SOFTWARE- DEFINED PROTECTION. Schéma de sécurité entreprise

Transcription

1 SOFTWARE- DEFINED PROTECTION Schéma de sécurité entreprise

2 Table des matières S Sommaire Niveau de mise en application 4 Niveau de contrôle Niveau d'administration 34 R Résumé 42 CP SDP Check Point Software-Defined Protection CP A À propos de Check Point 53 Annexe : Modèles de réseaux d'entreprise

3 S Sommaire Le monde des affaires repose aujourd'hui sur la libre circulation des informations. Les données des entreprises circulent dans le cloud et les appareils mobiles, et rayonnent à travers des idées et des messages dans les réseaux sociaux. BYOD, mobilité et cloud computing ont révolutionné les environnements informatiques statiques, entraînant la naissance de réseaux et d'infrastructures dynamiques. Mais si notre environnement informatique a changé rapidement, le paysage des menaces a changé encore plus vite. La sophistication et la vitesse de cette évolution sont exponentielles. Des attaques d'un type nouveau sont de plus en plus fréquentes, mêlant menaces connues et inconnues, profitant des failles «zero-day», et utilisant des logiciels malveillants cachés dans des documents, des sites web, des hôtes et des réseaux. Dans ce monde fait d'infrastructures informatiques et de réseaux exigeants, où les périmètres ne sont plus aussi bien définis et où les menaces deviennent chaque jour plus intelligentes, nous devons définir la meilleure façon de protéger les entreprises contre des menaces en constante évolution. Il existe une multitude de produits de protection, qui sont généralement de nature réactive et tactique, mais font abstraction de toute notion d'architecture. Les entreprises d'aujourd'hui ont besoin d'une architecture unique combinant des équipements de sécurité réseau haute performance avec des protections proactives en temps réel. Un nouveau paradigme est nécessaire pour protéger les entreprises de manière proactive. Check Point Software-Defined Protection (SDP) est une nouvelle architecture et méthodologie pragmatiques de sécurité. Elle propose une infrastructure modulaire, agile et surtout, SÉCURISÉE. Une telle architecture doit protéger les entreprises de toute taille en tout lieu : siège, succursales, smartphones ou appareils mobiles, ou lors de l'utilisation du cloud. Les protections doivent automatiquement s'adapter à la nature des menaces, sans obliger les administrateurs de sécurité à garder un œil sur des milliers de notifications et de recommandations. Ces protections doivent s'intégrer harmonieusement dans l'environnement informatique, et l'architecture doit fournir une posture défensive s'appuyant sur des sources d'intelligence collaboratives internes et externes. L'architecture SDP partitionne l'infrastructure de sécurité en trois niveaux interconnectés : Un niveau de mise en application qui repose sur des points d'exécution physiques et virtuels de la sécurité, segmente le réseau, et exécute la logique de protection dans des environnements exigeants. 002

4 SCHÉMA DE SÉCURITÉ ENTREPRISE SOMMAIRE S Un niveau de contrôle qui analyse les différentes sources d'information sur les menaces et génère des protections et des politiques de sécurité exécutées par le niveau de mise en application. Un niveau d'administration qui orchestre l'infrastructure et apporte le plus haut degré d'agilité à l'ensemble de l'architecture. Modularité Visibilité Automatisation Niveau d administration Renseignements sur les menaces Politique de sécurité Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle Protection Protection Point d exécution Point d exécution Point d exécution Point d exécution Niveau de mise en application En combinant le niveau de mise en application haute performance avec le niveau de contrôle logiciel hautement évolutif et dynamique, l'architecture SDP fournit non seulement une résilience fonctionnelle, mais fournit également une prévention proactive des incidents adaptée au paysage des menaces en constante évolution. De par sa nature proactive, l'architecture SDP prend en charge les exigences de la politique traditionnelle de sécurité réseau et de contrôle d'accès, ainsi que la prévention des menaces nécessaire aux entreprises modernes qui adoptent de nouvelles technologies telles que l'informatique mobile et les réseaux définis par logiciel (SDN). 003

