Qu’est-ce que la segmentation réseau ?
La segmentation du réseau consiste à diviser un grand réseau en plusieurs petits réseaux logiques ou segments. Les réseaux sont segmentés pour quelques raisons, mais cela se produit principalement pour améliorer la sécurité du réseau et/ou pour améliorer l’expérience utilisateur.
Comment le VLAN et le VXLAN sont-ils utilisés ?
La segmentation du réseau est réalisée par l’un des deux moyens principaux, mais chacun est très similaire. Les réseaux locaux virtuels (VLAN) sont la principale méthode de segmentation des réseaux depuis des décennies et ne devraient pas être un nouveau concept. Les VLAN ont une barrière inhérente qui s’est avérée être une limitation à mesure que la technologie s’est développée, c’est-à-dire qu’ils sont limités à seulement 4 094 réseaux par domaine administratif. Pour surmonter cette limitation, un réseau local extensible virtuel (VXLAN) a été créé pour étendre ce nombre à 16 millions de réseaux par domaine administratif. Les sous-réseaux, une autre méthode de segmentation du réseau, utilisent des adresses IP pour partitionner un réseau en sous-réseaux plus petits, connectés par des périphériques réseau. Cette approche permet non seulement des performances réseau plus efficaces, mais permet également de contenir les menaces de propagation au-delà d’un VLAN ou d’un sous-réseau particulier.
Améliorer la sécurité en surveillant le trafic est-ouest
En plus de l’expansion des réseaux disponibles, la segmentation du réseau présente des avantages supplémentaires. Le premier est d’améliorer la sécurité informatique. En segmentant le réseau, tout logiciel malveillant ou violation dans un segment du réseau peut être contenu dans ce segment de réseau plus petit, ce qui rend plus difficile la propagation sur l’ensemble du réseau.
Améliorer les performances en réduisant les charges de travail de couche 2
Ensuite, la segmentation du réseau peut améliorer l’expérience utilisateur. Vous pouvez utiliser la segmentation pour offrir une expérience plus personnelle aux utilisateurs finaux. La segmentation du réseau peut également garantir les performances (bande passante) d’un ou de plusieurs groupes de périphériques en éliminant ou en réduisant la congestion et les interférences du réseau. Placer les utilisateurs invités sur un segment de réseau distinct du segment de réseau d’entreprise qui prend en charge le trafic de données critiques pour l’entreprise peut également générer des avantages de performance, car les appareils engagés dans des activités critiques pour l’entreprise ne sont plus en concurrence avec les visiteurs accédant à des applications telles que la vidéo en streaming.
Segmentation du réseau se terminant au niveau du pare-feu pour améliorer la cybersécurité
Lorsque vous divisez le réseau en segments, les menaces qui s’infiltrent sur le réseau ne peuvent pas se déplacer latéralement entre les segments du réseau pour se propager facilement à d’autres appareils. Ces segments plus petits permettent également de déterminer plus facilement d'où proviennent les menaces, car elles sont isolées sur un réseau plus petit plutôt que sur un réseau unique de grande taille. En ce qui concerne les avantages de la sécurité informatique, le fait de séquestrer certains appareils et utilisateurs peut également faciliter la mise en conformité réglementaire. Les appareils appartenant à l’informatique et gérés par celle-ci sont généralement à faible risque par rapport aux appareils BYOD invités et même internes. Il est donc logique de pouvoir les placer dans leurs propres segments plus petits.
Avec la segmentation du réseau en place, si l’un de ces dispositifs à haut risque est compromis, la menace ne peut pas se propager à des ressources informatiques plus critiques sur d’autres segments du réseau. Lorsque ce trafic segmenté tente de traverser le pare-feu, il peut être bloqué et signalé, ce qui déclenche plus tôt l'alerte en cas de compromission.
