Les 5 phases pour construire un plan de micro-segmentation du réseau – Série Cybersécurité Part I

Il y a quelques semaines, j’ai écrit un article sur la macro- et la micro-segmentation et sur la nécessité d’intégrer le NAC aux pares-feux. Depuis lors, plusieurs personnes m’ont contacté en me disant «c’est tout à fait logique, mais comment faire pour segmenter le réseau sans causer de dégâts au cours du processus ? »

Récemment, de nombreux cas très médiatisés d’attaques par “ransomware” ont ramené des hôpitaux entiers et d’autres institutions à l’âge sombre des processus manuels, basés sur le papier. Les départements informatiques sont toujours plus sur la sellette et la sécurité est devenue encore un sujet encore plus important que jamais. Le constat des membres de la direction peut être résumé comme suit :

1. Vous auriez dû l’avoir fait hier, et,
2. Non, pas de temps d’arrêt des activités

Alerte spoiler : si vous venez ici pour chercher le bouton “on/off” de la sécurité du réseau, il n’existe pas. Si c’était aussi simple, vous auriez déjà appuyé sur ce bouton.  Mais si vous voulez apprendre la méthodologie qui vous aidera à y parvenir, lisez la suite.

La (micro) segmentation n’est pas nouvelle, elle est prise en charge par les réseaux LAN et WLAN depuis de nombreuses années. Cependant, son déploiement a été freiné par un manque de compréhension

1) des dispositifs et applications qu’elle est censée protéger,

2) des fonctionnalités disponibles dans les équipements réseau et

3) des architectures qui les combinent efficacement.

Pour cette raison, les initiatives liées à la mise en place d’une micro-segmentation du réseau ont souvent été ajournées car jugées “trop difficiles”.

Jusqu’à présent en tout cas.

Dans cet article, je vais vous présenter la méthodologie générale. Dans les articles suivants de cette série, j’expliquerai les étapes en détail. Commençons.

Cette méthodologie comporte 5 phases distinctes :

1. Surveiller : avant de faire quoi que ce soit, et pendant que vous développez une stratégie de micro-segmentation appropriée, commencez à collecter les données qui aideront à son développement. Activez le profilage IoT pour obtenir un rapport d’inventaire des objets connectés, ce qui sera essentiel dans la phase 2. Si votre réseau supporte cette fonctionnalité, activez le DPI (Deep Packet Inspection) et commencez à collecter des données sur les applications utilisées par chaque type d’appareil et leurs flux de trafic – vous en aurez besoin pour la phase 3. Si vos équipements réseau ne prennent pas en charge le DPI, vous pouvez toujours activer la collecte sFlow sur le LAN et le suivi du comportement des utilisateurs sur le WLAN. Vous devez également activer la surveillance et la journalisation sur les pare-feu, les proxies et les autres outils de sécurité que vous pouvez avoir.
2. Valider : Après avoir dressé un inventaire des dispositifs IoT, vous devez maintenant 1) identifier les propriétaires des objets, 2) en rechercher les capacités de sécurité 3) identifier les flux de trafic requis 4) évaluer la conformité à la politique de sécurité et 5) créer un plan de remédiation si nécessaire.
   Nous devons répondre aux questions suivantes : 1) cet appareil répond-il à un besoin professionnel légitime ? Si non, débarrassons-nous-en, il augmente inutilement la surface d’attaque. 2) quelles sont les capacités de sécurité dont il dispose, prend-il en charge l’authentification par certificat, le chiffrement, etc. 3) avec quels autres appareils et applications a-t-il besoin de communiquer ? 4) est-il conforme aux politiques de sécurité, type mots de passe, mises à jour du micrologiciel etc. Si ce n’est pas le cas 5) élaborons un plan de remédiation pour cet appareil.
3. Planifier : Grâce aux informations recueillies au cours des phases précédentes, nous pouvons maintenant commencer à élaborer une stratégie de segmentation. La stratégie exacte peut être différente selon les types de dispositifs et d’utilisateurs. Quelle est la bonne stratégie de macro-segmentation ? S’agit-il de VLAN, de VPN, de tunnellisation ? Quels sont les rôles ou profils requis pour les appareils et/ou les utilisateurs ? Quelles sont les politiques de micro-segmentation requises pour chaque type de dispositif ? Comment le dispositif sera-t-il authentifié sur le réseau ? Certificats 802.1X ? Authentification MAC ? Ou utilisera-t-il plutôt la classification par empreinte IoT « fingerprinting » ? L’intégration du pare-feu sera-t-elle nécessaire ?
4. Simuler : Dans cette phase, les politiques d’authentification et de sécurité sont déployées en mode “fail open”, avec journalisation uniquement. Cela signifie que les appareils qui ne parviennent pas à s’authentifier seront tout de même autorisés à se connecter et que les flux de trafic inattendus seront toujours autorisés à passer. Les occurrences d’échec d’authentification et de politique seront consignées pendant un certain temps et des ajustements seront effectués jusqu’à ce qu’aucun échec critique ne soit enregistré. Avec ces politiques en place, même en mode de journalisation uniquement, les rapports de surveillance du trafic (phase 1) deviennent plus significatifs car nous pouvons maintenant filtrer les statistiques par rôle ou profil spécifique.
5. Appliquer : une fois que nous sommes convaincus d’avoir mis en place les politiques d’authentification et de sécurité, nous pouvons enfin les convertir en “fail closed” – tout dispositif non authentifié ou flux de trafic inattendu sera bloqué (ou mis en quarantaine) et enregistré.

Dans le prochain article, j’expliquerai comment configurer le profilage IoT et la surveillance DPI/flux pour produire les rapports les plus utiles qui aideront à configurer les politiques par la suite.