SOFTWAREDEFINED PROTECTION Schéma de sécurité entreprise
Table des matières
S 01 02 03
Sommaire 2
Niveau de mise en application 4
Niveau de contrôle 20
Niveau d'administration 34
Résumé
R CPP SD
CP A
42
Check Point Software-Defined Protection
À propos de Check Point 53
Annexe : Modèles de réseaux d'entreprise 54
001
S
Sommaire
Le monde des affaires repose aujourd'hui sur la libre circulation des informations. Les données des entreprises circulent dans le cloud et les appareils mobiles, et rayonnent à travers des idées et des messages dans les réseaux sociaux. BYOD, mobilité et cloud computing ont révolutionné les environnements informatiques statiques, entraînant la naissance de réseaux et d'infrastructures dynamiques. Mais si notre environnement informatique a changé rapidement, le paysage des menaces a changé encore plus vite. La sophistication et la vitesse de cette évolution sont exponentielles. Des attaques d'un type nouveau sont de plus en plus fréquentes, mêlant menaces connues et inconnues, profitant des failles « zero-day », et utilisant des logiciels malveillants cachés dans des documents, des sites web, des hôtes et des réseaux. Dans ce monde fait d'infrastructures informatiques et de réseaux exigeants, où les périmètres ne sont plus aussi bien définis et où les menaces deviennent chaque jour plus intelligentes, nous devons définir la meilleure façon de protéger les entreprises contre des menaces en constante évolution. Il existe une multitude de produits de protection, qui sont généralement de nature réactive et tactique, mais font abstraction de toute notion d'architecture. Les entreprises d'aujourd'hui ont besoin d'une architecture unique combinant des équipements de sécurité réseau haute performance avec des protections proactives en temps réel. Un nouveau paradigme est nécessaire pour protéger les entreprises de manière proactive. Check Point Software-Defined Protection (SDP) est une nouvelle architecture et méthodologie pragmatiques de sécurité. Elle propose une infrastructure modulaire, agile et surtout, SÉCURISÉE. Une telle architecture doit protéger les entreprises de toute taille en tout lieu : siège, succursales, smartphones ou appareils mobiles, ou lors de l'utilisation du cloud. Les protections doivent automatiquement s'adapter à la nature des menaces, sans obliger les administrateurs de sécurité à garder un œil sur des milliers de notifications et de recommandations. Ces protections doivent s'intégrer harmonieusement dans l'environnement informatique, et l'architecture doit fournir une posture défensive s'appuyant sur des sources d'intelligence collaboratives internes et externes. L'architecture SDP partitionne l'infrastructure de sécurité en trois niveaux interconnectés : Un niveau de mise en application qui repose sur des points d'exécution physiques et virtuels de la sécurité, segmente le réseau, et exécute la logique de protection dans des environnements exigeants.
002
SCHÉMA DE SÉCURITÉ ENTREPRISE
S
SOMMAIRE
ti a
n
tr
o ti
e
is
a
u
d
A
’a
u
d
to
m
m
a
in
ti
V
is
sa
ib
M
ili
o
té
d
u
o
la
n
ri
té
Un niveau de contrôle qui analyse les différentes sources d'information sur les menaces et génère des protections et des politiques de sécurité exécutées par le niveau de mise en application. Un niveau d'administration qui orchestre l'infrastructure et apporte le plus haut degré d'agilité à l'ensemble de l'architecture.
d Pré e v c s e o m n n e tio n n tr a c ô e le s
N
iv
nts me s e n g ce sei ena n e R les m sur
P ro te c
ti o n
u
d
e
C d o e n s tr a ôl c e c è s P d ro e te N s do cti n o iv e née n s a
ue tiq rité i l Po écu s de
n o ti a c li
p n e
n
d u e
a
n
N
iv
d’e Poin xé t cu tio
n
e
d’e Poin xé t cu tio
n
a
d’e Poin xé t cu tio
p
n
e
tio
d’e Poin xé t cu tio
is
tec
m
Pro
En combinant le niveau de mise en application haute performance avec le niveau de contrôle logiciel hautement évolutif et dynamique, l'architecture SDP fournit non seulement une résilience fonctionnelle, mais fournit également une prévention proactive des incidents adaptée au paysage des menaces en constante évolution. De par sa nature proactive, l'architecture SDP prend en charge les exigences de la politique traditionnelle de sécurité réseau et de contrôle d'accès, ainsi que la prévention des menaces nécessaire aux entreprises modernes qui adoptent de nouvelles technologies telles que l'informatique mobile et les réseaux définis par logiciel (SDN). 003
1 0
Niveau de mise en application
La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution à la fois sur le réseau et les hôtes pour superviser les interactions entre les utilisateurs et les systèmes. Cette segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque et est donc le principe de base du niveau de mise en application. La segmentation de l'architecture SDP empêche les menaces de proliférer dans les réseaux, de sorte qu'une attaque visant un composant réseau unique ne puisse atteindre le reste de l'infrastructure de sécurité de l'entreprise. La segmentation est la pierre angulaire de la mise en application de la sécurité. Elle a pour objectif de : Simplifier et modulariser la politique de sécurité sur différents segments du réseau Permettre la création de modèles d'architecture de sécurité pour les différents segments Appliquer des politiques de confinement aux hôtes compromis dans un segment Définir les interactions à l'intérieur d'un segment qui ne nécessitent pas de supervision
004
La première étape de la sécurisation de l'entreprise consiste à déterminer les emplacements des points d'exécution
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Nécessité de la segmentation La sécurité des réseaux de première génération s'intéressait à la protection du périmètre, « une sorte de coque craquante autour d'un centre mou, » comme le décrivait Bill Cheswick en 1990. Le réseau interne était une « zone de confiance », au contraire de l'Internet externe. Le rôle d'un pare-feu était d'autoriser les connexions sortantes (de la zone de confiance vers l'extérieur) et de bloquer les connexions entrantes. Les pare-feux de la génération suivante ont étendu ce rôle par l'ajout d'un système de prévention des intrusions (IPS) et de fonctions de prise en charge des utilisateurs et des applications, pour assurer un contrôle plus granulaire du trafic réseau entrant et sortant.
Le cloisonnement est critique pour la survie d'une entreprise faisant l'objet d'une attaque
La protection du périmètre n'est plus assez efficace aujourd'hui pour protéger les entreprises. Les systèmes d'information d'entreprise sont maintenant disséminés dans plusieurs sites physiques et environnements réseau, et fournissent des services non seulement aux utilisateurs internes mais également à des partenaires commerciaux, des clients et le grand public. Les actifs de l'entreprise reposent sur différents types de ressources informatiques, allant des ordinateurs centraux aux appareils mobiles des employés. Comme le périmètre continue de s'élargir sans frontière discernable, de nombreuses entreprises estiment que le modèle d'un réseau interne sécurisé n'est plus une valeur sûre. Des agresseurs motivés peuvent utiliser des méthodes d'accès physique, d'ingénierie sociale, et d'exploitation des vulnérabilités du matériel et des logiciels, pour percer les mécanismes de défense de l'entreprise. Des contrôles de sécurité internes sont nécessaires pour protéger les interactions au sein du réseau et améliorer la visibilité sur ces interactions. Le compartimentage est critique pour la survie d'une entreprise faisant l'objet d'une attaque. De même qu'un porte-avions utilise des compartiments étanches pour isoler les zones endommagées et rester à flot en cas d'attaque, les grandes entreprises devraient identifier les segments de leur réseau qui ont des caractéristiques de sécurité différentes, et établir des contrôles de sécurité nécessaires pour confiner les menaces et poursuivre leur activité. L'implémentation de points d'exécution entre les utilisateurs et les actifs critiques de l'entreprise apporte non seulement une meilleure visibilité sur les postes de travail compromis par des agresseurs externes, mais permet également de détecter et empêcher les accès non autorisés par des utilisateurs internes, appliquant ainsi la politique de sécurité de l'entreprise.