5 Niveau de mise 01 en application La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution à la fois sur le réseau et les hôtes pour superviser les interactions entre les utilisateurs et les systèmes. Cette segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque et est donc le principe de base du niveau de mise en application. La segmentation de l'architecture SDP empêche les menaces de proliférer dans les réseaux, de sorte qu'une attaque visant un composant réseau unique ne puisse atteindre le reste de l'infrastructure de sécurité de l'entreprise. La segmentation est la pierre angulaire de la mise en application de la sécurité. Elle a pour objectif de : La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution Simplifier et modulariser la politique de sécurité sur différents segments du réseau Permettre la création de modèles d'architecture de sécurité pour les différents segments Appliquer des politiques de confinement aux hôtes compromis dans un segment Définir les interactions à l'intérieur d'un segment qui ne nécessitent pas de supervision 004

6 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Nécessité de la segmentation La sécurité des réseaux de première génération s'intéressait à la protection du périmètre, «une sorte de coque craquante autour d'un centre mou,» comme le décrivait Bill Cheswick en Le réseau interne était une «zone de confiance», au contraire de l'internet externe. Le rôle d'un pare-feu était d'autoriser les connexions sortantes (de la zone de confiance vers l'extérieur) et de bloquer les connexions entrantes. Les pare-feux de la génération suivante ont étendu ce rôle par l'ajout d'un système de prévention des intrusions (IPS) et de fonctions de prise en charge des utilisateurs et des applications, pour assurer un contrôle plus granulaire du trafic réseau entrant et sortant. Le cloisonnement est critique pour la survie d'une entreprise faisant l'objet d'une attaque La protection du périmètre n'est plus assez efficace aujourd'hui pour protéger les entreprises. Les systèmes d'information d'entreprise sont maintenant disséminés dans plusieurs sites physiques et environnements réseau, et fournissent des services non seulement aux utilisateurs internes mais également à des partenaires commerciaux, des clients et le grand public. Les actifs de l'entreprise reposent sur différents types de ressources informatiques, allant des ordinateurs centraux aux appareils mobiles des employés. Comme le périmètre continue de s'élargir sans frontière discernable, de nombreuses entreprises estiment que le modèle d'un réseau interne sécurisé n'est plus une valeur sûre. Des agresseurs motivés peuvent utiliser des méthodes d'accès physique, d'ingénierie sociale, et d'exploitation des vulnérabilités du matériel et des logiciels, pour percer les mécanismes de défense de l'entreprise. Des contrôles de sécurité internes sont nécessaires pour protéger les interactions au sein du réseau et améliorer la visibilité sur ces interactions. Le compartimentage est critique pour la survie d'une entreprise faisant l'objet d'une attaque. De même qu'un porte-avions utilise des compartiments étanches pour isoler les zones endommagées et rester à flot en cas d'attaque, les grandes entreprises devraient identifier les segments de leur réseau qui ont des caractéristiques de sécurité différentes, et établir des contrôles de sécurité nécessaires pour confiner les menaces et poursuivre leur activité. L'implémentation de points d'exécution entre les utilisateurs et les actifs critiques de l'entreprise apporte non seulement une meilleure visibilité sur les postes de travail compromis par des agresseurs externes, mais permet également de détecter et empêcher les accès non autorisés par des utilisateurs internes, appliquant ainsi la politique de sécurité de l'entreprise. 005

7 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Méthode de segmentation L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Un segment est défini comme étant un ensemble logique d'éléments informatiques et d'éléments réseau protégés par un point d'exécution. Un segment peut être aussi petit qu'une seule application fonctionnant sur un hôte, ou aussi grand que toute l'entreprise. Un segment atomique contient des éléments qui partagent les mêmes besoins en protection. Des points d'exécution sont introduits au périmètre de chaque segment pour appliquer la logique de protection définie. Les segments peuvent être regroupés pour modulariser la protection. Une fois le modèle de segmentation créé, il est intégré dans le schéma du réseau. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Description de la méthodologie de segmentation : Étape 1 Étape 2 Étape 3 Étape 4 Segments atomiques. Identifiez les éléments partageant les mêmes caractéristiques de sécurité.. Définissez des points d'exécution de la sécurité au périmètre des segments et supervisez tous les flux d'information entrants et sortants, pour n'autoriser que les accès contrôlés. Regroupement des segments. Regroupez les segments atomiques pour une protection modulaire. Itération. Poursuivez le regroupement des segments jusqu'à ce que tous les actifs de l'entreprise soient intégrés dans un périmètre de segment contrôlé. Consolidation de la mise en application. Consolidez les composants physiques et virtuels tels que les passerelles de sécurité réseau ou les logiciels sur hôte.. Utilisez la consolidation et la virtualisation pour atteindre une solution optimale. Canaux de confiance. Protégez les interactions et les flux de données entre les segments Étape 1 : Segments atomiques Un segment atomique est constitué d'un ensemble d'éléments informatiques et d'éléments réseau qui : (1) partagent un profil de sécurité commun, (2) ne peuvent être subdivisés en segments plus petits, (3) peuvent être protégés par des contrôles de sécurité supervisant toutes les interactions entre le segment et des entités externes. Exemples d'un segment atomique : un appareil sur lequel le logiciel de sécurité est installé, ou plusieurs ordinateurs sur un réseau partagé protégé par une passerelle de sécurité. Un segment atomique est un ensemble d'hôtes et d'éléments réseau qui partagent un profil de sécurité commun 006

