Historiquement, l’accent a été mis sur la sécurité des réseaux sur le périmètre externe : les points d’accès extérieurs au réseau de l’entreprise qui sont directement exposés aux menaces entrantes provenant en grande partie du trafic Internet.
Cependant, aujourd’hui, avec la croissance des micro-réseaux distribués dans les bureaux et les usines, il existe de nouveaux arguments en faveur de mesures de sécurité internes supplémentaires aux limites des micro-réseaux qui existent au sein de l’infrastructure réseau mondiale de l’entreprise.
Dans ce monde de réseaux au sein des réseaux, comment empêcher une menace, ou même un accès utilisateur non autorisé, de pénétrer dans un micro-réseau spécifique qui existe au sein de votre infrastructure réseau de bout en bout ?
Pour faire face à ce problème, les entreprises ont adopté deux principales technologies de sécurité en périphérie du réseau pour les micro-réseaux. Ils sont réseaux zéro confiance et des routeurs et points d’accès avec sécurité intégrée.
Sécurité des réseaux et réseaux zéro confiance
Fin 2023, un Enquête Cisco a révélé que 86 % des organisations migrent vers des réseaux zéro confiance.
Pourquoi? Confiance zéro est une méthodologie qui, si elle est entièrement mise en œuvre, oblige les organisations à mettre en œuvre la sécurité sur sept points « piliers » différents :
Automatisation et orchestration
Pour parvenir à une mise en œuvre complète du modèle Zero Trust, plusieurs groupes informatiques, y compris le groupe réseau, doivent être impliqués.
À mesure que les entreprises se tournent vers l’automatisation industrielle, les sites de vente au détail distants, l’ingénierie à distance, etc., les systèmes et applications utilisés par chaque groupe d’entreprises peuvent devoir être isolés de l’accès des employés à l’échelle de l’entreprise afin que seuls les utilisateurs autorisés à utiliser un système ou une application spécifique. peut y accéder.
Du point de vue du réseau, des segments du réseau, qui deviennent des périphéries de micro-sécurité internes du réseau, entourent ces systèmes et applications à accès restreint, de sorte qu’ils ne sont disponibles que pour les utilisateurs et les appareils utilisateur autorisés à les utiliser. Des protocoles de sécurité multifactoriels sont utilisés pour renforcer les identifiants des utilisateurs, et des logiciels de surveillance et d’observabilité du réseau contrôlent toutes les activités au niveau de chaque micro-périphérie du réseau.
La mission d’un réseau zéro confiance est de « ne faire confiance à personne », pas même aux employés de l’entreprise, avec un accès illimité à tous les segments, systèmes et applications du réseau. Cela contraste avec les anciens systèmes de sécurité qui limitaient les contrôles de sécurité et la surveillance à la périphérie externe de l’ensemble du réseau d’entreprise, mais qui n’appliquaient pas de protocoles de sécurité aux micro-segments de ce réseau. La nécessité de restreindre l’accès au réseau aux systèmes et applications pour certains groupes d’utilisateurs est l’un des moteurs de adoption d’un réseau zéro confiance.
Améliorer la sécurité du réseau avec des routeurs et des points d’accès renforcés
Il y a 12 à 18 mois, l’un des principaux problèmes de sécurité pour les déploiements de réseaux de périphérie concernait les points d’accès non sécurisés et vulnérables sous la forme de capteurs et d’appareils IoT qui n’avaient aucune sécurité ou arrivaient à la porte avec un niveau de sécurité défini par défaut faible. Les sites ont réagi en vérifiant et, si nécessaire, en configurant manuellement chaque appareil entrant, et les fournisseurs ont répondu en renforçant les appareils.
Le résultat aujourd’hui est une nouvelle génération d’appareils de pointe dotés au minimum d’une sécurité intégrée qui empêche les attaques DNS et bloque les sites Web à risque. Ces appareils ont la capacité d’acheminer des données cryptées vers un serveur sécurisé VPN et, dans certains cas, les routeurs et les points d’accès eux-mêmes agissent comme VPN préconfiguréscryptant le trafic à mesure qu’il transite par les appareils. Les routeurs et les points d’accès sont tenus à jour grâce à des mises à jour automatiques du micrologiciel qui les maintiennent aux niveaux de sécurité WPA2/3 les plus élevés.
