Qu’est-ce que la segmentation du réseau ?

La segmentation du réseau est une technique de sécurité réseau qui divise un réseau en plus petits sous-réseaux distincts qui peuvent être compartimentés par les équipes responsables des réseaux. Elle fournit des contrôles et services de sécurité uniques à chaque sous-réseau.

Le processus de segmentation du réseau implique le partitionnement d’un réseau physique en différents sous-réseaux logiques. Une fois que le réseau a été subdivisé en unités plus petites et plus faciles à gérer, des contrôles sont appliqués aux segments compartimentés individuels.

La segmentation du réseau fournit des services de sécurité uniques par segment de réseau, et permet ainsi de mieux contrôler le trafic réseau, d’optimiser les performances et d’améliorer la stratégie sécuritaire.

Premièrement, une sécurité renforcée. Nous savons tous qu’en matière de sécurité, vous êtes tributaire de votre maillon le plus faible. En effet, un grand réseau à plat présente inévitablement une vaste surface d’attaque. En revanche, lorsqu’un grand réseau est divisé en sous-réseaux de plus petite taille, l’isolement du trafic réseau au sein des sous-réseaux réduit la surface d’attaque et entrave le mouvement latéral. Ainsi, en cas de violation du périmètre du réseau, les segments empêchent les cybercriminels de parcourir latéralement le réseau.
De plus, la segmentation offre un moyen logique d’isoler une attaque active avant qu’elle ne se propage sur le réseau. Par exemple, la segmentation garantit que les logiciels malveillants d’un segment n’atteignent pas les systèmes d’un autre. La création de segments limite la portée d’une attaque et réduit la surface d’attaque à un minimum absolu.

Intéressons-nous à présent aux performances. La segmentation réduit la congestion du réseau, dont elle améliore les performances en supprimant le trafic inutile dans un segment particulier. Par exemple, les terminaux médicaux d’un hôpital peuvent être segmentés du réseau de visiteurs, de sorte que les terminaux médicaux ne soient pas affectés par le trafic de navigation Web des clients.

En conséquence de la segmentation du réseau, il y a moins d’hôtes par sous-réseau, le trafic local par sous-réseau est minimisé et le trafic externe est uniquement limité à celui conçu pour le sous-réseau.

La segmentation du réseau crée plusieurs segments isolés au sein d’un réseau plus vaste, dont chacun peut avoir des exigences et des règles de sécurité différentes. Ces segments contiennent des types d’applications ou de terminaux spécifiques présentant le même niveau de confiance.

Il y a plusieurs manières de procéder à une segmentation du réseau. Nous aborderons la segmentation basée sur le périmètre mise en œuvre avec les VLAN, puis la segmentation effectuée plus en profondeur dans le réseau avec des techniques de virtualisation de réseau.

Segmentation basée sur le périmètre

La segmentation basée sur le périmètre crée des segments internes et externes reposant sur la confiance : les éléments internes au segment de réseau sont fiables, et tout ce qui est externe ne l’est pas. En conséquence, il existe peu de restrictions sur les ressources internes, qui fonctionnent généralement sur un réseau à plat avec une segmentation minimale du réseau interne. Le filtrage et la segmentation s’effectuent sur des points fixes du réseau.

À l’origine, les VLAN ont été introduits pour diviser les domaines de diffusion en vue d’améliorer les performances du réseau. Au fil du temps, les VLAN ont fini par être utilisés comme outil de sécurité, mais n’ont pas été conçus initialement à cet effet. Les VLAN ont le problème de ne pas offrir de filtrage intra-VLAN ; leur niveau d’accès est très large.

Par ailleurs, une règle s’avère nécessaire pour passer d’un segment à l’autre. Avec une règle, vous pouvez arrêter le flux de trafic d’un segment à l’autre, ou le limiter (en fonction du type, de la source et de la destination du trafic).
Le pare-feu réseau est un outil couramment utilisé pour la segmentation basée sur le périmètre. Il a été utilisé à l’origine pour contrôler le mouvement nord-sud du trafic réseau tout en autorisant les communications universelles au sein d’un segment.

Virtualisation de réseau

Aujourd’hui, de nombreuses entreprises gèrent diverses zones de réseau avec des fonctions spécifiques qui nécessitent une segmentation sur de nombreux points de réseau. De plus, les terminaux que le réseau doit prendre en charge se sont diversifiés pour inclure de nombreux types de terminaux, dont chacun présente des niveaux de confiance variables.

En l’occurrence, la segmentation basée sur le périmètre ne suffit plus. Avec l’avènement, du Cloud, du BYOD et de la mobilité, par exemple, le périmètre est désormais plus flou, sans aucun point de démarcation clairement défini. Nous avons désormais besoin d’une meilleure segmentation, plus poussée au sein du réseau, afin d’en améliorer la sécurité et les performances. En outre, avec les modèles de trafic est-ouest d’aujourd’hui, une segmentation du réseau encore plus importante est nécessaire. C’est à ce niveau que la virtualisation de réseau intervient, car elle fait passer la segmentation à un niveau supérieur.

Dans sa forme la plus simple, la virtualisation de réseau consiste à provisionner des services de réseau et sécurité indépendamment de l’infrastructure physique. En rendant possible une segmentation sur l’ensemble du réseau et pas uniquement au niveau du périmètre, la virtualisation de réseau joue un rôle clé pour favoriser une segmentation efficace. Dans les faits, la segmentation basée sur le périmètre à laquelle nous étions habitués est désormais virtualisée et distribuée, avec des règles de sécurité flexibles et granulaires qui couvrent chaque segment du réseau.