8 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Définir les segments atomiques et identifier les entités qui partagent un profil de sécurité commun constituent la première étape de l'implémentation de l'architecture SDP. Un profil de sécurité est affecté à chaque segment en fonction de la valeur des actifs situés dans le segment et du niveau de confiance accordé aux utilisateurs du segment et aux contrôles de sécurité. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents. Leur gravité augmente également proportionnellement à l'écart de profil de sécurité entre les deux segments. Pour pallier à ces risques, de nombreuses entreprises utilisent un système de classification des données, des hôtes, des applications et des réseaux à l'échelle de l'entreprise, prenant en charge cette méthode de segmentation. Selon les objectifs métiers de l'entreprise, une des exigences de sécurité suivantes est choisie comme principe directeur pour la classification : confidentialité, intégrité ou disponibilité (CIA). Un exemple pourrait être : Public - des systèmes et des données auxquels le grand public est autorisé à accéder. Client - des systèmes et des données contenant des informations confidentielles, auxquels typiquement des clients authentifiés et un petit nombre d'utilisateurs internes sont autorisés à accéder. Interne - les employés y ont accès en tout lieu. Confidentiel - des systèmes et des données internes nécessitant des protections étendues. Départemental - réservé à certains utilisateurs en fonction de leur rôle. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents Ce type de classification facilite la définition des segments et de leur profil de sécurité. Le niveau et l'étendue de la segmentation nécessaire à chaque entreprise dépend de ses besoins métiers et des exigences de sécurité. Certaines entreprises appliquent des règles strictes de «moindre privilège» et de «séparation des privilèges», tandis que d'autres considèrent que tous les utilisateurs et les systèmes sont équivalents en termes de niveau d'accès et d'importance. CONSEIL Lors de la constitution des segments, vérifiez si les entités ont les mêmes autorisations, si elles prennent en charge les mêmes processus métiers, gèrent des actifs similaires et bénéficient du même niveau de protection. Si c'est le cas, ces entités peuvent être incluses dans un segment atomique unique. Si ce n'est pas entièrement le cas, ces entités devraient alors être segmentées séparément. 007

9 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Quelques exemples de séparation des entités en différents segments : Deux postes de travail sur le même réseau local accédant à des actifs de même classification :. Comme un des utilisateurs a peu d'intérêt d'attaquer l'autre poste de travail puisqu'ils ont tous deux accès aux mêmes actifs, les deux hôtes peuvent faire partie d'un même segment atomique.. D'autre part, les utilisateurs peuvent souhaiter accéder à des actifs pour lesquels ils n'ont pas d'autorisation. Ces utilisateurs et ces actifs devraient être modélisées dans des segments distincts. Un appareil mobile exposé à des menaces (vol, par exemple) qui ne sont pas applicables aux serveurs d'un datacenter :. Ces entités ont des exigences de sécurité différentes et ne devraient pas être placées dans un même segment atomique. Des unités métiers et des sites distincts :. Différentes entités devraient toujours être modélisées dans des segments distincts. Des serveurs accessibles à des utilisateurs situés à l'extérieur de l'entreprise :. Ces entités ont un profil de sécurité distinct des serveurs internes qui ne sont pas exposés à l'extérieur. Étape 2 : Regroupement des segments Une fois les segments atomiques identifiés, ils peuvent être regroupés en segments hiérarchiques (par exemple, les applications peuvent être regroupées dans le périmètre des hôtes, plusieurs hôtes dans un segment réseau, et plusieurs réseaux hiérarchiquement). Bien que chaque sous-segment gère sa propre protection, le regroupement apporte : Une modularité accrue grâce à l'abstraction et au masquage des données Une confiance accrue ou une protection plus complète au périmètre du segment supérieur que dans les sous-segments Un contrôle centralisé et la fourniture de services d'infrastructure de sécurité Le confinement des infections et la récupération Prenons l'exemple du site de la Figure 1-A. Cette entreprise est constituée de plusieurs sites connectés par un réseau MPLS. Chaque site, représenté dans une zone grisée, est composé d'un réseau d'accès hébergeant des segments d'utilisateurs internes (LAN) et de serveurs. Les serveurs internes et les serveurs confidentiels sont hébergés sur des segments séparés, isolés des utilisateurs par une passerelle ou un point d'exécution. Plusieurs segments départementaux fournissent des fonctionnalités de confinement à leurs utilisateurs finaux. Enfin, une zone démilitarisée (DMZ), dans son propre segment, fournit des services au public. Dans cet exemple, plusieurs segments serveurs et un segment utilisateur distinct permettent un contrôle précis de toutes les interactions entre segments. Ce contrôle applique les politiques de sécurité reposant sur la classification et permet le confinement des hôtes compromis. 008

