent pourtant, permettant de répondre aux freins constatés. Il faut savoir par exemple que les solutions de micro-segmentation sont parfois intégrées à des solutions techniques déjà déployées par ailleurs pour d’autres besoins, ce qui n’implique donc pas d’investissements supplémentaires. Cette technologie est en effet intégrée de base dans toutes les offres cloud des Hyperscalers, et dans diverses solutions techniques de cloud privé et de conteneurs.

Les solutions du marché disposent par ailleurs d’Application Programming Interface (API) intégrables dans des outils d’orchestration et diminuant, par définition, la charge liée au déploiement.

Enfin, des outils de découverte de flux sont intégrés à la solution de micro-segmentation, permettant de simplifier la sécurisation d’applications en passant par une phase de découverte avant d’activer les règles identifiées automatiquement. Les avancées dans l’Intelligence Artificielle pourraient d’ailleurs grandement faciliter à l’avenir la mise en œuvre de la micro-segmentation, à commencer par la classification des flux découverts.

Les 5 clefs de la réussite d’un projet de micro-segmentation

Une fois les premières barrières écartées, toute organisation se lançant dans un projet de micro-segmentation de ses datacenters doit s’assurer de suivre les recommandations suivantes :

  • Le projet doit faire l’objet d’un sponsorship à bon niveau, typiquement DSI ou RSSI, afin de faciliter l’accompagnement au changement
  • Les acteurs de la sécurité, du réseau et les responsables d’applications doivent être impliqués dès le départ
  • Dans une démarche Quick Win, les petits périmètres ayant des besoins de sécurité plus élevés que d’autres, et non encore traités de manière satisfaisante, doivent être adressés en priorité 
  • Un processus accéléré d’ouverture des équipements de sécurité à de nouveaux flux doit être mis en place pendant la période de déploiement, pour éviter tout impact négatif sur le rythme de mise en place de la solution
  • Les fonctions annexes et automatisées qui apportent un service immédiat, comme la découverte des flux et l’historique des communications, doivent être mises en œuvre pour accélérer le déploiement de la solution.

Auteur

Pierre-Charles Wagrez

Architecte Entreprise
Pierre-Charles Wagrez est Architecte Entreprise chez Capgemini spécialisé en architecture des environnements informatiques complexes intégrant les nouvelles technologies pour de grands comptes dans le domaine bancaire, industriel et informatique.
    Pour aller plus loin

      Cybersécurité

      Faites de la cybersécurité votre moteur de transformation.

      En savoir plus

      Objectif CYBER

      Le podcast qui décrypte toutes les facettes de la cybersécurité.

      En savoir plus