005
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Méthode de segmentation L'implémentation de la segmentation commence par la définition des segments « atomiques » du réseau. Un segment est défini comme étant un ensemble logique d'éléments informatiques et d'éléments réseau protégés par un point d'exécution. Un segment peut être aussi petit qu'une seule application fonctionnant sur un hôte, ou aussi grand que toute l'entreprise. Un segment atomique contient des éléments qui partagent les mêmes besoins en protection. Des points d'exécution sont introduits au périmètre de chaque segment pour appliquer la logique de protection définie. Les segments peuvent être regroupés pour modulariser la protection. Une fois le modèle de segmentation créé, il est intégré dans le schéma du réseau. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Description de la méthodologie de segmentation :
1 pe a t É
2 pe Éta
Segments atomiques
. .
Identifiez les éléments partageant les mêmes caractéristiques de sécurité. Définissez des points d'exécution de la sécurité au périmètre des segments et supervisez tous les flux d'information entrants et sortants, pour n'autoriser que les accès contrôlés.
Regroupement des segments
.
Regroupez les segments atomiques pour une protection modulaire.
Itération
. 3 pe a t É
Consolidation de la mise en application
. .
4 pe Éta
Poursuivez le regroupement des segments jusqu'à ce que tous les actifs de l'entreprise soient intégrés dans un périmètre de segment contrôlé.
Consolidez les composants physiques et virtuels tels que les passerelles de sécurité réseau ou les logiciels sur hôte. Utilisez la consolidation et la virtualisation pour atteindre une solution optimale.
Canaux de confiance
.
Protégez les interactions et les flux de données entre les segments
Étape 1 : Segments atomiques Un segment atomique est constitué d'un ensemble d'éléments informatiques et d'éléments réseau qui : (1) partagent un profil de sécurité commun, (2) ne peuvent être subdivisés en segments plus petits, (3) peuvent être protégés par des contrôles de sécurité supervisant toutes les interactions entre le segment et des entités externes. Exemples d'un segment atomique : un appareil sur lequel le logiciel de sécurité est installé, ou plusieurs ordinateurs sur un réseau partagé protégé par une passerelle de sécurité.
006
Un segment atomique est un ensemble d'hôtes et d'éléments réseau qui partagent un profil de sécurité commun
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Définir les segments atomiques et identifier les entités qui partagent un profil de sécurité commun constituent la première étape de l'implémentation de l'architecture SDP. Un profil de sécurité est affecté à chaque segment en fonction de la valeur des actifs situés dans le segment et du niveau de confiance accordé aux utilisateurs du segment et aux contrôles de sécurité. Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents. Leur gravité augmente également proportionnellement à l'écart de profil de sécurité entre les deux segments. Pour pallier à ces risques, de nombreuses entreprises utilisent un système de classification des données, des hôtes, des applications et des réseaux à l'échelle de l'entreprise, prenant en charge cette méthode de segmentation. Selon les objectifs métiers de l'entreprise, une des exigences de sécurité suivantes est choisie comme principe directeur pour la classification : confidentialité, intégrité ou disponibilité (CIA). Un exemple pourrait être : Public - des systèmes et des données auxquels le grand public est autorisé à accéder. Client - des systèmes et des données contenant des informations confidentielles, auxquels typiquement des clients authentifiés et un petit nombre d'utilisateurs internes sont autorisés à accéder. Interne - les employés y ont accès en tout lieu. Confidentiel - des systèmes et des données internes nécessitant des protections étendues. Départemental - réservé à certains utilisateurs en fonction de leur rôle.
Des risques peuvent survenir au point d'interaction entre deux segments ayant des profils de sécurité différents
Ce type de classification facilite la définition des segments et de leur profil de sécurité. Le niveau et l'étendue de la segmentation nécessaire à chaque entreprise dépend de ses besoins métiers et des exigences de sécurité. Certaines entreprises appliquent des règles strictes de « moindre privilège » et de « séparation des privilèges », tandis que d'autres considèrent que tous les utilisateurs et les systèmes sont équivalents en termes de niveau d'accès et d'importance.
L Lors de la constitution des segments, vérifiez si les entités ont les mêmes I E NS autorisations, si elles prennent en charge les mêmes processus métiers, gèrent O C des actifs similaires et bénéficient du même niveau de protection. Si c'est le cas, ces entités peuvent être incluses dans un segment atomique unique. Si ce n'est pas entièrement le cas, ces entités devraient alors être segmentées séparément.
007
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Quelques exemples de séparation des entités en différents segments : Deux postes de travail sur le même réseau local accédant à des actifs de même classification : . Comme un des utilisateurs a peu d'intérêt d'attaquer l'autre poste de travail puisqu'ils ont tous deux accès aux mêmes actifs, les deux hôtes peuvent faire partie d'un même segment atomique. . D'autre part, les utilisateurs peuvent souhaiter accéder à des actifs pour lesquels ils n'ont pas d'autorisation. Ces utilisateurs et ces actifs devraient être modélisées dans des segments distincts. Un appareil mobile exposé à des menaces (vol, par exemple) qui ne sont pas applicables aux serveurs d'un datacenter : . Ces entités ont des exigences de sécurité différentes et ne devraient pas être placées dans un même segment atomique. Des unités métiers et des sites distincts : . Différentes entités devraient toujours être modélisées dans des segments distincts. Des serveurs accessibles à des utilisateurs situés à l'extérieur de l'entreprise : . Ces entités ont un profil de sécurité distinct des serveurs internes qui ne sont pas exposés à l'extérieur.
Étape 2 : Regroupement des segments Une fois les segments atomiques identifiés, ils peuvent être regroupés en segments hiérarchiques (par exemple, les applications peuvent être regroupées dans le périmètre des hôtes, plusieurs hôtes dans un segment réseau, et plusieurs réseaux hiérarchiquement). Bien que chaque sous-segment gère sa propre protection, le regroupement apporte : Une modularité accrue grâce à l'abstraction et au masquage des données Une confiance accrue ou une protection plus complète au périmètre du segment supérieur que dans les sous-segments Un contrôle centralisé et la fourniture de services d'infrastructure de sécurité Le confinement des infections et la récupération Prenons l'exemple du site de la Figure 1-A. Cette entreprise est constituée de plusieurs sites connectés par un réseau MPLS. Chaque site, représenté dans une zone grisée, est composé d'un réseau d'accès hébergeant des segments d'utilisateurs internes (LAN) et de serveurs. Les serveurs internes et les serveurs confidentiels sont hébergés sur des segments séparés, isolés des utilisateurs par une passerelle ou un point d'exécution. Plusieurs segments départementaux fournissent des fonctionnalités de confinement à leurs utilisateurs finaux. Enfin, une zone démilitarisée (DMZ), dans son propre segment, fournit des services au public. Dans cet exemple, plusieurs segments serveurs et un segment utilisateur distinct permettent un contrôle précis de toutes les interactions entre segments. Ce contrôle applique les politiques de sécurité reposant sur la classification et permet le confinement des hôtes compromis.
008
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Tous les segments internes bénéficient de services de sécurité provenant d'un système centralisé et de l'infrastructure d'administration réseau dans les segments serveur. Les accès Internet et WAN sont contrôlés par des points d'exécution dédiés. Le point d'exécution Internet contrôle également les accès Internet vers et hors de la DMZ.