10 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Tous les segments internes bénéficient de services de sécurité provenant d'un système centralisé et de l'infrastructure d'administration réseau dans les segments serveur. Les accès Internet et WAN sont contrôlés par des points d'exécution dédiés. Le point d'exécution Internet contrôle également les accès Internet vers et hors de la DMZ. Regroupement des segments Figure 1-A MPLS INTERNET Classification des segments Public Interne Confidentiel Point d'exécution Point d'exécution Départemental LAN DMZ SERVEURS INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER Dans un regroupement hiérarchique, les interactions peuvent traverser plusieurs points d'exécution. Par exemple, un serveur situé dans le segment «serveurs internes» qui se connecte à une ressource sur Internet (un service de mise à jour de contenus par exemple) pourrait être supervisé par les points d'exécution successifs suivants : 1. Le logiciel de sécurité installé sur les hôtes du segment «serveurs internes» 2. Le point d'exécution au périmètre du segment «serveurs internes» 3. Le point d'exécution situé au périmètre du datacenter 4. Le point d'exécution exposé à Internet Les interactions au niveau des proxies situés dans le segment de la DMZ pourraient traverser des contrôle supplémentaires, notamment les points d'exécution vers et hors du segment de la DMZ. En répétant le processus de regroupement des segments sur des portions du réseau consécutivement plus grandes, les entreprises peuvent assurer l'inclusion de tous les actifs dans un segment protégé. Les lignes de défense hiérarchiques établies selon le regroupement des segments compartimentent le réseau interne et fournissent une protection supérieure. 009

11 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étape 3 : Consolidation de la mise en application Du modèle à l'implémentation Une fois le modèle de segmentation créé, les points d'exécution définis doivent être implémentés sous forme de passerelles de sécurité ou de logiciel sur hôte. Des technologies de consolidation et de virtualisation, y compris les passerelles multiconnectées, la virtualisation des passerelles, les réseaux locaux virtuels (VLAN), SDN et la virtualisation réseau, peuvent être utilisées pour optimiser les performances, l'exploitabilité et le coût de possession. Le processus de modélisation de la segmentation (Figure 1-B) illustre un exemple de segmentation d'un réseau comprenant des postes de travail, des serveurs (CRM, R&D et comptabilité), un centre d'exploitation de la sécurité (SOC) et des serveurs frontaux dans un segment DMZ. Des profils de sécurité sont associés aux segments atomiques (voir la légende «Classification des segments» de la Figure 1-A). Des points d'exécution sont placés au périmètre de chaque segment. Les segments sont regroupés en fonction de leur profil de sécurité. Processus de segmentation Figure 1-B Serveurs web UTILISATEURS PC/PORTABLES Serveurs de CRM Serveurs de R&D Serveurs SOC Serveurs comptables Public Interne Interne Confidentiel Départemental Départemental 1. Segments atomiques DMZ UTILISATEURS LAN DATACENTER 2. Groupement des segments 010

