Texture Top Right Teal 02

Solution de microsegmentation

Contrairement aux méthodes classiques basées sur les pare-feu d’hôte ou virtuels, FireEye Cloudvisory assure la microsegmentation des workloads par le biais des contrôles de sécurité existants du fournisseur cloud. En exploitant les API cloud-native pour la détection d’infrastructures et de flux de données, Cloudvisory accélère le déploiement, élimine les erreurs de configuration et réduit les coûts et la charge de travail associés à la gestion des politiques du moindre privilège à grande échelle.

Avantages de la microsegmentation

Les solutions de microsegmentation de Cloudvisory s’adressent aux entreprises de toute taille. À la fois intuitives et évolutives, elles s’adaptent à tous les workloads basés sur le cloud. Au menu : 

Exploitation des contrôles de sécurité cloud-native

Exploitation des contrôles de sécurité cloud-native

Whitelisting du trafic autorisé

Whitelisting du trafic autorisé

Réduction de la surface d’attaque

Réduction de la surface d’attaque

Prévention de la propagation des menaces (internes)

Prévention de la propagation des menaces (internes)

Apprentissage automatique des états de référence souhaités (desired state)

Apprentissage automatique des états de référence souhaités (desired state)

Prévention des dérives de configuration

Prévention des dérives de configuration

Détection des comportements anormaux et/ou malveillants

Détection des comportements anormaux et/ou malveillants

Réponse aux changements indésirables et/ou non autorisés

Réponse aux changements indésirables et/ou non autorisés

Mise en œuvre d’un modèle Zero Trust pour les utilisateurs et les applications

Mise en œuvre d’un modèle Zero Trust pour les utilisateurs et les applications

“L’heure est à la microsegmentation par défaut. La bonne pratique veut que l’ensemble des politiques de sécurité soit appliqué sur la base de balises et d’appartenances.”

- Gartner

Solutions de microsegmentation

Microsegmentation contextuelle

Cloudvisory applique les règles de microsegmentation en comparant l’intention de la politique avec le contexte du workload, ce dernier étant notamment renseigné par les balises, la région, le fournisseur, le compte du fournisseur, l’appartenance à un groupe, etc. Les mises à jour sont alors orchestrées de façon dynamique en réponse aux changements dans l’environnement.

Microsegmentation basée sur l’état de référence (Golden State)

Cloudvisory applique les règles de microsegmentation selon des politiques statiques pour les adresses IP. Les recommandations de mise à jour des politiques sont alors identifiées par corrélations ML entre les politiques réseau actuelles et les flux réseaux réels.

En choisissant l’une de ces deux approches, ou en les combinant,
vous pourrez mettre en œuvre des politiques de microsegmentation parfaitement adaptées aux spécificités
de vos différentes unités opérationnelles et organisationnelles.

Microsegmentation contextuelle

La microsegmentation contextuelle de Cloudvisory vise à stopper les cyberattaques dans les environnements cloud publics et privés. Cloudvisory détecte automatiquement les workloads existants et leurs flux de données à travers plusieurs fournisseurs cloud, puis génère des politiques de segmentation adaptées au contexte des workloads. Les politiques de whitelisting granulaires, sur lesquelles repose la microsegmentation, n’autorisent que les connexions réseau nécessaires vers et depuis un workload ou une application donnée. Tout le reste est systématiquement bloqué. En cas de changement dans l'environnement (par ex., ajout ou suppression de workloads), Cloudvisory calcule et provisionne immédiatement les politiques de microsegmentation requises selon le contexte. Résultat : les politiques de sécurité restent cohérentes et immuables sur l'ensemble des environnements hybrides et multicloud complexes.

La microsegmentation contextuelle renforce l’agilité opérationnelle des équipes Business, DevOps et Sécurité en simplifiant la gestion des règles de microsegmentation à l’échelle. Contrairement aux solutions traditionnelles, restreintes sur le plan contextuel, l’architecture unique de Cloudvisory n’impose aucune limite aux regroupements logiques de ressources cloud.

Microsegmentation basée sur le "golden state"

La microsegmentation ne peut s'opérer en vase clos. En effet, certaines équipes de sécurité cloud peuvent déjà appliquer des politiques réseau de référence ("golden state"), adaptées à leurs technologies et processus opérationnels. Dans pareil cas, l’approche contextuelle de la microsegmentation ne sera pas forcément adaptée. Pourtant, le "golden state" est loin d'être parfait et doit être régulièrement retouché et affiné.