Regroupement des segments Figure 1-A
Classification des segments
MPLS
Point d'exécution
INTERNET
Point d'exécution
Public Interne Confidentiel Départemental
LAN
DMZ
SERVEURS SERVEURS SERVEURS INTERNES DÉPARTEMENTAUX CONFIDENTIELS
DATACENTER Dans un regroupement hiérarchique, les interactions peuvent traverser plusieurs points d'exécution. Par exemple, un serveur situé dans le segment « serveurs internes » qui se connecte à une ressource sur Internet (un service de mise à jour de contenus par exemple) pourrait être supervisé par les points d'exécution successifs suivants : 1. Le logiciel de sécurité installé sur les hôtes du segment « serveurs internes » 2. Le point d'exécution au périmètre du segment « serveurs internes » 3. Le point d'exécution situé au périmètre du datacenter 4. Le point d'exécution exposé à Internet Les interactions au niveau des proxies situés dans le segment de la DMZ pourraient traverser des contrôle supplémentaires, notamment les points d'exécution vers et hors du segment de la DMZ. En répétant le processus de regroupement des segments sur des portions du réseau consécutivement plus grandes, les entreprises peuvent assurer l'inclusion de tous les actifs dans un segment protégé. Les lignes de défense hiérarchiques établies selon le regroupement des segments compartimentent le réseau interne et fournissent une protection supérieure.
009
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Étape 3 : Consolidation de la mise en application Du modèle à l'implémentation Une fois le modèle de segmentation créé, les points d'exécution définis doivent être implémentés sous forme de passerelles de sécurité ou de logiciel sur hôte. Des technologies de consolidation et de virtualisation, y compris les passerelles multiconnectées, la virtualisation des passerelles, les réseaux locaux virtuels (VLAN), SDN et la virtualisation réseau, peuvent être utilisées pour optimiser les performances, l'exploitabilité et le coût de possession. Le processus de modélisation de la segmentation (Figure 1-B) illustre un exemple de segmentation d'un réseau comprenant des postes de travail, des serveurs (CRM, R&D et comptabilité), un centre d'exploitation de la sécurité (SOC) et des serveurs frontaux dans un segment DMZ. Des profils de sécurité sont associés aux segments atomiques (voir la légende « Classification des segments » de la Figure 1-A). Des points d'exécution sont placés au périmètre de chaque segment. Les segments sont regroupés en fonction de leur profil de sécurité.
Processus de segmentation Figure 1-B Serveurs web
UTILISATEURS Serveurs PC/PORTABLES de CRM
Serveurs de R&D
Serveurs SOC
Public
Interne
Confidentiel
Départemental Départemental
Interne
1. Segments atomiques
DMZ
2. Groupement des segments
010
UTILISATEURS LAN
DATACENTER
Serveurs comptables
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Ce processus de modélisation du bas vers le haut fournit la souplesse et la modularité nécessaires afin de déterminer les points d'exécution requis pour tout type d'application. Les ingénieurs sécurité déterminent où commencer (par exemple, processus, hôte et réseau) et où s'arrêter. Les points d'exécution établissent ensuite les lignes de défense hiérarchiques qui assurent la protection des données et des systèmes hébergés dans les segments correspondants.
Plusieurs points d'exécution modélisés peuvent être regroupés dans une seule passerelle de sécurité
Consolidation des passerelles Alors que le modèle de la Figure 1-A comprend huit points d'exécution différents au périmètre du segment réseau (à l'exclusion des points d'exécution sous forme de logiciels de sécurité sur hôte dans le segment du réseau local), l'implémentation réelle ne se traduit généralement pas par huit passerelles de sécurité. En fonction des contraintes de sécurité, de performance et de coût, plusieurs points d'exécution peuvent être consolidés en une seule passerelle de sécurité multiconnectée dans chaque site. La Figure 1-C présente une configuration simple comprenant une passerelle de sécurité unifiée utilisée pour contrôler toutes les interactions entre segments.
Une passerelle de sécurité unique consolide les points d'exécution de plusieurs segments Figure 1-C S I N TE R V E ER UR NE S S DÉ S E PA R V RTE E U ME R S NTA UX
INT
ERN
ET
PA S DE SERE SÉC LLE UR ITÉ
MP
LS
CO S E R V NFI E U DEN R S TIEL S
DM
Z LA
N
011
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Virtualisation de la sécurité Alors que la consolidation des passerelles permet de réaliser des économies substantielles, la consolidation des points d'exécution peut présenter quelques inconvénients. En particulier, une politique de sécurité plus complexe peut se traduire par un risque supplémentaire d'erreurs de configuration. Par exemple, une règle mal configurée autorisant les accès entre deux segments internes pourrait permettre, par inadvertance, un accès Internet entrant.
La virtualisation de la sécurité simplifie sa gestion et réduit le coût de possession
Comme alternative à la configuration monolithique illustrée à la Figure 1-C, une passerelle de sécurité virtuelle peut être préférable (Figure 1-D). Dans ce scénario, une seule appliance héberge plusieurs systèmes virtuels. Chaque système est logiquement équivalent à une passerelle de sécurité et peut être géré de manière distincte.
Virtualisation des contrôles de sécurité Figure 1-D
V INT
S I N TE R V E ER UR NE S S DÉ S E PA R V RTE E U ME R S NTA UX
ERN
V
ET
V
PA S VIR SEREL TUA LE D LISÉ E S ÉC E U
V
CO S E R V NFI E U DEN R S TIEL S
Z LA
La virtualisation de la sécurité simplifie l'administration. Chaque système virtuel correspond à un point d'exécution de segment de sécurité, et ses contrôles de sécurité peuvent être déployés et administrés de manière distincte. L'utilisation d'une plate-forme matérielle unifiée réduit également le coût total de possession. Virtualisation des serveurs (cloud) Dans un environnement de virtualisation des serveurs (voir l'Annexe - Modèle : cloud) des passerelles de sécurité virtuelles peuvent être implémentées à l'aide de machines virtuelles (VM), comme illustré dans la Figure A-D. L'infrastructure dans le cloud fournit la technologie de virtualisation sous-jacente, et garantit que le trafic entre segments passe par les points d'exécution au niveau des VM en créant des VLAN et en les connectant via le point d'exécution.
N
V
MP RIT
DM
012
V
V
É
LS
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
La supervision du trafic entre les différentes machines virtuelles sur le même hôte physique peut être efficacement traitée par un point d'exécution situé dans une machine virtuelle sur l'hôte. La mise en application peut également être intégrée au niveau de l'hyperviseur lui-même, pour veiller à ce que tous les flux d'information soient supervisés, sans nécessiter la refonte du réseau virtuel pour positionner les machines virtuelles derrière le point d'exécution. Le point d'exécution au niveau de l'hyperviseur utilise l'API fournie par la plate-forme de virtualisation pour recevoir tout le trafic réseau vers et depuis les ordinateurs virtuels hébergés. Les environnements de virtualisation de serveur peuvent également intégrer des passerelles de sécurité virtualisée physiques (comme illustré dans la Figure 1-D) pour décharger le traitement de la sécurité du serveur virtualisé vers un équipement de sécurité personnalisé haute performance. Réseaux locaux virtuels (VLAN) Les VLAN sont un mécanisme clé utilisé pour segmenter les réseaux d'entreprise. Une passerelle de sécurité connectée à un commutateur peut analyser le trafic réseau et le transmettre à plusieurs VLAN. Cette configuration permet à une passerelle de sécurité unique de contrôler le trafic réseau entre des centaines de VLAN. Dans la Figure 1-E, le commutateur est configuré pour transmettre tous les paquets réseau provenant de VLAN02 et VLAN03 à la passerelle de sécurité, pour superviser le trafic entre segments via le point d'exécution virtualisé implémenté dans la passerelle.
ERN
ET
N
0
4
VL
5
V
LA
VL
AN
03
02
R
ÉS
E 0 AU 2
V
LA
N
0
RÉ S 04 EAU
AN
ÉS E 0 AU 3
INT
R
Utilisation de VLAN pour la segmentation du réseau Figure 1-E
05
Le principal inconvénient de la segmentation d'architectures VLAN est la dépendance à des commutateurs pour appliquer la politique de séparation de segment, puisque ces commutateurs peuvent également être attaqués. Une mauvaise configuration peut permettre à des attaques de saut de VLAN de les contourner, et permettent ainsi à un hôte VLAN de passer à un autre. Par conséquent, des séparations virtuelles et réseau devraient être combinées pour fournir divers degrés de séparation de segment.
