Solution de microsegmentation
Contrairement aux méthodes classiques basées sur les pare-feu d’hôte ou virtuels, FireEye Cloudvisory assure la microsegmentation des workloads par le biais des contrôles de sécurité existants du fournisseur cloud. En exploitant les API cloud-native pour la détection d’infrastructures et de flux de données, Cloudvisory accélère le déploiement, élimine les erreurs de configuration et réduit les coûts et la charge de travail associés à la gestion des politiques du moindre privilège à grande échelle.
Avantages de la microsegmentation
Les solutions de microsegmentation de Cloudvisory s’adressent aux entreprises de toute taille. À la fois intuitives et évolutives, elles s’adaptent à tous les workloads basés sur le cloud. Au menu :
Exploitation des contrôles de sécurité cloud-native
Whitelisting du trafic autorisé
Réduction de la surface d’attaque
Prévention de la propagation des menaces (internes)
Apprentissage automatique des états de référence souhaités (desired state)
Prévention des dérives de configuration
Détection des comportements anormaux et/ou malveillants
Réponse aux changements indésirables et/ou non autorisés
Mise en œuvre d’un modèle Zero Trust pour les utilisateurs et les applications
“L’heure est à la microsegmentation par défaut. La bonne pratique veut que l’ensemble des politiques de sécurité soit appliqué sur la base de balises et d’appartenances.”
- Gartner
Solutions de microsegmentation
Microsegmentation contextuelle
Cloudvisory applique les règles de microsegmentation en comparant l’intention de la politique avec le contexte du workload, ce dernier étant notamment renseigné par les balises, la région, le fournisseur, le compte du fournisseur, l’appartenance à un groupe, etc. Les mises à jour sont alors orchestrées de façon dynamique en réponse aux changements dans l’environnement.
Microsegmentation basée sur l’état de référence (Golden State)
Cloudvisory applique les règles de microsegmentation selon des politiques statiques pour les adresses IP. Les recommandations de mise à jour des politiques sont alors identifiées par corrélations ML entre les politiques réseau actuelles et les flux réseaux réels.
En choisissant l’une de ces deux approches,
ou en les combinant,
vous pourrez mettre en œuvre des politiques
de microsegmentation parfaitement adaptées aux spécificités
de
vos différentes unités opérationnelles et organisationnelles.
Microsegmentation contextuelle
La microsegmentation contextuelle de Cloudvisory vise à stopper les cyberattaques dans les environnements cloud publics et privés. Cloudvisory détecte automatiquement les workloads existants et leurs flux de données à travers plusieurs fournisseurs cloud, puis génère des politiques de segmentation adaptées au contexte des workloads. Les politiques de whitelisting granulaires, sur lesquelles repose la microsegmentation, n’autorisent que les connexions réseau nécessaires vers et depuis un workload ou une application donnée. Tout le reste est systématiquement bloqué. En cas de changement dans l'environnement (par ex., ajout ou suppression de workloads), Cloudvisory calcule et provisionne immédiatement les politiques de microsegmentation requises selon le contexte. Résultat : les politiques de sécurité restent cohérentes et immuables sur l'ensemble des environnements hybrides et multicloud complexes.
La microsegmentation contextuelle renforce l’agilité opérationnelle des équipes Business, DevOps et Sécurité en simplifiant la gestion des règles de microsegmentation à l’échelle. Contrairement aux solutions traditionnelles, restreintes sur le plan contextuel, l’architecture unique de Cloudvisory n’impose aucune limite aux regroupements logiques de ressources cloud.
Microsegmentation basée sur le "golden state"
La microsegmentation ne peut s'opérer en vase clos. En effet, certaines équipes de sécurité cloud peuvent déjà appliquer des politiques réseau de référence ("golden state"), adaptées à leurs technologies et processus opérationnels. Dans pareil cas, l’approche contextuelle de la microsegmentation ne sera pas forcément adaptée. Pourtant, le "golden state" est loin d'être parfait et doit être régulièrement retouché et affiné.