C’est pourquoi Cloudvisory reconnaît toute l’importance de s’adapter aux processus et technologies en place, tout en définissant des axes d'amélioration des contrôles de sécurité et de leur adaptation aux changements dans l’environnement. La microsegmentation "golden state" repose ainsi sur :

  • La détection et l’application automatiques des politiques de sécurité réseau existantes (c.-à-d. les groupes de sécurité)
  • L’apprentissage de l’état optimal souhaité via la collecte et l’analyse (sans agent) des flux de réseau actuels
  • Les recommandations par ML des améliorations de politiques de sécurité réseau à apporter
  • Les tests en sandbox de l’impact de ces changements, avant leur mise en œuvre

Cloudvisory se familiarise avec les politiques existantes et suggère des améliorations intelligentes en fonction des flux réseau réels. Les équipes de sécurité cloud expérimentées peuvent utiliser Cloudvisory afin d’apprendre et d’appliquer des politiques "golden state" de sécurité du cloud. Pour ce faire, notre solution détecte automatiquement les changements et génère les alertes et recommandations adéquates sans interférer avec vos processus de Business Automation.

“Les capacités de sécurité cloud-native du fournisseurs IaaS vous permettent d’automatiser les contrôles de sécurité tout au long du cycle de vie de l’application.”

- Gartner

Exploiter les contrôles de sécurité cloud-native

L’infrastructure des environnements cloud publics et privés intègre de puissants contrôles de sécurité. Bien configurés, ces contrôles cloud-native contribuent efficacement à la protection des applications et microservices dynamiques exécutés dans le cloud. Ils se distinguent en cela des contrôles de sécurité classiques, statiques, difficiles à passer à l'échelle, complexes à configurer et conceptuellement inadaptés aux environnements cloud. C’est pourquoi ils peuvent difficilement s'intégrer à de tels environnements. Les infrastructures cloud étant par essence basées sur le whitelisting, les contrôles associés à la segmentation traditionnelle ne fonctionnent pas tant que les contrôles de sécurité du cloud ne sont pas configurés de manière précise. Cloudvisory résout cette équation en provisionnant, en protégeant et en surveillant automatiquement de multiples environnements cloud à l’aide des contrôles natifs de chaque fournisseur.

Texture Side Left Teal 02

Environnements cloud publics

  • Contrôles statiques impliquant une charge et des coûts administratifs élevés
  • Pare-feu de zone aux points centraux d’entrée et de sortie
  • Un ou plusieurs sous-réseaux/VLAN par zone
  • Confiance explicite entre les zones
  • Confiance implicite au sein des zones (l’ensemble du trafic à l’intérieur d’une zone est autorisé)
  • Règles de liste blanche (approbation) et de liste noire (interdiction)
  • Contrôle central par les équipes de sécurité
  • Conçu pour la protection périmétrique
  • Peu ou pas de restrictions du trafic est-ouest (déplacement latéral)

Environnements cloud privés

  • Contrôles dynamiques simplifiant le self-service
  • Pare-feu définis ressource par ressource
  • Chaque workload (ou port) constitue en soi un segment ou une zone
  • Confiance explicite uniquement, même au sein d'un sous-réseau/VLAN
  • Absence de confiance implicite
  • Focus sur le whitelisting du trafic autorisé
  • Contrôle via les appels d’API du fournisseur cloud
  • Conçu pour une protection workload par workload
  • Bloque le trafic est-ouest (déplacement latéral), sauf permission contraire explicite

“Le périmètre est mort.”

- Anonyme

Prévenir les attaques et isoler les menaces

Environnement cloud moderne ou data center classique ? Peu importe le type de déploiement, les attaquants savent bien que la plupart des entreprises :

  1. S’appuient principalement sur des contrôles de sécurité préventifs au niveau du périmètre.
  2. N’ont pas les contrôles internes nécessaires pour limiter le trafic latéral.
  3. Peinent à détecter les attaques furtives de longue haleine, camouflées au sein de leur(s) environnement(s).

Les hackers s’acharnent sur les points faibles, et nulle prévention n’est infaillible.

Les cybercriminels savent pertinemment que les entreprises privilégient une approche de la sécurité basée sur la prévention et la protection périmétrique du réseau. Aussi, ils consacrent aujourd’hui le plus clair de leur temps et de leurs ressources à l’attaque des défenses périmétriques. Une fois les "remparts de la forteresse franchis", les assaillants jouissent souvent d’une relative liberté d'agir et de circuler en toute impunité. Ils prennent ainsi le temps de sonder les moindres recoins du réseau, au moyen d’un serveur de commande et contrôle, et de se déplacer latéralement vers les objectifs ciblés. 

Face à l’essor du multicloud, le "périmètre" de l’entreprise – jusque-là centralisé, statique et délimité physiquement – est aujourd’hui distribué ("multicloud"), dynamique (configurable via les API du fournisseur cloud) et défini au niveau logique (IP "flottantes/publiques"). Par ailleurs, les technologies cloud (virtuelles) en self-service ont favorisé l’efficacité et l’évolutivité au détriment de la sécurité et de la visibilité. Bref, il existe désormais bien davantage de ressources à protéger et de contrôles effectuer, dans des configurations plus changeantes que jamais.

Une nouvelle approche s'impose. Une approche qui préserve l'avantage efficacité et évolutivité du cloud tout en améliorant la sécurité à travers trois leviers : visibilité approfondie, conformité constante et gouvernance applicable.