013
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Niveau de mise en application SDN (réseau défini par logiciel) Figure 1-F
N e ive n a a u p d p e li c m a i ti se o n
Réseau défini par logiciel (SDN) Dans les infrastructures réseau traditionnelles, les réseaux et les fonctions de sécurité réseau, telles que routeurs, commutateurs, pare-feux et prévention d'intrusions, sont implémentés sous forme d'appliances physiques. Les flux sont déterminés par la topologie du réseau, et chaque équipement réseau individuel décide localement de la meilleure façon de transmettre des paquets à leur destination. Mais avec l'émergence des environnements de réseau et de serveurs virtualisés dans le cloud, la possibilité de déployer rapidement de nouvelles applications sans modifications complexes du réseau est devenue une exigence standard. SDN est une architecture réseau émergeante dans laquelle le contrôle du réseau est découplé de l'infrastructure du réseau.
Co
Co
S I N TE R V E ER UR NE S S D ÉPA S E R RTE V E U ME R S NTA UX
d'e Poin xé t cu ti
mm
mm
uta
uta
on
teu
teu
CO S E R V NF IDE E U R S NTI ELS
rS
rS
DN
DN
LA
d'e Poin xé t cu ti
on
Co mm d'e Poin xé t uta cu teu tio n r SD N Co d'e Poin mm xé t Co cu uta mm tio n teu uta r SD teu N rS DN
N DM
Z
En intégrant le niveau de mise en application SDP dans l'infrastructure SDN, comme illustré ci-dessus dans la Figure 1-F, les commutateurs SDN ne sont que de simples points d'exécution dont le rôle consiste à décharger les flux et les sous-flux aux points d'exécution SDP appropriés. La Figure 1-G ci-dessous illustre l'intégration entre les architectures SDP et SDN. Le niveau d'administration SDP orchestre cette intégration à l'aide d'API SDN (1) et par la coordination des politiques de réseau et de sécurité entre les niveaux de contrôle SDP et SDN (2). Les flux sont alors programmés par le niveau de contrôle SDP/SDN pour transiter par les points d'exécution SDP centralisés physiques ou virtuels (3). Toutes les interactions entre segments sont ainsi constamment supervisées par les commutateurs SDN dont le rôle est de simplement décharger les flux et les sous-flux vers les points d'exécution appropriés.
014
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
r e
N
ti
D
é
S f
n
ti a
2
a
A
p
p
p
p
li
li
c
c
A
a
p
ti
p
o
li
A
c
p
a
m
ti
p
li
o
c
n
a
ti
m
é
o
ti
n
e
r
m
é
ti
e
r
Intégration SDP/SDN Figure 1-G
n ti S m on D i P ni st ra ti o
le
u
r
S
D
N
N
iv
e
a
u
d
A
’a
u
d
to
m
a
ti
V
sa
is
ib
il
M
it
o
é
d
u
la
ri
N
té
iv
e
a
u
1
C
o
n
tr
ô
2 de Prév s m en en tion ac es
d
e
c
o
n
tr
ô
le
S
D
P
3
N
iv
e
a
u
de Prot s d ec on tion né es de Con s a trô cc le ès
on
n
d’e Point xéc uti
a n e is
e
on
e iv N
d’e Point xéc uti
a
u
d
e
m
d’e Point xéc uti
p
p
li
c
a
ti
o
3
on
Les commutateurs SDN pourraient être chargés de transmettre les interactions entre le segment du réseau local et les serveurs internes via un point d'exécution sur passerelle, tandis que les interactions avec la DMZ devraient être transmises via un autre point d'exécution implémentant un ensemble étendu de protections. Une fois identifié, le trafic de déni de service distribué pourrait être acheminé différemment du trafic légitime, permettant ainsi aux interactions autorisées de circuler librement.
015
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Déchargement du traitement de la sécurité dans le cloud Le traitement de la sécurité au niveau du réseau et des points d'exécution sur hôte peut être confié à des ressources dédiées dans des configurations de clouds privés et publics. Au lieu de prendre des décisions à partir d'informations disponibles localement, les points d'exécution peuvent interroger le cloud. Les points d'exécution dans le cloud deviennent alors une extension du niveau de mise en application SDP. Le déchargement dans le cloud offre les avantages suivants : Lorsque les décisions dépendent d'informations complexes toujours changeantes, telles que les indicateurs de menace, la diffusion de ces informations à tous les points d'exécution pertinents devient rapidement problématique. Le déchargement permet l'agrégation de ces données et leur utilisation dans le cloud. En recueillant et en analysant les journaux d'événements de sécurité de manière centralisée, un système de gestion des incidents de sécurité (SIEM) peut stocker de grandes quantité de données et effectuer une analyse de sécurité rétrospective. Il peut indiquer que des éléments sont potentiellement compromis et générer des références globales pour les interactions autorisées. Les références peuvent fournir des indications d'anomalies comportementales aux points d'exécution. Pour les systèmes de stockage et de retransmission tels que la messagerie, la latence supplémentaire entraînée par le téléchargement des données et des pièces jointes dans le cloud pour analyse n'est pas excessive. En fait, les pièces jointes peuvent être analysées dans des environnements de type bac à sable afin de déterminer si elles sont malveillantes, avant d'être transmises à l'hôte destinataire. Les utilisateurs mobiles se connectant via Internet à un portail dans le cloud peuvent bénéficier de services de sécurité situés géographiquement proche d'eux, pour un traitement de sécurité plus fiable et plus rapide que si leur trafic réseau était acheminé à travers des points d'exécution centralisés. Les contrôles de sécurité dans le cloud déplacent la problématique de sécurité du réseau d'entreprise vers le cloud. Les entreprises doivent obtenir des garanties et des capacités de surveillance suffisantes de la part du prestataire de cloud externe pour assurer la mise en place des contrôles de sécurité nécessaires. Des canaux de confiance devraient également être utilisés pour authentifier et protéger toutes les communications depuis et vers le cloud. Des profils de garantie de la disponibilité du réseau et du cloud devraient également être définis pour contrer d'éventuelles attaques DDoS. Un exemple de sécurisation du cloud est fourni en Annexe A - Modèle mobile.
016
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Étape 4 : Canaux de confiance Les points d'exécution au niveau des segments bloquent les interactions non autorisées entre les segments. Cependant, les interactions autorisées doivent également être protégées. Lorsque deux segments réseau possèdent des éléments co-localisés, une passerelle de sécurité peut être physiquement connectée aux deux segments pour filtrer les interactions entre segments. Lorsqu'elles sont physiquement séparées, ces interactions doivent être sécurisées pendant qu'elles transitent dans l'infrastructure réseau. Lorsque des interactions entre les segments sont établies par un segment hiérarchique dans un réseau de confiance, le segment hiérarchique est alors responsable de la sécurisation des données en transit. Toutefois, si la sécurité du réseau est faible, en regard des profils de sécurité des deux segments, des agresseurs pourraient accéder ou modifier les données circulant entre les deux segments. Par conséquent, un canal de confiance doit être établi entre les segments et devrait chiffrer les interactions entre segments. Un tel canal permettrait d'empêcher les accès non autorisés aux données qui y circulent, tout en détectant et en bloquant toute tentative de modification des données. L'exemple suivant illustre deux segments départementaux situés dans différents sites et interagissant dans un canal de confiance. Dans cet exemple, les utilisateurs internes peuvent directement accéder aux serveurs internes.