12 PASSERELLE DE SÉCURITÉ SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Ce processus de modélisation du bas vers le haut fournit la souplesse et la modularité nécessaires afin de déterminer les points d'exécution requis pour tout type d'application. Les ingénieurs sécurité déterminent où commencer (par exemple, processus, hôte et réseau) et où s'arrêter. Les points d'exécution établissent ensuite les lignes de défense hiérarchiques qui assurent la protection des données et des systèmes hébergés dans les segments correspondants. Consolidation des passerelles Alors que le modèle de la Figure 1-A comprend huit points d'exécution différents au périmètre du segment réseau (à l'exclusion des points d'exécution sous forme de logiciels de sécurité sur hôte dans le segment du réseau local), l'implémentation réelle ne se traduit généralement pas par huit passerelles de sécurité. En fonction des contraintes de sécurité, de performance et de coût, plusieurs points d'exécution peuvent être consolidés en une seule passerelle de sécurité multiconnectée dans chaque site. La Figure 1-C présente une configuration simple comprenant une passerelle de sécurité unifiée utilisée pour contrôler toutes les interactions entre segments. Plusieurs points d'exécution modélisés peuvent être regroupés dans une seule passerelle de sécurité Une passerelle de sécurité unique consolide les points d'exécution de plusieurs segments Figure 1-C INTERNET MPLS SERVEURS INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN 011

13 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Virtualisation de la sécurité Alors que la consolidation des passerelles permet de réaliser des économies substantielles, la consolidation des points d'exécution peut présenter quelques inconvénients. En particulier, une politique de sécurité plus complexe peut se traduire par un risque supplémentaire d'erreurs de configuration. Par exemple, une règle mal configurée autorisant les accès entre deux segments internes pourrait permettre, par inadvertance, un accès Internet entrant. Comme alternative à la configuration monolithique illustrée à la Figure 1-C, une passerelle de sécurité virtuelle peut être préférable (Figure 1-D). Dans ce scénario, une seule appliance héberge plusieurs systèmes virtuels. Chaque système est logiquement équivalent à une passerelle de sécurité et peut être géré de manière distincte. La virtualisation de la sécurité simplifie sa gestion et réduit le coût de possession Virtualisation des contrôles de sécurité Figure 1-D V V V V V V INTERNET MPLS V SERVEURS PASSERELLE DE SÉCURITÉ VIRTUALISÉE INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS DMZ LAN La virtualisation de la sécurité simplifie l'administration. Chaque système virtuel correspond à un point d'exécution de segment de sécurité, et ses contrôles de sécurité peuvent être déployés et administrés de manière distincte. L'utilisation d'une plate-forme matérielle unifiée réduit également le coût total de possession. Virtualisation des serveurs (cloud) Dans un environnement de virtualisation des serveurs (voir l'annexe - Modèle : cloud) des passerelles de sécurité virtuelles peuvent être implémentées à l'aide de machines virtuelles (VM), comme illustré dans la Figure A-D. L'infrastructure dans le cloud fournit la technologie de virtualisation sous-jacente, et garantit que le trafic entre segments passe par les points d'exécution au niveau des VM en créant des VLAN et en les connectant via le point d'exécution. 012

14 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 La supervision du trafic entre les différentes machines virtuelles sur le même hôte physique peut être efficacement traitée par un point d'exécution situé dans une machine virtuelle sur l'hôte. La mise en application peut également être intégrée au niveau de l'hyperviseur lui-même, pour veiller à ce que tous les flux d'information soient supervisés, sans nécessiter la refonte du réseau virtuel pour positionner les machines virtuelles derrière le point d'exécution. Le point d'exécution au niveau de l'hyperviseur utilise l'api fournie par la plate-forme de virtualisation pour recevoir tout le trafic réseau vers et depuis les ordinateurs virtuels hébergés. Les environnements de virtualisation de serveur peuvent également intégrer des passerelles de sécurité virtualisée physiques (comme illustré dans la Figure 1-D) pour décharger le traitement de la sécurité du serveur virtualisé vers un équipement de sécurité personnalisé haute performance. Réseaux locaux virtuels (VLAN) Les VLAN sont un mécanisme clé utilisé pour segmenter les réseaux d'entreprise. Une passerelle de sécurité connectée à un commutateur peut analyser le trafic réseau et le transmettre à plusieurs VLAN. Cette configuration permet à une passerelle de sécurité unique de contrôler le trafic réseau entre des centaines de VLAN. Dans la Figure 1-E, le commutateur est configuré pour transmettre tous les paquets réseau provenant de VLAN02 et VLAN03 à la passerelle de sécurité, pour superviser le trafic entre segments via le point d'exécution virtualisé implémenté dans la passerelle. Utilisation de VLAN pour la segmentation du réseau Figure 1-E INTERNET RÉSEAU 04 VLAN04 VLAN05 VLAN02 VLAN03 RÉSEAU 02 RÉSEAU Le principal inconvénient de la segmentation d'architectures VLAN est la dépendance à des commutateurs pour appliquer la politique de séparation de segment, puisque ces commutateurs peuvent également être attaqués. Une mauvaise configuration peut permettre à des attaques de saut de VLAN de les contourner, et permettent ainsi à un hôte VLAN de passer à un autre. Par conséquent, des séparations virtuelles et réseau devraient être combinées pour fournir divers degrés de séparation de segment. 013