C’est pourquoi Cloudvisory reconnaît toute l’importance de s’adapter aux processus et technologies en place, tout en définissant des axes d'amélioration des contrôles de sécurité et de leur adaptation aux changements dans l’environnement. La microsegmentation "golden state" repose ainsi sur :
- La détection et l’application automatiques des politiques de sécurité réseau existantes (c.-à-d. les groupes de sécurité)
- L’apprentissage de l’état optimal souhaité via la collecte et l’analyse (sans agent) des flux de réseau actuels
- Les recommandations par ML des améliorations de politiques de sécurité réseau à apporter
- Les tests en sandbox de l’impact de ces changements, avant leur mise en œuvre
Cloudvisory se familiarise avec les politiques existantes et suggère des améliorations intelligentes en fonction des flux réseau réels. Les équipes de sécurité cloud expérimentées peuvent utiliser Cloudvisory afin d’apprendre et d’appliquer des politiques "golden state" de sécurité du cloud. Pour ce faire, notre solution détecte automatiquement les changements et génère les alertes et recommandations adéquates sans interférer avec vos processus de Business Automation.
“Les capacités de sécurité cloud-native du fournisseurs IaaS vous permettent d’automatiser les contrôles de sécurité tout au long du cycle de vie de l’application.”
- Gartner
Exploiter les contrôles de sécurité cloud-native
L’infrastructure des environnements cloud publics et privés intègre de puissants contrôles de sécurité. Bien configurés, ces contrôles cloud-native contribuent efficacement à la protection des applications et microservices dynamiques exécutés dans le cloud. Ils se distinguent en cela des contrôles de sécurité classiques, statiques, difficiles à passer à l'échelle, complexes à configurer et conceptuellement inadaptés aux environnements cloud. C’est pourquoi ils peuvent difficilement s'intégrer à de tels environnements. Les infrastructures cloud étant par essence basées sur le whitelisting, les contrôles associés à la segmentation traditionnelle ne fonctionnent pas tant que les contrôles de sécurité du cloud ne sont pas configurés de manière précise. Cloudvisory résout cette équation en provisionnant, en protégeant et en surveillant automatiquement de multiples environnements cloud à l’aide des contrôles natifs de chaque fournisseur.
Environnements cloud publics
- Contrôles statiques impliquant une charge et des coûts administratifs élevés
- Pare-feu de zone aux points centraux d’entrée et de sortie
- Un ou plusieurs sous-réseaux/VLAN par zone
- Confiance explicite entre les zones
- Confiance implicite au sein des zones (l’ensemble du trafic à l’intérieur d’une zone est autorisé)
- Règles de liste blanche (approbation) et de liste noire (interdiction)
- Contrôle central par les équipes de sécurité
- Conçu pour la protection périmétrique
- Peu ou pas de restrictions du trafic est-ouest (déplacement latéral)
Environnements cloud privés
- Contrôles dynamiques simplifiant le self-service
- Pare-feu définis ressource par ressource
- Chaque workload (ou port) constitue en soi un segment ou une zone
- Confiance explicite uniquement, même au sein d'un sous-réseau/VLAN
- Absence de confiance implicite
- Focus sur le whitelisting du trafic autorisé
- Contrôle via les appels d’API du fournisseur cloud
- Conçu pour une protection workload par workload
- Bloque le trafic est-ouest (déplacement latéral), sauf permission contraire explicite
“Le périmètre est mort.”
- Anonyme
Prévenir les attaques et isoler les menaces
Environnement cloud moderne ou data center classique ? Peu importe le type de déploiement, les attaquants savent bien que la plupart des entreprises :
- S’appuient principalement sur des contrôles de sécurité préventifs au niveau du périmètre.
- N’ont pas les contrôles internes nécessaires pour limiter le trafic latéral.
- Peinent à détecter les attaques furtives de longue haleine, camouflées au sein de leur(s) environnement(s).
Les hackers s’acharnent sur les points faibles, et nulle prévention n’est infaillible.