Canal de confiance chiffré entre deux segments Figure 1-H
INTERNET
Un canal de confiance devrait être établi entre les segments pour sécuriser les interactions sur des réseaux de faible sécurité
CANAL DE CONFIANCE
MPLS
Point d'exécution
SERVEURS SERVEURS Point d'exécution DÉPARTEMENTAUX CONFIDENTIELS
DATACENTER
DMZ
LAN SERVEUR SERVEURS SERVEURS INTERNES DÉPARTEMENTAUX CONFIDENTIELS
DATACENTER 017
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Étude de cas Stuxnet Comment la segmentation peut empêcher les vers informatiques de se propager
En juin 2010, un nouveau ver réseau ciblant les systèmes de contrôle industriel SCADA de Siemens utilisés dans le programme nucléaire iranien a été découvert. Selon des sources publiques, le ver a endommagé des machines d'enrichissement d'uranium, entraînant de sérieuses conséquences pour les objectifs du programme. Cette étude de cas analyse les caractéristiques du ver et démontre un lien direct entre son efficacité et une segmentation inefficace. Communément appelé « Stuxnet », le ver était une menace mixte qui : (1) a infecté des postes de travail sous Windows à partir de lecteurs USB, (2) s'est propagée dans le réseau et des supports amovibles, (3) a permis à l'hôte infecté de se connecter à un serveur de commande et de contrôle pour recevoir d'autres commandes et extraire des informations, et (4) a identifié les hôtes exécutant le logiciel de contrôle SCADA et a reprogrammé leurs automates industriels pour endommager les centrifugeuses utilisées pour l'enrichissement d'uranium.
Stuxnet Figure 1-I Qom Arak
WA
Teheran Natanz Isfahan
N Bushar
Iran
P2P
INT INT
DA
ER
NE
TA
4
S
CE
OP ÉR PC ATE UR S
NT
ER
2
SER P L CV E U R
3
ERN
ET
SER V CO EUR M S DE MA DE CO NDE NTR ET ÔL E
S LA
N
1
Stuxnet a utilisé plusieurs techniques pour se dissimuler et compliquer son éradication. Le ver est resté caché pendant des années et s'est propagé via des vulnérabilités connues et inconnues. Initialement injecté dans un poste de travail interne de confiance, il s'est propagé latéralement en infectant plus de 60 000 ordinateurs en Iran, et a endommagé près de 1 000 centrifugeuses de la centrale nucléaire de Natanz. Des mois d'efforts intensifs ont été nécessaires pour rétablir la situation en raison de la réinfection agressive du ver.
018
SCHÉMA DE SÉCURITÉ ENTREPRISE
01
NIVEAU DE MISE EN APPLICATION
Les protections de périmètre de segment suivantes auraient pu stopper l'attaque : Contrôle d'accès 1. Une protection au périmètre du segment atomique aurait dû empêcher le logiciel malveillant de pénétrer dans l'hôte via l'interface USB. Des contrôles de périmètre de segment sur les postes et le réseau local auraient pu empêcher l'établissement de connexions directes entre les hôtes infectés. Une fois détectés, les hôtes infectés auraient pu être confinés, pour limiter leurs connexions réseau sortantes vers les services réseau autorisés uniquement. 2. En tant que composants critiques, Les PC opérateur n'auraient pas dû être accessibles sur le réseau. Un pare-feu de périmètre de segment aurait pu empêcher l'accès à ces ordinateurs. Prévention des menaces 3. La prévention d'intrusions dans les segments LAN et au périmètre du WAN auraient pu détecter les hôtes infectés et empêcher les logiciels malveillants de se propager à d'autres segments via des vulnérabilités connues. Une fois le ver détecté et analysé, la prévention d'intrusions aurait pu diffuser dynamiquement des signatures personnalisées pour bloquer entièrement le ver et empêcher l'exploitation de vulnérabilités jusqu'alors inconnues. 4. Les accès sortants du réseau local vers les serveurs de commande et de contrôle sur Internet aurait pu être détectés et bloqués au périmètre du site et de l'organisation. Le fait que le ver Stuxnet ait réussi à infecter de nombreuses cibles démontre la faiblesse des mécanismes de contrôle entre les entités ayant des caractéristiques de sécurité différentes, y compris les PC opérateur ayant accès aux automates de contrôle.
Résumé du niveau de mise en application Le niveau de mise en application de l'architecture SDP se compose de points de contrôle qui agissent comme des platesformes d'exécution des protections définies par logiciel. Les points d'exécution peuvent être implémentés sous forme de passerelles de sécurité réseau, de logiciel sur hôte, d'applications sur appareils mobiles ou de machines virtuelles dans le cloud. Le principe de base du niveau de mise en application est la segmentation. La segmentation est critique pour la survie d'une entreprise faisant l'objet d'une attaque, car elle empêche les menaces de proliférer dans le réseau. L'implémentation de la segmentation commence par la définition des segments « atomiques » du réseau. Des points d'exécution sont introduits au niveau du périmètre de chaque segment atomique pour appliquer une logique de protection définie. Les segments atomiques peuvent être regroupés pour modulariser la protection. Enfin, des canaux de confiance sont établis pour protéger les interactions et les flux de données entre les différents segments réseau. Cette méthode de segmentation facilite la consolidation des passerelles et peut être appliquée à de nombreuses configurations d'infrastructure réseau, aussi bien traditionnelles et physiques que modernes et dynamiques utilisant la virtualisation de la sécurité et du réseau, les réseaux locaux virtuels et les infrastructures SDN. Le niveau de mise en application SDP repose sur cette approche de la segmentation pour constituer une défense efficace contre les infections résultant des menaces persistantes avancées (APT) les plus complexes. 019
2 0
Niveau de contrôle
Le niveau de contrôle est au cœur de l'architecture SDP. Son rôle consiste à générer des protections définies par logiciel et de les déployer sur les points d'exécution appropriés du niveau de mise en application, qu'ils soient implémentés sous forme d'équipement dédié haute performance ou de logiciel sur hôte dans le réseau, sur des appareil mobile ou dans le cloud. Prévention des menaces, contrôle d'accès et protection des données font partie des protections proposées. Ces stratégies diffèrent dans le domaine de connaissance sous-jacent à partir duquel les règles de sécurité sont établies : La prévention des menaces s'appuie sur la compréhension des menaces et de leur comportement. Elle est alimentée par des renseignements collaboratifs en temps réel sur les menaces fournis par la communauté. Le contrôle d'accès applique un modèle de politique de sécurité des interactions autorisées entre les utilisateurs et les actifs de l'entreprise, tel que configuré par le niveau d'administration. La protection des données se concentre sur la classification des données plutôt que sur les comportements et les interactions. Le niveau d'administration détermine les politiques de flux de données dans l'entreprise. Les protections définies par logiciel fournissent le niveau de flexibilité requis pour faire face aux nouvelles menaces dynamiques et aux changements de configuration réseau. Le niveau de mise en application fournit une plate-forme robuste capable d'exécuter des protections aux points d'exécution dans toute l'entreprise. Les protections étant contrôlées par logiciel, le matériel sous-jacent déployé au niveau de ces points d'exécution n'a pas besoin d'être remplacé dès qu'une nouvelle menace ou méthode d'attaque est découverte, ou lorsque de nouvelles technologies sont introduites dans l'entreprise. Les protections devraient pouvoir s'adapter automatiquement au paysage des menaces sans requérir l'examen manuel de milliers de bulletins et de recommandations, grâce à l'utilisation de contrôles automatisés de prévention des menaces qui interagissent seulement avec le niveau d'administration pour faire appel à des décisions humaines (par exemple, lorsque les indicateurs de menace ne fournissent que peu de certitude quant à l'identification d'une menace ou d'une attaque).
