Micro-segmentation : la technologie qui change les paradigmes de sécurité des infrastructures informatiques

de | 17 août 2018

L’avènement de la micro-segmentation est porté par les nouvelles approches de Software Defined Network basé sur un contrôle et une gestion centralisés des ressources réseaux ainsi que la virtualisation des ressources physiques. Elle se généralise dans les datacenters, car elle présente un certain nombre d’avantages en terme de flexibilité, d’efficacité opérationnelle et de coût… en fonction des solutions.

Au-delà des avantages, la micro-segmentation change radicalement deux paradigmes ancrés dans la sécurité des systèmes d’information : le positionnement de filtrage et l’organisation.

Le filtrage n’est plus porté par des pare-feux dédiés et physiques : cette fonction est portée par des composants du réseau ou des logiciels.

  1. Le filtrage des flux se fait en point à point à la sortie et à l’entrée de l’interface réseau du serveur. Le gain est que, même au sein d’un même sous-réseau, il est possible de mettre en place du filtrage. Par ailleurs, la micro-segmentation permet de mettre en place du filtrage dans des réseaux de serveurs à plat voire où les postes de travail partagent le même sous-réseau que les serveurs… si si ça existe encore et plus que vous ne le croyez.
  2. Dans les architectures n-tiers, il n’est plus nécessaire de passer par un pare-feu pour assurer le filtrage des flux entre les zones. Ceci apporte un gain non-négligeable en terme de performance réseau et notamment la latence associée au transit réseau entre le serveur source et le pare-feu, le traitement au niveau du pare-feu puis le transit depuis le pare-feu vers le serveur destination.


Quelques limites :

La micro-segmentation ne veut pas dire qu’il est maintenant possible de positionner les serveurs d’applications et de base de données dans le même sous-réseau. Les architectures n-tiers doivent être maintenues.

Dans les architectes Internet, la micro-segmentation ne peut se substituer au pare-feu Internet dédié. A mon sens, ce pare-feu dédié doit rester en place afin de traiter “le bruit” d’Internet constitué des connexions entrantes illégitimes, la micro-segmentation reste dédiée au filtrage du trafic entre les serveurs. Par ailleurs, ce pare-feu doit rester physique afin que, en cas de pic de trafic illégitime, les performances des composants qui portent la micro-segmentation ne se dégradent pas.


De mon point de vue, trois approches techniques de micro-segmentation sont disponibles (si vous en voyez d’autres ne pas hésiter à me les signaler afin d’enrichir cette publication) :

  1. La micro-segmentation portée par la fonction de virtualisation. Cette approche est largement dominée par la solution VMware NSX. Néanmoins, une solution open source, type OpenvSwitch, existe et qui assure de la micro-segmentation pour des environnements Dockers ou encore Open Stack. L’avantage de cette approche est qu’elle nativement intégrée au système de virtualisation avec un très haut niveau de flexibilité. Le seul inconvénient de cette approche est qu’elle ne prend pas en compte les composants physiques, hors virtualisation tels que les serveurs physiques ou encore les NAS… qui nécessitent le maintien de pare-feux dédiés.
  2. La micro-segmentation portée par les composants du réseau, en l’occurrence des commutateurs de nouvelle génération. On retrouve des technologies tels que Cisco ACI et Arista Networks. A l’inverse de l’approche basée sur l’intégration au système de virtualisation, cette approche adresse les serveurs physiques. Le seul point de vigilance à considérer avec cette approche est le caractère statefull du filtrage. En effet, cette approche se reposant sur des composants du réseau capables de faire de la commutation et du routage, se pose la question de la gestion des sessions TCP. Il s’agira de valider que la micro-segmentation n’est pas une surcouche aux access list (ACL).
  3. Un nouvelle approche découverte récemment est portée par le pare-feu embarqué dans les systèmes d’exploitation Microsoft et Linux (iptables), il s’agit de déployer un agent dans les systèmes d’exploitation qui configure la fonction pare-feu. Ces agents sont pilotés par un serveur de gestion central. En retrouve la solution Illumio dans cette catégorie. Cette approche permet d’adresser les serveurs physiques et virtuels, à partir du moment que l’agent de configuration puisse être installé. Des composants de type boîte noire tels que les NAS ne peuvent donc pas être adressés, sauf partenariat technologique entre l’éditeur de la solution de micro-segmentation et le constructeur de la boite noire. Je vois deux limites à cette approche. La première limite concerne la comptabilité de la solution avec les évolutions des systèmes d’exploitation dans le temps. La seconde concerne le cas de compromission du serveur : la personne malveillante est capable de “comprendre” la topologie du réseau en accédant aux règles de filtrage sur le serveur compromis. Cette seconde limite ne se retrouve pas dans les deux précédentes approches, car la micro-segmentation est portée par des composants différents des serveurs à protéger.

Les déploiements, voire les définitions des règles de filtrage, sont à la main des développeurs et des outils d’IT automation avec des changements au niveau d’un certain nombre de processus liés à la sécurité du système d’information, changements qui seront également adressés dans cet article.

L’ensemble des solutions de micro-segmentation disposent de caractéristiques communes :

  1. Un composant central assure la gestion de l’ensemble des règles de micro-segmentation.
  2. La capacité de créer des templates de filtrage qui peuvent être réutilisés d’un serveur à l’autre, voire même être appliqués automatiquement à partir de propriété d’un nouveau serveur.
  3. La mise à disposition d’API qui permettent le pilotage à distance de l’ensemble de la micro-segmentation.
  4. Une gestion fine des droits d’accès pour l’administration de la micro-segmentation.

Note concernant la gestion des API : une gestion stricte des droits liés aux comptes sur lesquels les clé d’API sont rattachées doit être mise en place  (principe du moindre privilège et rotation périodique) afin de limiter les risques liés au vol ou la diffusion inappropriée des clés.

La création de templates de filtrage qui s’appliquent dès le démarrage d’un serveur partir de ses propriétés ou encore depuis un outil d’IT automation tel que Ansible. Par exemple : ouverture…

  1. des flux techniques NTP, DNS, sauvegarde, etc.
  2. des flux de gestion SSH, RDP, etc.
  3. des flux à partir du rôle du serveur http, https, smtp, etc.

La délégation de la création de certains filtres pour certains protocoles peut-être déléguée aux développeurs… sans passer par un comité de validation des flux qui rallonge le temps d’ouverture du service aux utilisateurs.

Dans ce contexte, le rôle des administrateurs de la sécurité de l’infrastructure change vers un métier de développement et d’entretien des templates de filtrage, mais aussi des règles et des scripts d’affectation automatique des templates.

Par ailleurs, le comité de validation des flux validera les templates mis à disposition ainsi que les demandes d’ouverture des flux exotiques. Il endossera par ailleurs un rôle de contrôle à posteriori des filtres déployés.


En conclusion, la micro-segmentation est une technologie avec une empreinte qui ne se limite pas à la dimension technique. Des changements dans l’organisation doivent être mis en place pour que celle-ci utilise pleinement les capacités de cette technologie et être au rendez-vous des nouveaux challenges que les infrastructures doivent relever (flexibilité, évolutivité et agilité).

Une réflexion au sujet de « Micro-segmentation : la technologie qui change les paradigmes de sécurité des infrastructures informatiques »

  1. Ping : Veille Cyber N196 – 27 août 2018 |

Les commentaires sont fermés.