Les cybercriminels savent pertinemment que les entreprises privilégient une approche de la sécurité basée sur la prévention et la protection périmétrique du réseau. Aussi, ils consacrent aujourd’hui le plus clair de leur temps et de leurs ressources à l’attaque des défenses périmétriques. Une fois les "remparts de la forteresse franchis", les assaillants jouissent souvent d’une relative liberté d'agir et de circuler en toute impunité. Ils prennent ainsi le temps de sonder les moindres recoins du réseau, au moyen d’un serveur de commande et contrôle, et de se déplacer latéralement vers les objectifs ciblés.
Face à l’essor du multicloud, le "périmètre" de l’entreprise – jusque-là centralisé, statique et délimité physiquement – est aujourd’hui distribué ("multicloud"), dynamique (configurable via les API du fournisseur cloud) et défini au niveau logique (IP "flottantes/publiques"). Par ailleurs, les technologies cloud (virtuelles) en self-service ont favorisé l’efficacité et l’évolutivité au détriment de la sécurité et de la visibilité. Bref, il existe désormais bien davantage de ressources à protéger et de contrôles effectuer, dans des configurations plus changeantes que jamais.
Une nouvelle approche s'impose. Une approche qui préserve l'avantage efficacité et évolutivité du cloud tout en améliorant la sécurité à travers trois leviers : visibilité approfondie, conformité constante et gouvernance applicable.
Comportement SANS microsegmentation
- Les attaquants franchissent le périmètre de l’entreprise (nord-sud) par le biais de techniques avancées.
- Le peu de segmentation interne leur permet de se déplacer latéralement (est-ouest) au sein de l’entreprise.
- Le manque de visibilité aggrave les faiblesses internes : les hackers maintiennent leur présence aussi longtemps qu’ils le souhaitent, sans être détectés, via un serveur de commande et contrôle (CnC).
- Les cybercriminels atteignent leur objectif et parviennent à exfiltrer les données stratégiques de l’entreprise victime.
- La plupart des attaques ne sont jamais détectées, et les autres ne le sont qu'au bout de six à douze mois.
Comportement AVEC microsegmentation
- La surface d’attaque est réduite.
- Le risque de déplacement latéral (c.-à-d. le trafic est-ouest) est atténué, puisque la microsegmentation applique en interne des contrôles aussi forts que la segmentation externe (au niveau du périmètre).
- La visibilité accrue sur le comportement réel du réseau permet de détecter rapidement les activités anormales, y compris les communications CnC et/ou les signes symptomatiques de menaces connues (c.-à-d. Threat Intelligence exploitable).
- La microsegmentation optimise la prévention des attaques en amont.
“Un voyage de mille lieues commence toujours par un premier pas.”
- Lao Tseu
Les étapes de la microsegmentation
La microsegmentation représente un sous-ensemble des fonctions de gouvernance cloud-native disponibles dans Cloudvisory.
Une bonne gouvernance passe par une visibilité approfondie et une conformité constante. Avant d’entamer un projet de microsegmentation, il faut savoir par où commencer et s'équiper des bons outils pour avancer rapidement et maintenir le cap fixé.
VISIBILITÉ
Première étape : obtenir une visibilité sur le comportement réel du réseau.
CONFORMITÉ
La visibilité permet d'établir un périmètre de conformité qui définit des autorisations raisonnables (self-service). Elle constitue en outre un tremplin vers la microsegmentation par défaut.
GOUVERNANCE
La gouvernance intervient dans le prolongement direct de la conformité afin de définir des politiques spécifiques aux différents workloads cloud. L'objectif est ici d'assurer une sécurité cohérente et homogène entre différents fournisseurs, comptes et régions cloud.
La promesse Cloudvisory
CSPM+CWPP
Seul FireEye Cloudvisory fusionne les fonctions CSPM et CWPP en une seule et même plateforme de sécurité cloud.
Microsegmentation
Cloudvisory exploite les contrôles de sécurité cloud-native du fournisseur cloud pour appliquer la microsegmentation des workloads.
DevSecOps
Cloudvisory offre une multitude d'intégrations et de solutions pour renforcer les pratiques DevSecOps .
Vous êtes prêt ?
En savoir plus sur FireEye Cloudvisory ou contacter le service commercial pour planifier une démonstration.