020
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
ts en m s e gn nace i e e ns Re les m sur
d Pré e v s e o m n n e tio n n tr a c ô e le s
Niveau de contrôle SDP Figure 2-A
c e d
u
C d o e n s tr a ôl c e c è P s r d o es te d ct N iv onn ion é e a es
ue tiq rité i l Po écu s de
Prévention des menaces La prévention des menaces bloque les agresseurs, et empêche l'exploitation des vulnérabilités et l'installation de logiciels malveillants. La politique de prévention des menaces est simple : « toutes les menaces doivent être bloquées. » Cette politique nécessite peu de personnalisation, mais est plutôt générique et doit être appliquée à toute l'entreprise. La prévention des menaces peut être divisée en deux groupes : pré-infection et post-infection. Les protections pré-infection détectent et bloquent de manière proactive les menaces qui tentent d'exploiter les vulnérabilités des applications et des protocoles internes, ou tentent de refuser l'accès à des applications autorisées. Les protections post-infection fournissent des défenses agiles qui détectent, maîtrisent et désarment les menaces qui sont parvenues à corrompre une ou plusieurs entités réseau. Ces protections empêchent la propagation des logiciels malveillants et bloquent les connexions des bots à leur serveur de commande et de contrôle. Dans certains cas, un seul constat du sécurité n'offre qu'une faible certitude quant à l'existence d'une menace. Le composant de prévention des menaces du niveau de contrôle corrèle les résultats de plusieurs moteurs, notamment sur signatures, réputation, comportement, émulation de logiciels malveillants et validation humaine, pour établir un niveau plus élevé de certitude. Le niveau de contrôle peut également utiliser des ressources externes pour générer une protection significative. Pour que la prévention des menaces soit efficace, elle doit être alimentée par une quantité importante et fiable de renseignements sur les menaces. Les entreprises devraient s'attendre à un flux régulier de renseignements sur les menaces dans leur environnement de sécurité sans intervention manuelle.
La prévention des menaces est appliquée de manière générique à toute l'entreprise
Les protections de prévention des menaces peuvent être appliquées avant ou après les infections
021
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Renseignements sur les menaces Les renseignements sur les menaces proviennent de sources internes et externes de données sur les menaces. Idéalement, ces sources devraient inclure des renseignements de sécurité publique, tels que ceux provenant des CERT (centres d'alerte et de réaction aux attaques informatiques), d'analystes de sécurité, d'éditeurs de produits de sécurité et d'autres groupes de la communauté de sécurité. En plus de ces sources externes, des renseignements sur les menaces sont générés dans l'entreprise suite aux analyses de logiciels malveillants et l'utilisation de bacs à sable, et l'analyse des données des événements de sécurité recueillies depuis les points d'exécution. Les renseignements sur les menaces décrivent les agents de menace, leurs cibles, les campagnes d'attaque, les tactiques, techniques et procédures connues. Les contrôles de prévention des menaces traduisent ces données en indicateurs et descriptifs d'attaque utilisables, qui permettent aux niveaux de mise en application de prendre des décisions. Ils permettent également aux entreprises d'anticiper les attaques avant qu'elles ne se déroulent et reconnaître leur importance lorsqu'elles sont détectées dans le réseau. Le processus d'analyse des renseignements sur les
Processus d'analyse des renseignements sur les menaces Figure 2-B
Renseignements sur les menaces Analystes de sécurité CERT
Analyse des log. malveillants
Sources externes
Sources internes
Communauté
Analyse des évén. de sécurité
Analyses Big Data
Indicateurs de menaces
Contexte et métadonnées
Protections
022
Bac à sable
Les renseignements sur les menaces sont générés à partir de sources internes et externes
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
menaces fait appel à une logique simple pour générer des renseignements utiles, c'est-à-dire les indicateurs de menaces pouvant être utilisés pour détecter et bloquer les menaces. Ces renseignements décisionnels répondent aux questions suivantes : Quel comportement malveillant devriez-vous rechercher ? Adresses réseau, requêtes de résolution de noms de domaine, URL, appels système, sommes de contrôle des fichiers, etc. Où devriez-vous regarder ? Sur le réseau, dans des emails ou des documents, sur le disque, la mémoire, etc. Quelle est l'importance de cet événement ou de la série d'événements ? Les métadonnées fournissent des informations supplémentaires sur le niveau de certitude de l'indicateur, la gravité de l'attaque correspondante, etc. Comment pouvons-nous nous protéger contre cette attaque ? L'attaque devrait-elle être bloquée dans le réseau ou sur l'hôte ? Existe-t-il un correctif pour cette vulnérabilité ? L'exemple suivant illustre le processus d'analyse des renseignements sur les menaces : Collecte des renseignements bruts : Un avis annonce qu'un agresseur a déclenché une campagne contre des cibles du secteur financier. L'agresseur procède par l'envoi de documents contenant un logiciel malveillant exploitant les vulnérabilités de l'application manipulant ces documents, à des utilisateurs ciblés par différents moyens (courrier électronique, clés USB et sites web infectés). Lorsqu'un utilisateur lance le logiciel malveillant sans se méfier, il se connecte à un serveur de commande et de contrôle et utilise un outil d'accès à distance pour donner accès au réseau interne à l'agresseur. Génération des renseignements décisionnels : Un bac à sable au niveau de mise en application exécute un document et découvre qu'il contient un logiciel malveillant qui tente d'installer un outil d'accès à distance dans le système de fichiers local. Le bac à sable calcule les sommes de contrôle uniques du document et du fichier, et fournit ces indicateurs au niveau de contrôle. Le niveau de contrôle génère alors des protections contre l'attaque et les diffuse automatiquement aux points d'exécution de l'entreprise. Les indicateurs sont également communiqués à d'autres organismes de la communauté. Limite des dommages post-infection : D'autres analyses des données du réseau et du système de fichiers des hôtes peuvent ensuite révéler des correspondances supplémentaires grâce aux sommes de contrôle. Des protections sont ensuite générées automatiquement ou manuellement pour assurer le confinement des hôtes compromis en limitant leurs droits d'accès sur le réseau.
L'analyse des données permet d'identifier les hôtes compromis
Analyse des événements de sécurité : Une analyse plus poussée des données des journaux pourrait indiquer s'il existe une corrélation statistique entre les hôtes suspects et des connexions sortantes spécifiques. Les hôtes cibles peuvent alors être identifiés comme étant potentiellement des serveurs de commande et de contrôle ou des zones de dépôt des agresseurs, et les adresses IP ou les URL correspondantes peuvent être utilisées comme indicateurs pour bloquer d'autres communications de bots. 023
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Les indicateurs de menaces sont particulièrement efficaces lorsqu'ils identifient les aspects du comportement des menaces susceptibles de changer d'une attaque à une autre. Par exemple, bloquer l'adresse source d'une attaque ne présente aucun intérêt si cette adresse est falsifiée par l'agresseur ou peut changer à chaque connexion. Cependant, la connexion d'un bot à son serveur de commande et de contrôle est plus difficile à changer car l'agresseur doit mettre en place un nouveau serveur de commande et de contrôle chaque fois que le précédent est bloqué. Les attaques avancées nécessitent des indicateurs de menace plus complexes. Par exemple, un logiciel malveillant moderne pourrait générer des URL de manière aléatoire pour lui permettre d'accéder à un grand nombre de serveur de commande et de contrôle. L'analyse de cet algorithme peut fournir un indicateur complexe capable d'identifier toutes les URL utilisées dans l'attaque. Génération des indicateurs de menace Grâce à la détection de sources anormales et malveillants, des indicateurs de menace peuvent également être générés dans l'entreprise. Parmi les sources de ces indicateurs internes : La logique de contrôle du niveau de mise en application exécutée dans un bac à sable. Les documents et les applications susceptibles de contenir des logiciels malveillants pourraient générer des indicateurs de menace en cas de détection d'un comportement anormal. L'analyse des événements de sécurité provenant du niveau de mise en application permet d'identifier les anomalies et les attaques. Une fois ces menaces reconnues, des indicateurs de menace sont générés pour bloquer de nouvelles attaques et assurer le confinement des entités compromises. L'analyse du réseau et des hôtes par des analystes de sécurité permet de générer des indicateurs de menace et les fournir au niveau de contrôle pour diffusion aux points d'exécution. Des leurres peuvent être utilisés pour piéger des agresseurs en leur faisant croire qu'ils ont pénétré dans le réseau interne, donnant ainsi plus de temps aux défenseurs pour analyser leurs caractéristiques d'attaque et générer les indicateurs de menace appropriés pour bloquer l'attaque. Protections zero-day Les agresseurs ciblent les actifs de l'entreprise en exploitant des vulnérabilités (c'est-à-dire des failles de sécurité potentielles dans le système). Comme expliqué précédemment, les contrôles de prévention des menaces bloquent les menaces en détectant leur comportement. Toutefois, des vulnérabilités système peuvent être découvertes par des agresseurs avant que les propriétaires du système n'aient connaissance de l'existence de failles de sécurité. Elles sont appelées « vulnérabilités zero-day ». Par définition, les attaques zero-day ne peuvent être directement stoppées car aucun renseignement n'existe. Les stratégies de protection suivantes peuvent être utilisées pour atténuer les attaques zero-day : Utilisation de bacs à sable. Les documents et les applications peuvent être exécutés dans un environnement confiné qui émule le système ciblé. Lorsqu'un comportement inattendu est découvert, l'exécution se termine, et les documents ou les applications malveillants ne sont pas autorisés à entrer dans le réseau ou atteindre l'hôte ciblé.