15 LAN DMZ Point d'exécution Point d'exécution 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Réseau défini par logiciel (SDN) Dans les infrastructures réseau traditionnelles, les réseaux et les fonctions de sécurité réseau, telles que routeurs, commutateurs, pare-feux et prévention d'intrusions, sont implémentés sous forme d'appliances physiques. Les flux sont déterminés par la topologie du réseau, et chaque équipement réseau individuel décide localement de la meilleure façon de transmettre des paquets à leur destination. Mais avec l'émergence des environnements de réseau et de serveurs virtualisés dans le cloud, la possibilité de déployer rapidement de nouvelles applications sans modifications complexes du réseau est devenue une exigence standard. SDN est une architecture réseau émergeante dans laquelle le contrôle du réseau est découplé de l'infrastructure du réseau. Niveau de mise en application SDN (réseau défini par logiciel) Figure 1-F Niveau de mise en application Point d'exécution Commutateur SDN Point d'exécution Commutateur SDN Commutateur SDN Commutateur SDN SERVEURS Commutateur SDN INTERNES DÉPARTEMENTAUX SERVEURS SERVEURS CONFIDENTIELS En intégrant le niveau de mise en application SDP dans l'infrastructure SDN, comme illustré ci-dessus dans la Figure 1-F, les commutateurs SDN ne sont que de simples points d'exécution dont le rôle consiste à décharger les flux et les sous-flux aux points d'exécution SDP appropriés. La Figure 1-G ci-dessous illustre l'intégration entre les architectures SDP et SDN. Le niveau d'administration SDP orchestre cette intégration à l'aide d'api SDN (1) et par la coordination des politiques de réseau et de sécurité entre les niveaux de contrôle SDP et SDN (2). Les flux sont alors programmés par le niveau de contrôle SDP/SDN pour transiter par les points d'exécution SDP centralisés physiques ou virtuels (3). Toutes les interactions entre segments sont ainsi constamment supervisées par les commutateurs SDN dont le rôle est de simplement décharger les flux et les sous-flux vers les points d'exécution appropriés. 014

16 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Intégration SDP/SDN Figure 1-G Modularité Visibilité 1 Automatisation Niveau d administration SDP Application métier Application métier Application métier Niveau applicatif SDN 2 2 Contrôleur SDN Contrôle des accès Protection des données Prévention des menaces Niveau de contrôle SDP 3 3 Point d exécution Point d exécution Point d exécution Niveau de mise en application Les commutateurs SDN pourraient être chargés de transmettre les interactions entre le segment du réseau local et les serveurs internes via un point d'exécution sur passerelle, tandis que les interactions avec la DMZ devraient être transmises via un autre point d'exécution implémentant un ensemble étendu de protections. Une fois identifié, le trafic de déni de service distribué pourrait être acheminé différemment du trafic légitime, permettant ainsi aux interactions autorisées de circuler librement. 015