Comportement SANS microsegmentation

  • Les attaquants franchissent le périmètre de l’entreprise (nord-sud) par le biais de techniques avancées.
  • Le peu de segmentation interne leur permet de se déplacer latéralement (est-ouest) au sein de l’entreprise.
  • Le manque de visibilité aggrave les faiblesses internes : les hackers maintiennent leur présence aussi longtemps qu’ils le souhaitent, sans être détectés, via un serveur de commande et contrôle (CnC).
  • Les cybercriminels atteignent leur objectif et parviennent à exfiltrer les données stratégiques de l’entreprise victime.
  • La plupart des attaques ne sont jamais détectées, et les autres ne le sont qu'au bout de six à douze mois.

Comportement AVEC microsegmentation

  • La surface d’attaque est réduite.
  • Le risque de déplacement latéral (c.-à-d. le trafic est-ouest) est atténué, puisque la microsegmentation applique en interne des contrôles aussi forts que la segmentation externe (au niveau du périmètre).
  • La visibilité accrue sur le comportement réel du réseau permet de détecter rapidement les activités anormales, y compris les communications CnC et/ou les signes symptomatiques de menaces connues (c.-à-d. Threat Intelligence exploitable).
  • La microsegmentation optimise la prévention des attaques en amont.

“Un voyage de mille lieues commence toujours par un premier pas.”

- Lao Tseu

Les étapes de la microsegmentation

La microsegmentation représente un sous-ensemble des fonctions de gouvernance cloud-native disponibles dans Cloudvisory.

Une bonne gouvernance passe par une visibilité approfondie et une conformité constante. Avant d’entamer un projet de microsegmentation, il faut savoir par où commencer et s'équiper des bons outils pour avancer rapidement et maintenir le cap fixé.

VISIBILITÉ

VISIBILITÉ

Première étape : obtenir une visibilité sur le comportement réel du réseau.

  • Détection sans agent des ressources multicloud et des flux réseau associés
  • Visualisation des flux réseau réels entre les workloads cloud, les groupes logiques, les régions, les comptes fournisseurs et les fournisseurs cloud
  • Audits spontanés des ressources cloud, du contexte, des contrôles et des événements de sécurité détectés
  • Test préproduction des suggestions de modification des politiques réseau""
  • Visibilité en quasi temps réel sur les flux réseau pour accélérer la détection et la réponse
  • Historique complet des données de flux réseau pour l’analyse forensique
CONFORMITÉ

CONFORMITÉ

La visibilité permet d'établir un périmètre de conformité qui définit des autorisations raisonnables (self-service). Elle constitue en outre un tremplin vers la microsegmentation par défaut.

  • Surveillance continue du cloud pour veiller à la conformité des environnements multicloud
  • Identification des règles de sécurité de groupe n’ayant rien à faire dans un environnement cloud
  • Conversion des audits spontanés (visibilité) en contrôles de conformité récurrents
  • Signalement automatique des écarts de conformité aux responsables des ressources concernées et autres parties prenantes
  • Détection rapide des menaces connues via un recoupement en quasi temps réel des flux réseau avec la Threat Intelligence disponible
  • Possibilité d’orchestrer la remédiation des écarts de conformité et/ou des menaces connues à travers les environnements cloud
GOUVERNANCE

GOUVERNANCE

La gouvernance intervient dans le prolongement direct de la conformité afin de définir des politiques spécifiques aux différents workloads cloud. L'objectif est ici d'assurer une sécurité cohérente et homogène entre différents fournisseurs, comptes et régions cloud.

  • Détection et remédiation automatiques des entorses aux politiques
  • Application des politiques de microsegmentation par workload à grand échelle
  • Recommandations ML pour améliorer la sécurité cloud
  • Mise en œuvre d’une microsegmentation contextuelle ou basée sur les politiques réseau de référence ("golden state")
  • Microsegmentation en phase avec les pratiques et les exigences distinctes des unités opérationnelles ou organisationnelles

La promesse Cloudvisory

CSPM+CWPP

Seul FireEye Cloudvisory fusionne les fonctions CSPM et CWPP en une seule et même plateforme de sécurité cloud.

Microsegmentation

Cloudvisory exploite les contrôles de sécurité cloud-native du fournisseur cloud pour appliquer la microsegmentation des workloads.

DevSecOps

Cloudvisory offre une multitude d'intégrations et de solutions pour renforcer les pratiques DevSecOps .

Vous êtes prêt ?

En savoir plus sur FireEye Cloudvisory ou contacter le service commercial pour planifier une démonstration.

+33 170612726 +1 888 227 2721 +32 28962867 +1 877-347-3393 +971 45501444 +358 942451151 +49 35185034500 +353 (0)216019160 +39 0294750535 +81 3 4577 4401 +52 5585268207 +31 207941289 +48 223072296 +7 4954658084 +27 105008408 +34 932203202 +94 788155851 +46 853520870 +66 2787 3392 +44 2036087538 +842444581914