024
Des stratégies de protection peuvent être utilisées pour atténuer les attaques zeroday
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Réduction de la surface d'attaque. Le principe du moindre privilège est très efficace contre les attaques zero-day car il peut masquer les vulnérabilités des composants du système. Les contrôles de moindre privilège peuvent empêcher : . L'accès aux ports et aux services réseau, contraignant ainsi les protocoles réseau afin de bloquer les caractéristiques rares (et donc souvent peu évaluées). . L'exécution de code à partir d'objets de données ou de programmes inconnus, pour empêcher les applications de modifier l'état du système. . Les interactions réseau entre les hôtes qui ne sont pas tenus de communiquer. Contrôle des comportements et détection des anomalies. Limiter le système à un comportement « normal » peut bloquer les logiciels malveillants, même s'ils ont réussi à compromettre des composants du système. Par exemple, un hôte qui effectue une analyse anormale du réseau peut être confiné. Intervention humaine. Les logiciels malveillants et les menaces peuvent être contrés en exigeant des confirmations manuelles ou des autorisations pour les opérations sensibles. L'analyse des comportements permet d'identifier les comportements anormaux exigeants de telles interventions. Analyse rétrospective. En cas de réception de renseignements décrivant des vulnérabilités nouvellement détectées, les journaux d'anciens événements système peuvent être analysés pour identifier les activités malveillantes correspondantes. L'application rapide de correctifs sur des applications vulnérables et l'utilisation de contrôles de prévention des menaces peuvent également réduire la fenêtre d'exposition aux vulnérabilités connues, et bloquer au plus vite les tentatives d'exploitation dès la découverte d'une vulnérabilité. Cette pratique n'empêche pas l'exploitation de vulnérabilités zero-day, mais il convient toutefois de noter que la grande majorité des attaques ciblent des vulnérabilités connues non corrigées.
Contrôle d'accès Le contrôle d'accès a toujours été au cœur de la mise en application de la politique de sécurité, et est encore aujourd'hui le fondement de toute architecture de sécurité. Le contrôle d'accès définit les interactions entre les utilisateurs et les données au sein du réseau de l'entreprise, pour le bénéfice des processus métiers. Il applique le niveau minimum requis pour soutenir l'activité de l'entreprise et met en application le principe de sécurité du « moindre privilège ». Toute interaction qui n'est pas expressément autorisée est considérée comme étant non autorisée et doit être bloquée. Les protections de contrôle d'accès dépendent de référentiels qui décrivent les règles de gestion, les actifs, les utilisateurs, les rôles et les applications, et définissent les politiques de sécurité pour l'ensemble des interactions autorisées entre ces mêmes actifs, utilisateurs et applications.
Le principe du moindre privilège contraint les interactions au niveau minimum requis pour soutenir l'activité de l'entreprise
Par exemple, le contrôle d'accès détermine si un utilisateur est autorisé à accéder à des services confidentiels et peut qualifier les autorisations en fonction de la localisation de l'utilisateur, l'état de l'hôte, l'horaire, etc. 025
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Ces contrôles de protection peuvent être divisés en jeux de contrôles entrants et sortants. Pour les contrôles entrants, chaque segment doit protéger ses actifs contre les agressions extérieures. La mise en application stricte du moindre privilège réduit la surface d'attaque. Par exemple, si une application du segment contient une faille de sécurité, et que l'accès à l'application est rejeté par la politique de contrôle d'accès, la vulnérabilité ne peut donc être exploitée. Le principe du moindre privilège dicte également que les clients d'un segment protégé devraient avoir accès uniquement aux services externes qui soutiennent directement ou indirectement leur métier. Des contrôles sortants sont donc requis pour appliquer ce principe. L'analyse et le contrôle du trafic sont effectués de manière adaptative en fonction du contexte. Par exemple, dans le cas du trafic Internet, le niveau de contrôle peut consulter une base de données dans le cloud pour déterminer les applications et les protocoles autorisés, tandis que dans le cas du trafic interne, il peut autoriser l'utilisation d'une application ou d'un protocole propriétaire. Le niveau de contrôle est également informé des changements apportés au réseau et aux définitions implémentées dans d'autres systèmes informatiques, par exemple la modification des référentiels utilisateur, l'application automatique d'une protection à une nouvelle machine virtuelle ou l'autorisation d'accès à un nouvel hôte défini dans un serveur DNS. Dans le cadre de SDN, le niveau de contrôle redirige également le trafic réseau vers les points d'exécution appropriés, pour se conformer au modèle de segmentation et à la politique de sécurité de l'entreprise.
Protection des données Les protections doivent superviser les données stockées et en mouvement pour les protéger correctement. Des contrôles cryptographiques sont appliqués pour protéger les données à l'intérieur et à l'extérieur de l'entreprise en refusant l'accès à des utilisateurs non autorisés. En classant les données selon les classifications utilisées par l'entreprise, les flux de données peuvent être examinés pour déceler et empêcher les fuites de données. La protection des données dépend de la politique de sécurité pour la catégorisation et le marquage des données. Les données sont classées en fonction de leurs propriétés, leurs attributs et leur contenu. Des signatures de données sont créées en fonction du degré de confidentialité des données et sont utilisées pour empêcher tout utilisateur non autorisé de les obtenir. Des signatures numériques et des mécanismes de chiffrement doivent être appliqués aux données stockées pour empêcher les accès et les modifications non autorisés. Ces mécanismes assurent une protection permanente même lorsque les données sont transférées à l'extérieur du système contrôlé. Le chiffrement est particulièrement utile pour les appareils mobiles, le stockage sur des supports amovibles, les environnements de stockage partagé et le cloud. Une infrastructure de gestion de clés en local ou dans le cloud est nécessaire pour gérer efficacement les clés et l'accès aux données chiffrées. Le chiffrement peut également être utilisé pour assurer l'élimination sécurisée des données par révocation des clés.
026
Les protections doivent suivre les données stockées et en transit
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Sélection des contrôles de protection selon le risque Différentes protections sont nécessaires sur les différents points d'exécution. Le choix du type de protection dépend des actifs du segment, des autorisations des utilisateurs et des menaces. Les performances du système et les contraintes opérationnelles doivent également être prises en compte. Le rôle du niveau de contrôle est de sélectionner la logique de contrôle appropriée qui sera exécutée sur chaque point d'exécution au périmètre du segment, afin de mettre en applications les politiques de contrôle d'accès et de protection des données, et contrer les menaces identifiées. La première étape de sélection des contrôles de sécurité consiste à effectuer une analyse des risques pour chaque segment ou groupe de segments. Le risque est défini comme étant la probabilité d'un incident et son impact sur les activités ou les actifs de l'entreprise, par exemple des manquements à la politique de sécurité, des manifestations de menaces et des flux de données inappropriés. Comprendre les risques fournit un cadre de priorités pour les contrôles de sécurité. Différentes catégories de risque sont prises en compte pour chaque interaction traversant le périmètre d'un segment. Un niveau de risque peut être codifié en fonction de l'événement, des chances de réussite et des dommages potentiels. Par exemple, une requête HTTP sortante peut être comparée à un système de classement des risques :
Risque
Description du risque
Analyse de la requête HTTP sortante
Interne
Un utilisateur autorisé effectue une interaction qui enfreint la politique de sécurité.