17 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Déchargement du traitement de la sécurité dans le cloud Le traitement de la sécurité au niveau du réseau et des points d'exécution sur hôte peut être confié à des ressources dédiées dans des configurations de clouds privés et publics. Au lieu de prendre des décisions à partir d'informations disponibles localement, les points d'exécution peuvent interroger le cloud. Les points d'exécution dans le cloud deviennent alors une extension du niveau de mise en application SDP. Le déchargement dans le cloud offre les avantages suivants : Lorsque les décisions dépendent d'informations complexes toujours changeantes, telles que les indicateurs de menace, la diffusion de ces informations à tous les points d'exécution pertinents devient rapidement problématique. Le déchargement permet l'agrégation de ces données et leur utilisation dans le cloud. En recueillant et en analysant les journaux d'événements de sécurité de manière centralisée, un système de gestion des incidents de sécurité (SIEM) peut stocker de grandes quantité de données et effectuer une analyse de sécurité rétrospective. Il peut indiquer que des éléments sont potentiellement compromis et générer des références globales pour les interactions autorisées. Les références peuvent fournir des indications d'anomalies comportementales aux points d'exécution. Pour les systèmes de stockage et de retransmission tels que la messagerie, la latence supplémentaire entraînée par le téléchargement des données et des pièces jointes dans le cloud pour analyse n'est pas excessive. En fait, les pièces jointes peuvent être analysées dans des environnements de type bac à sable afin de déterminer si elles sont malveillantes, avant d'être transmises à l'hôte destinataire. Les utilisateurs mobiles se connectant via Internet à un portail dans le cloud peuvent bénéficier de services de sécurité situés géographiquement proche d'eux, pour un traitement de sécurité plus fiable et plus rapide que si leur trafic réseau était acheminé à travers des points d'exécution centralisés. Les contrôles de sécurité dans le cloud déplacent la problématique de sécurité du réseau d'entreprise vers le cloud. Les entreprises doivent obtenir des garanties et des capacités de surveillance suffisantes de la part du prestataire de cloud externe pour assurer la mise en place des contrôles de sécurité nécessaires. Des canaux de confiance devraient également être utilisés pour authentifier et protéger toutes les communications depuis et vers le cloud. Des profils de garantie de la disponibilité du réseau et du cloud devraient également être définis pour contrer d'éventuelles attaques DDoS. Un exemple de sécurisation du cloud est fourni en Annexe A - Modèle mobile. 016

18 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Étape 4 : Canaux de confiance Les points d'exécution au niveau des segments bloquent les interactions non autorisées entre les segments. Cependant, les interactions autorisées doivent également être protégées. Lorsque deux segments réseau possèdent des éléments co-localisés, une passerelle de sécurité peut être physiquement connectée aux deux segments pour filtrer les interactions entre segments. Lorsqu'elles sont physiquement séparées, ces interactions doivent être sécurisées pendant qu'elles transitent dans l'infrastructure réseau. Lorsque des interactions entre les segments sont établies par un segment hiérarchique dans un réseau de confiance, le segment hiérarchique est alors responsable de la sécurisation des données en transit. Toutefois, si la sécurité du réseau est faible, en regard des profils de sécurité des deux segments, des agresseurs pourraient accéder ou modifier les données circulant entre les deux segments. Par conséquent, un canal de confiance doit être établi entre les segments et devrait chiffrer les interactions entre segments. Un tel canal permettrait d'empêcher les accès non autorisés aux données qui y circulent, tout en détectant et en bloquant toute tentative de modification des données. L'exemple suivant illustre deux segments départementaux situés dans différents sites et interagissant dans un canal de confiance. Dans cet exemple, les utilisateurs internes peuvent directement accéder aux serveurs internes. Un canal de confiance devrait être établi entre les segments pour sécuriser les interactions sur des réseaux de faible sécurité Canal de confiance chiffré entre deux segments Figure 1-H CANAL DE CONFIANCE Point d'exécution INTERNET MPLS SERVEURS SERVEURS Point d'exécution DÉPARTEMENTAUX CONFIDENTIELS DATACENTER DMZ LAN SERVEUR INTERNES SERVEURS SERVEURS DÉPARTEMENTAUX CONFIDENTIELS DATACENTER 017