Vous pouvez également décider que certains appareils IoT sont plus exposés que d’autres appareils sur le réseau et les placer dans un segment de réseau distinct. Vous pouvez même placer chaque type d’appareil IoT sur son propre réseau, séparé des autres appareils et des autres ressources réseau que vous souhaitez protéger. Bien qu’il soit mauvais d’avoir un appareil sur votre réseau compromis, la segmentation du réseau vous permet de séquestrer ces appareils auprès d’autres personnes pour empêcher la propagation de la menace. Il y a suffisamment d’histoires sur les botnets IoT sur Internet que la segmentation du réseau pour soutenir l’IoT mérite d’être prise en compte.
Segmentation du réseau pour améliorer l’expérience utilisateur
Les cas d’utilisation de la sécurité informatique s’appliquent à une grande variété de secteurs, tandis que les cas d’utilisation de l’expérience utilisateur ont tendance à être plus spécifiques au secteur. La segmentation du réseau est très logique dans le secteur des unités multi-habitations (MDU). Un MDU est un environnement caractérisé par une vie multi-ménages, comme des complexes d’appartements, des communautés de personnes âgées, des parcs de véhicules de loisirs, etc. Les dortoirs dans l’enseignement supérieur s’intègrent également dans cet environnement.
Ces types de propriétés ont de plus en plus de réseaux gérés de niveau entreprise plutôt que l’approche traditionnelle où chaque résident s’inscrit séparément auprès d’un fournisseur d’accès à Internet. Cela offre l’avantage d’un réseau de niveau entreprise dans un environnement qui ressemble normalement à un quartier de banlieue où les résidents perdent la connectivité lorsqu’ils sont hors de portée de leur unité. Une fois qu’un réseau de type entreprise est en place, les administrateurs réseau peuvent offrir ces avantages supplémentaires grâce à une infrastructure unifiée.
Micro-segmentation pour améliorer la confidentialité et la sécurité des utilisateurs
Les équipes informatiques et les fournisseurs de services gérés peuvent utiliser cette infrastructure unifiée pour fournir des réseaux personnalisés aux résidents. Chaque unité d’une propriété MDU dispose de son propre réseau personnel (VLAN/VXLAN) où les résidents ne voient que leurs propres appareils et non ceux appartenant à des voisins. Cette isolation améliore l’utilisation des ressources sur le fil, car le nombre de dispositifs qui répondent aux trames de diffusion est désormais limité à une seule unité, et non à l’ensemble de la propriété. Cette fonctionnalité préserve également la confidentialité des résidents, car leurs appareils et leur trafic sont isolés de leurs voisins, et ils ne peuvent pas non plus voir les appareils et le trafic de leurs voisins.
Mieux encore, leur SSID les suit lorsqu’ils visitent tous les équipements de l’établissement avec un réseau personnalisé sans fil de bout en bout dans l’ensemble de l’établissement. C’est une excellente expérience utilisateur pour les résidents et elle peut aider à attirer et fidéliser les résidents dans un établissement. Pour l’enseignement supérieur, les réseaux personnels sont un excellent moyen de répondre aux attentes élevées des étudiants concernant le Wi-Fi, un réseau de type « à domicile », mais dans un cadre dortoir.
Comment procéder à la segmentation du réseau avec RUCKUS
RUCKUS® Networks dispose de tout ce dont vous avez besoin pour permettre la segmentation du réseau en prenant en charge toutes les normes industrielles IEEE. RUCKUS utilise les VLAN et les VXLAN pour permettre la segmentation du réseau où il y a jusqu’à 4 094 VLAN et 16 millions de VXLAN sur le réseau. Comme nous l’avons vu précédemment, cette limitation n’est pas spécifique à RUCKUS, mais fait plutôt partie de la norme IEEE 802.1Q. La capacité des réseaux VXLAN à évoluer jusqu’à 16 millions de « réseaux » sur un seul domaine administratif ajoute également un avantage supplémentaire : ils peuvent couvrir plusieurs segments de réseau physique et zones géographiques. Cela est fait par conception, car les VXLAN existent sous la forme d’une superposition de couche 3 au-dessus de la partie de couche 2 du réseau.
