Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Nom du pilier : Protéger les réseaux
Nom du modèle : isolation réseau
Contexte et problème
Les cybercriminels modernes exploitent des limites réseau faibles pour se déplacer latéralement et élever les privilèges. Les vecteurs d'attaque courants incluent les informations d'identification volées, l'abus des protocoles et la relecture des jetons. Une fois à l’intérieur, les adversaires exploitent souvent une segmentation médiocre, des autorisations trop permissives ou une infrastructure partagée pour accéder aux charges de travail sensibles.
Les réseaux plats traditionnels rendent difficile l’application de l’accès de moindre privilège et les ressources restent souvent largement accessibles. Sans isolation claire, les menaces internes et externes peuvent rapidement compromettre plusieurs systèmes. Le défi est de normaliser la segmentation du réseau, d’appliquer des périmètres et de s’assurer que les flux de trafic sont strictement contrôlés pour empêcher le mouvement latéral et contenir des violations.
Solution
L’isolation réseau sécurise les réseaux en divisant et en isolant les réseaux en segments et en contrôlant l’accès au réseau. Il combine les solutions de sécurité réseau prenant en charge les identités et les améliorations apportées aux fonctionnalités de visibilité, de surveillance et de détection. Les principales pratiques sont les suivantes :
Segmentation du réseau et périmètres définis par logiciel : Supposons la compromission et limitons le mouvement latéral avec le partitionnement du réseau et un accès dynamique basé sur le risque. Appliquez les privilèges minimum avec un accès limité et vérifiez explicitement avec les contrôles d’accès basés sur l’identité.
SASE et ZTNA : Utilisez des architectures SASE (Secure Access Service Edge) et ZTNA (Zero Trust Network Access) pour intégrer la sécurité et la mise en réseau. Alignez les principes de confiance zéro en accordant et en limitant l’accès en fonction du contexte, de l’identité et des contrôles d’accès conditionnel.
Chiffrement et communication : supposez une violation en protégeant les données en transit et en limitant les risques de falsification des données avec un chiffrement et une communication forts, modernes et des blocages de protocoles faibles.
Visibilité et détection des menaces : supposez une violation avec une visibilité et une surveillance continues, ainsi que la journalisation de l’activité réseau. Appliquez les privilèges minimum et vérifiez explicitement avec les contrôles d’accès et la détection des menaces pour rechercher et exposer des anomalies. Appliquez la confiance zéro en automatisant le déploiement, la gestion et l’allocation des ressources réseau et des contrôles à grande échelle. Sans automatisation, les retards, les incohérences et les lacunes peuvent rapidement survenir.
Contrôles pilotés par la stratégie : vérifiez explicitement et appliquez le privilège minimum avec des contrôles de stratégie d’accès conditionnel précis, centrés sur l’identité adaptative. Supposer une violation avec refuser par défaut, et réévaluer constamment les risques.
Sécurité réseau cloud et hybride : supposez une violation et une vérification explicites dans des environnements multiclouds et hybrides en isolant les charges de travail cloud en micro-périmètres protégés, et en utilisant des proxys prenant en charge les identités et les solutions CASB (Cloud Security Access Broker) pour les applications SaaS et PaaS. Appliquez des principes de confiance zéro avec des stratégies de sécurité unifiées dans le cloud et sur site, des mécanismes de connexion hybride sécurisés, une amélioration de la posture de sécurité cloud/hybride et une surveillance centralisée de la sécurité.
Instructions
Les organisations peuvent adopter un modèle similaire à l’aide des pratiques actionnables suivantes :
| Cas d’utilisation | Action recommandée | Resource |
|---|---|---|
| Micro-segmentation |
|
Vue d’ensemble des groupes de sécurité réseau Azure |
| Isoler les réseaux virtuels |
|
Isolation des réseaux virtuels - Réseaux virtuels Azure |
| Protection de périmètre pour les ressources PaaS |
|
Qu’est-ce qu’un périmètre de sécurité réseau |
| Sécuriser la connectivité aux machines virtuelles |
|
À propos d’Azure Bastion |
| Restreindre l’accès virtuel sortant |
|
Accès sortant par défaut dans Azure - Réseau virtuel Azure |
| Défense de périmètre en couches |
|
Vue d’ensemble d’Azure DDoS Protection |
| Gestion centralisée des stratégies |
|
Règles d’administration de sécurité dans Azure Virtual Network Manager |
Résultats
Avantages
- Résilience : limite le rayon d’explosion d’une intrusion.
- Scalabilité : l’isolation réseau standardisée prend en charge les environnements à l’échelle de l’entreprise.
- Visibilité : le balisage et la surveillance des services fournissent une attribution plus claire des flux de trafic.
- Alignement réglementaire : prend en charge la conformité avec les frameworks nécessitant une séparation stricte des ressources sensibles.
Trade-offs
- Surcharge opérationnelle : la conception et la maintenance de réseaux segmentés nécessitent une planification et des mises à jour continues.
- Complexité : une segmentation supplémentaire peut introduire des couches de gestion supplémentaires et nécessiter une automatisation pour la mise à l’échelle.
- Considérations relatives aux performances : certaines mesures d’isolation peuvent légèrement augmenter la latence.
Facteurs de réussite clés
Pour suivre la réussite, mesurez les éléments suivants :
- Nombre de charges de travail déployées dans des réseaux virtuels isolés sans exposition à Internet directe.
- Pourcentage de services régis par des règles d’administration de sécurité centralisées.
- Réduction des chemins de mouvement latéral identifiés lors des tests d’équipe rouge.
- Conformité avec les principes du moindre privilège à travers les environnements.
- Temps de détection et de correction de l’activité réseau anormale.
Résumé
L’isolation réseau est une stratégie fondamentale pour empêcher le mouvement latéral et protéger les charges de travail sensibles. En segmentant les ressources, en appliquant des périmètres et en appliquant des défenses en couches, les organisations réduisent leur surface d’attaque et mettent en place une résilience contre les adversaires modernes.
L’isolation des réseaux n’est plus facultative---it est un contrôle nécessaire pour protéger les environnements cloud et hybrides. L’objectif d’isolation réseau fournit une infrastructure claire pour réduire le mouvement latéral, s’aligner sur confiance zéro et protéger les environnements à l’échelle de l’entreprise.
En outre, toutes les activités réseau, d’identité et d’appareil doivent être surveillées en continu. Centraliser la journalisation et mettre en corrélation les alertes de sécurité à l’aide de solutions de détection et de réponse étendues (XDR) et d’outils SIEM pour détecter efficacement les anomalies et les menaces. Associez la détection avec l’analytique comportementale, l’inspection approfondie des paquets et la réponse automatisée aux menaces pour contenir rapidement des activités suspectes et prendre en charge une réponse efficace aux incidents.
Évaluez votre topologie réseau actuelle et implémentez des contrôles de segmentation et de périmètre pour s’aligner sur l’objectif d’isolation réseau.