19 LAN INTERNET 01 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION Étude de cas Stuxnet Comment la segmentation peut empêcher les vers informatiques de se propager En juin 2010, un nouveau ver réseau ciblant les systèmes de contrôle industriel SCADA de Siemens utilisés dans le programme nucléaire iranien a été découvert. Selon des sources publiques, le ver a endommagé des machines d'enrichissement d'uranium, entraînant de sérieuses conséquences pour les objectifs du programme. Cette étude de cas analyse les caractéristiques du ver et démontre un lien direct entre son efficacité et une segmentation inefficace. Communément appelé «Stuxnet», le ver était une menace mixte qui : (1) a infecté des postes de travail sous Windows à partir de lecteurs USB, (2) s'est propagée dans le réseau et des supports amovibles, (3) a permis à l'hôte infecté de se connecter à un serveur de commande et de contrôle pour recevoir d'autres commandes et extraire des informations, et (4) a identifié les hôtes exécutant le logiciel de contrôle SCADA et a reprogrammé leurs automates industriels pour endommager les centrifugeuses utilisées pour l'enrichissement d'uranium. Stuxnet Figure 1-I Qom Arak Teheran Natanz P2P WAN Isfahan Bushar Iran INTERNES DATACENTER 4 OPÉRATEUR SERVEURS PCS PLC 2 3 SERVEURS DE COMMANDE ET DE CONTRÔLE 1 Stuxnet a utilisé plusieurs techniques pour se dissimuler et compliquer son éradication. Le ver est resté caché pendant des années et s'est propagé via des vulnérabilités connues et inconnues. Initialement injecté dans un poste de travail interne de confiance, il s'est propagé latéralement en infectant plus de ordinateurs en Iran, et a endommagé près de centrifugeuses de la centrale nucléaire de Natanz. Des mois d'efforts intensifs ont été nécessaires pour rétablir la situation en raison de la réinfection agressive du ver. 018

20 SCHÉMA DE SÉCURITÉ ENTREPRISE NIVEAU DE MISE EN APPLICATION 01 Les protections de périmètre de segment suivantes auraient pu stopper l'attaque : Contrôle d'accès 1. Une protection au périmètre du segment atomique aurait dû empêcher le logiciel malveillant de pénétrer dans l'hôte via l'interface USB. Des contrôles de périmètre de segment sur les postes et le réseau local auraient pu empêcher l'établissement de connexions directes entre les hôtes infectés. Une fois détectés, les hôtes infectés auraient pu être confinés, pour limiter leurs connexions réseau sortantes vers les services réseau autorisés uniquement. 2. En tant que composants critiques, Les PC opérateur n'auraient pas dû être accessibles sur le réseau. Un pare-feu de périmètre de segment aurait pu empêcher l'accès à ces ordinateurs. Prévention des menaces 3. La prévention d'intrusions dans les segments LAN et au périmètre du WAN auraient pu détecter les hôtes infectés et empêcher les logiciels malveillants de se propager à d'autres segments via des vulnérabilités connues. Une fois le ver détecté et analysé, la prévention d'intrusions aurait pu diffuser dynamiquement des signatures personnalisées pour bloquer entièrement le ver et empêcher l'exploitation de vulnérabilités jusqu'alors inconnues. 4. Les accès sortants du réseau local vers les serveurs de commande et de contrôle sur Internet aurait pu être détectés et bloqués au périmètre du site et de l'organisation. Le fait que le ver Stuxnet ait réussi à infecter de nombreuses cibles démontre la faiblesse des mécanismes de contrôle entre les entités ayant des caractéristiques de sécurité différentes, y compris les PC opérateur ayant accès aux automates de contrôle. Résumé du niveau de mise en application Le niveau de mise en application de l'architecture SDP se compose de points de contrôle qui agissent comme des platesformes d'exécution des protections définies par logiciel. Les points d'exécution peuvent être implémentés sous forme de passerelles de sécurité réseau, de logiciel sur hôte, d'applications sur appareils mobiles ou de machines virtuelles dans le cloud. Le principe de base du niveau de mise en application est la segmentation. La segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque, car elle empêche les menaces de proliférer dans le réseau. L'implémentation de la segmentation commence par la définition des segments «atomiques» du réseau. Des points d'exécution sont introduits au niveau du périmètre de chaque segment atomique pour appliquer une logique de protection définie. Les segments atomiques peuvent être regroupés pour modulariser la protection. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Cette méthode de segmentation facilite la consolidation des passerelles et peut être appliquée à de nombreuses configurations d'infrastructure réseau, aussi bien traditionnelles et physiques que modernes et dynamiques utilisant la virtualisation de la sécurité et du réseau, les réseaux locaux virtuels et les infrastructures SDN. Le niveau de mise en application SDP repose sur cette approche de la segmentation pour constituer une défense efficace contre les infections résultant des menaces persistantes avancées (APT) les plus complexes. 019