Comment fonctionnent les produits de micro-segmentation, quelles sont leurs caractéristiques principales et en quoi différent-ils les uns des autres ?
La micro-segmentation promet de contrecarrer les attaques de réseaux en freinant leurs mouvements et en limitant l’accès aux ressources de l’entreprise. (Crédit Bethany Drouin/Pixabay)
La micro-segmentation suscite toujours plus d’intérêt. Les fournisseurs proposent de plus en plus aux entreprises de les aider à maintenir la sécurité de leur infrastructure afin de prévenir les intrusions et les vols de données aux conséquences potentiellement catastrophiques. Cette sélection de produits de trois acteurs du marché de la micro-segmentation permet de voir en quoi consiste ces offres, comment elles fonctionnent, et ce qui les différencie les unes des autres.
L’environnement zero-trust d’Edgewise Networks
Nom du produit : Edgewise Zero Trust Segmentation
Fonctions : Edgewise estime que les contrôles basés sur les adresses ne sont pas suffisants pour protéger les actifs des entreprises, en particulier dans les environnements cloud où les équipes de sécurité n’ont qu’un contrôle limité sur le réseau. L’entreprise affirme être le seul fournisseur à proposer une plateforme zero trust qui micro-segmente les données et les applications en s’appuyant sur une empreinte d’identité cryptographique et non sur des contrôles traditionnels basés sur l’adresse.
Caractéristiques principales : L’éditeur promet d’éliminer les canaux de communication inutiles et de réduire les surfaces d’attaque de plus de 90 %. Le produit crée automatiquement un set de politiques multiples qui permettent aux entreprises de mettre en place une sécurité zero trust. Les utilisateurs peuvent vérifier les politiques créées par l’apprentissage machine et simuler leurs effets avant de les appliquer. La solution ajoute une couche réseau supplémentaire et n’impose pas de modifier radicalement son architecture.
Particularités : Le fournisseur affirme que son produit traite la protection au plus près des données. Les politiques tiennent compte des exigences applicatives et peuvent être étendues à toutes les applications et services en permettant des adaptations à l’actif concerné, et non à l’ensemble du réseau. Le produit identifie automatiquement tous les logiciels communicants et propose des politiques zero trust pouvant être appliquées en un seul clic.
L’approche sans agent de VMware
Nom du produit : VMware NSX
Fonctions : La plate-forme de réseau et de sécurité VMware NSX permet d’assurer la micro-segmentation de l’infrastructure au niveau du datacenter dans son ensemble. Les adoptants peuvent empêcher les mouvements latéraux non autorisés en utilisant les capacités de micro-segmentation de VMware NSX pour définir et appliquer des politiques de sécurité réseau de manière cohérente sur n’importe quelle charge de travail hébergée n’importe où dans leur environnement. Les politiques de sécurité sont appliquées à chaque fois qu’une machine virtuelle se met en marche, et elles peuvent être déplacées lors de la migration d’une VM et supprimées lors de la déprogrammation d’une VM. NSX sécurise les communications au sein d’un réseau virtuel grâce à des politiques de sécurité flexibles qui reflètent la logique métier et les flux de travail de l’entreprise. En plus de l’usage des adresses IP, les politiques de NSX intègrent des marqueurs d’identité comme le nom de la machine virtuelle, le réseau virtuel et le système d’exploitation.
Caractéristiques principales : Cette approche sans agent prend en charge les politiques de sécurité de la couche Layer 7. Toute la gestion se fait dans un seul volet. Possibilité de verrouiller les applications critiques. Les utilisateurs peuvent créer une DMZ logique dans le logiciel. Les politiques de sécurité flexibles sont alignées sur le réseau virtuel, les machines virtuelles, le type d’OS et les balises de sécurité dynamiques afin d’offrir une sécurité granulaire jusqu’au contrôleur NIC virtuel.
Particularités : La micro-segmentation s’effectue au sein de la plate-forme intégrée de sécurité et de réseau. Le produit est basé sur une technologie sans agent.
Une priorité à l’automatisation chez ShieldX Networks
Nom du produit : ShieldX Elastic Security Platform
Fonctions : La plateforme de microservices de ShieldX combine une sécurité basée sur le réseau avec des technologies d’infrastructure et applicative. L’approche automatisée du produit garantit que les micro-services ne sont insérés qu’au moment et à l’endroit où ils sont nécessaires. Les micro-services sont insérés directement dans les infrastructures, ce qui permet d’automatiser les politiques de sécurité basées sur l’intention. Les fonctions de sécurité et la micro-segmentation peuvent être adaptées à la demande pour soutenir l’innovation des entreprises, répondre aux exigences de conformité et protéger les entreprises contre les dernières techniques de cyberattaque. Le produit s’assure également que, dans les environnements hybrides ou multi-cloud, aucune charge de travail n’est plus vulnérable que les autres.
Caractéristiques principales : Possibilité de créer des politiques à l’aide d’un algorithme d’apprentissage machine. Les micro-services peuvent être mis à niveau sans perturber le trafic réseau. Une carte de la configuration globale des menaces – Global Threat Configuration – permet de voir le nombre total de menaces, plus des informations détaillées. Une fonction d’exploration des événements permet aux utilisateurs de refuser des connexions et de mettre en place des politiques zero trust. Des cartes de visualisation permettent de lier les applications pour visualiser les vulnérabilités spécifiques et les protections suggérées.
Particularités : L’infrastructure automatisée avec des fonctionnalités et des applications de sécurité permet de garantir que les agents sont insérés au moment et à l’endroit où ils sont nécessaires. La mise à l’échelle de la micro-segmentation se fait à la demande.