Ajustement de votre plan de sécurité réseau pour les déploiements Edge
Les réseaux Zero Trust et les points d’accès et routeurs sécurisés ne peuvent pas arriver à un meilleur moment, étant donné que de nombreuses entreprises segmentent leurs réseaux et installent des périmètres de micro-sécurité au sein de leur périmètre de sécurité externe à l’échelle de l’entreprise. Cependant, il est difficile de tirer le maximum de sécurité, de fonctionnalité et d’efficacité de ces technologies. une autre affaire – et cela nécessitera une révision des stratégies et des plans du réseau.
Quels sont les défis ?
Avec les réseaux Zero Trust, le défi réside principalement dans le fait que les réseaux sont Zero Trust (c’est-à-dire « ne font confiance à personne »). Les utilisateurs qui disposaient d’un accès au système plus flexible dans le passé, ou même les dirigeants de haut niveau qui s’attendent à avoir accès à n’importe quelle application ou système dans n’importe quel coin de l’entreprise, peuvent s’opposer aux nouvelles limites d’accès du Zero Trust qui pourraient les exclure. d’accéder à certains actifs et systèmes informatiques.
L’essentiel pour le groupe réseau, ou pour l’informatique en général, est que vous ne pouvez pas prendre de décisions d’accès utilisateur basées sur ce que vous pensez être le meilleur ensemble de protocoles et de contrôles de sécurité internes pour différents segments du réseau sans obtenir au préalable un consensus des utilisateurs. . Les utilisateurs doivent également comprendre les principes du zéro confiance et comprendre que le comportement et les habitudes d’utilisation des employés peuvent constituer une source principale de failles de sécurité.
Complexité accrue
Il existe également une complexité technique supplémentaire avec les dispositifs de sécurité de pointe nouvellement renforcés, qui peuvent obliger le personnel du réseau à modifier ses modes de fonctionnement.
Beaucoup de ces appareils sont livrés avec leur propre surveillance de sécurité, prévention, etc., il existe donc un chevauchement fonctionnel entre les différents appareils et points d’accès, ainsi qu’entre ces actifs et le pare-feu principal du réseau déjà opérationnel. . Quelle méthode de surveillance et de prévention de la sécurité choisirez-vous ?
Une décision naturelle est de conserver la fonctionnalité principale pour chaque fonctionnalité résidant sur votre pare-feu, mais que se passe-t-il si un routeur ou un point d’accès particulier possède une fonctionnalité fonctionnellement supérieure à celle que vous exécutez sur votre pare-feu ? Il existe des cas où le personnel du réseau mélange et fait correspondre les fonctions de sécurité et de surveillance afin d’obtenir les meilleures capacités possibles, mais dès que vous répartissez les tâches et les fonctions sur plusieurs technologies, vous vous retrouvez avec un paysage technique plus complexe à gérer.
Un dernier mot sur la sécurité des réseaux et le micro-périmètre
Les mini-réseaux, ou réseaux d’entreprise dotés de passerelles Zero Trust et d’une sécurité sur les segments de mini-réseaux, caractérisent de plus en plus l’architecture réseau à mesure que les entreprises se tournent vers l’informatique de pointe. Cela oblige le personnel du réseau à replanifier les méthodologies et les architectures pour un déploiement de réseau plus distribué.
Alors que cela se produit, les fournisseurs de réseaux et les pronostics continuent de réclamer une « architecture uber » de réseau unique et un ensemble d’outils capables de gérer toutes les facettes du réseau, mais au moins à court terme, certains sites choisissent de rechercher les meilleures caractéristiques et fonctionnalités où que ce soit. ils peuvent les trouver. Si cela nécessite de mélanger et de faire correspondre différentes technologies fournies par différents outils, ils le feront pour un avantage sécurisé. Dans le même temps, ils savent qu’ils complexifient la gestion des réseaux avec la multiplicité des outils et des méthodes qu’ils utilisent. Cette approche de gestion de réseau plus diversifiée doit être intégrée à la planification et à l’exécution du réseau.
Sikhuluwe Khashaneun praticien de la cybersécurité, l’a bien décrit lorsqu’il a déclaré : « La clé est de commencer avec une stratégie soigneusement conçue et d’avancer progressivement tout au long du parcours. » C’est là où nous en sommes aujourd’hui, c’est pourquoi une planification et une exécution minutieuses du réseau sont si importantes.