Le cœur du moteur de segmentation réseau avec RUCKUS est Cloudpath® Enrollment System, notre service cloud (également disponible en tant que logiciel sur site) pour une intégration et un accès sécurisés au réseau. L'avantage du système Cloudpath est que vous pouvez l'utiliser sans points d'accès RUCKUS®, contrôleurs SmartZone ou commutateurs ICX®, mais la pleine puissance de la technologie Cloudpath n'est obtenue que lorsqu'elle est associée au contrôleur convergent RUCKUS, aux points d'accès RUCKUS et aux commutateurs ICX®.
Avec un réseau RUCKUS complet, les administrateurs peuvent tirer parti des VLAN ou des VXLAN pour réaliser la segmentation du réseau en fonction de vos besoins et de vos capacités. Lorsque vous utilisez Cloudpath pour la segmentation du réseau, vous avez également la possibilité d’associer une identité d’utilisateur à chaque périphérique.
Où en savoir plus
Pour en savoir plus sur la segmentation du réseau, consultez la page de la solution RUCKUS sur le sujet, où vous trouverez des vidéos, un résumé de la solution, et plus encore. Vous pouvez même accéder à notre étude de cas récente avec AVE Union, une propriété MDU qui utilise des VLAN pour fournir des réseaux personnels aux résidents. La segmentation du réseau offre de nombreux avantages aux entreprises. N’hésitez pas à contacter votre partenaire RUCKUS si vous souhaitez mettre en œuvre cette technologie dans votre environnement.
Quels sont les 3 principaux avantages de la ségrégation du réseau (microsegmentation) ?
Les trois principaux objectifs de la segmentation du réseau sont les suivants :
- Sécurité renforcée: La segmentation du réseau réduit la surface d’attaque en divisant un réseau plat en plusieurs sous-réseaux ou segments. Cette séparation limite le mouvement latéral des attaquants au sein du réseau. Si un attaquant perturbe le réseau, il n’aurait accès qu’à une partie limitée du réseau, et non à l’ensemble du système. C’est là que la micro-segmentation entre en jeu, offrant un niveau de sécurité plus granulaire en appliquant des politiques de sécurité au niveau de la charge de travail. Il s’agit d’un élément clé d’une stratégie de « moindre privilège », où chaque segment n’a que l’accès dont il a besoin et plus rien. Cette approche est particulièrement importante pour protéger les données sensibles, telles que les informations de carte de crédit, conformément à des normes telles que la norme PCI DSS (Payment Card Industry Data Security Standard).
- Performances améliorées : La segmentation du réseau peut améliorer les performances du réseau. En séparant le trafic réseau, vous pouvez vous assurer que les services critiques obtiennent la bande passante dont ils ont besoin. Cela est particulièrement utile dans un environnement de datacenter où différents types de trafic, tels que le trafic est-ouest (le trafic circulant entre les serveurs d'un datacenter), doivent être gérés efficacement. La segmentation peut également aider à réduire la congestion en limitant le flux de trafic inutile entre les segments.
- Contrôle et surveillance accrus : La segmentation du réseau offre une meilleure visibilité et un meilleur contrôle sur votre réseau. En divisant le réseau en parties plus petites, il est plus facile de surveiller le trafic, d’identifier les anomalies et de repérer les violations potentielles. Il permet également un contrôle d’accès plus précis, avec différents niveaux de confiance pour différents segments. Par exemple, les endpoints contenant des données sensibles peuvent être isolés de ceux présentant un risque plus élevé de compromission. Des technologies telles que la mise en réseau définie par logiciel (SDN) et la virtualisation peuvent rendre ce processus plus gérable et flexible.
Conclusion
N’oubliez pas que même si la segmentation du réseau peut améliorer considérablement votre posture de cybersécurité, ce n’est pas une solution miracle. La segmentation du réseau doit faire partie d’une stratégie de défense multicouche qui comprend des pare-feux, des mécanismes d’authentification et des politiques de sécurité robustes.
© 2023 CommScope, Inc. Tous droits réservés. CommScope et le logo CommScope sont des marques déposées de CommScope ou de ses filiales aux États-Unis et dans d’autres pays. Pour plus d’informations sur les marques commerciales, voir https://www.commscope.com/trademarks. Tous les noms de produits, marques commerciales et marques déposées sont la propriété de leurs propriétaires respectifs.