L'utilisateur du segment interne est-il autorisé à accéder au service externe ?
Attaque externe
Une entité externe tente d'accéder à des actifs ou des services sans autorisation.
Le service externe pourrait-il être usurpé par un agresseur ?
Accès aux données
Un agresseur lit ou modifie des données en transit ou stockées, en accédant au réseau ou à une infrastructure de stockage.
Le chemin d'accès réseau de l'interaction peutil être intercepté ?
Fuite de données
Des données confidentielles sont transmises à des utilisateurs non autorisés.
Des données peuvent-elles être déposées dans des zones non autorisées ?
Un agresseur enfreint un protocole et provoque une défaillance du système.
Quelle est la probabilité que le détournement d'un protocole déclenche le téléchargement de logiciels malveillants dans le segment ?
Logiciel malveillant
Du code malveillant est transmis via le réseau ou des supports amovibles, avec des conséquences négatives sur les actifs.
La requête pourrait-elle indiquer un comportement malveillant (connexion à un serveur de commande et de contrôle par ex.) ?
Déni de service
Une interaction consomme des quantités excessives de capacités de traitement ou de bande passante, et ralenti le service.
La fréquence et la durée des requêtes pourraient-elles avoir une incidence sur le niveau de service des interactions autorisées ?
Exploitation de vulnérabilité
027
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Les risques peuvent être évaluées à un niveau élevé comme décrit ci-dessus, ou détaillés en fonction des méthodes d'attaque potentielles. Un ensemble de contrôles de sécurité est défini pour atténuer chaque risque, et réduire l'exposition à un niveau acceptable pour l'entreprise. Une représentation simplifiée de l'association des risques à des protections est illustrée à la Figure 2-C ci-dessous. Chaque ligne décrit un risque de haut niveau ou une méthode d'attaque détaillée (par exemple, les logiciels malveillants diffusés sous forme de lien dans un email). Chaque colonne identifie une protection (par exemple, la prévention des menaces pré-infection) ou une protection spécifique (par exemple, le filtrage des URL selon leur réputation). L'association des protections aux risques permet de : Assurer l'atténuation suffisante de tous les risques Déterminer quels points d'exécution devraient appliquer quels contrôles de sécurité en fonction des interactions qui passent par de multiples points d'exécution Identifier les risques résiduels et ajuster les contrôles de sécurité lorsque l'un d'eux se révèle inefficace, trop coûteux ou nécessitant trop de ressources.
Le regroupement hiérarchique implique qu'une seule interaction peut traverser plusieurs points d'exécution
Comme décrit dans la section « Étape 2 - Regroupement des segments », le regroupement hiérarchique implique qu'une seule interaction peut traverser plusieurs points d'exécution. Cela signifie que les contrôles doivent être appliqués à plusieurs points le long du chemin de l'interaction pour atténuer les risques correspondants. Par exemple, les contrôles antimalwares qui comparent les emails entrants à des signatures de logiciels malveillants connus peuvent être Association des contrôles de sécurité aux risques Figure 2-C CONTRÔLE DES ACCÈS PRÉVENTION DES MENACES
Risque Interne Attaque externe Accès aux données Fuite de données Exploitation de vulnérabilité Logiciel malveillant Déni de service
028
Entrants
Sortants
Pré-
Post-
PROTECTION DES DONNÉES
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
appliqués au point d'exécution de la passerelle de sécurité dans une DMZ hébergeant le relai de messagerie, sur le relai de messagerie même, sur le serveur de messagerie interne ou sur le poste client. Le niveau de contrôle fournit des contrôles à des points d'exécution de sorte que tout risque lié à une quelconque interaction peut être supervisé tout au long du cheminement de l'interaction. Les recommandations générales suivantes indiquent où placer chaque contrôle requis : Des contrôles d'accès entrants et de prévention des menaces pré-infection (pare-feu, prévention des intrusions et identification des utilisateurs) devraient être appliqués au plus près possible des actifs, pour réduire les risques de contournement et fournir un contrôle granulaire adapté à des actifs spécifiques. Des contrôles de déni de service devraient être implémentés au niveau du périmètre de l'entreprise, en raison de la motivation des agresseurs, des possibilités et des risques de telles attaques. Des contrôles antimalwares pré-infection devraient être implémentés au niveau du périmètre de l'entreprise car ils sont généralement générés par des entités extérieures. Les contrôles antimalwares sont généralement implémentés sur des postes et des appareils mobiles qui sont amenés à traiter des documents pouvant contenir des logiciels malveillants. La sélection du point d'exécution devrait prendre en compte les paramètres de performance et de chiffrement des données (par exemple, les messages chiffrés doivent être déchiffrés avant d'être analysés). Des contrôles de prévention des menaces post-infection permettant de restreindre les accès à des applications externes sont généralement implémentés au niveau du périmètre de l'entreprise. L'intelligence collaborative permet d'identifier des cibles et des applications à haut risque. L'accès réseau sortant peut également être contrôlé sur les postes pour confiner les menaces. Des contrôles de prévention des pertes de données au niveau du réseau sont implémentés conformément au modèle de classification. Les informations internes devraient être contrôlées lorsque les données sont exportées à l'extérieur de l'entreprise, tandis que les données départementales devraient être contrôlées au périmètre des segments départementaux. Des contrôles de chiffrement devraient être également installés sur les postes, les appareils mobiles et les environnements dans le cloud pour protéger les accès aux données. Veuillez vous référer aux modèles de segmentation réseau décrits dans l'Annexe pour obtenir des détails sur les points d'exécution et l'association des contrôles aux points d'exécution. La Figure 2-D illustre un exemple d'implémentation pour le site décrit dans le chapitre précédent, avec différents contrôles de sécurité appliqués à différents points d'exécution. Les contrôles de périmètre de segment sont regroupés dans deux appliances physiques. La première est chargée de contrôler les accès entre Internet et la DMZ, ainsi qu'entre la DMZ et le réseau interne. La seconde passerelle de sécurité intègre cinq systèmes virtuels qui fournissent des contrôles pour le WAN MPLS, le réseau local, et les segments serveurs internes, confidentiels et départementaux. 029
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Application de contrôles de sécurité aux points d'exécution Figure 2-D
V
LOG
LOG
LOG
LOG
LOG
V
V
V
V MP
S I N TE R V E ER UR NE S S CO S E R NF V E U IDE R NT S IEL S
Journalisation
LS
PA S DE SERE SÉC LLE UR ITÉ V
PA DE SSERE SÉC LLE UR IRT ITÉ UA LIS ÉE
INT
ERN
ET
DÉ
PA S E R V RTE E U ME R S NTA UX
Prévention des menaces pré-infection Journalisation
LA
N LOG
Prévention des menacesdes post-infection Prévention menaces pré-infection DM
Contrôle des accès entrant Prévention des menaces post-infection Contrôle desContrôle accès sortant des accès entrant Protection des donnéesdes accès sortant Contrôle
Z
LOG
Dans cet exemple, les hôtes du segment des serveurs internes intègrent des contrôles logiciels tels que pare-feu, antimalwares, chiffrement des disques et journalisation centralisée. Les appareils mobiles intègre les contrôles suivants : pare-feu, chiffrement, journalisation et VPN. Un canal de confiance VPN connecte les appareils mobiles à l'entreprise via Internet (voir l'Annexe - Modèle : mobile). La passerelle de sécurité faisant face à Internet implémente un ensemble plus complet de contrôles car la différence de profil de sécurité entre Internet qui est accessible au public et le périmètre de l'entreprise est la plus importante. Ce modèle robuste comprend (1) des contrôles des accès entrants : pare-feu, prévention des intrusions et protection contre les attaques de déni de service, (2) la prévention des menaces pré-infection : antimalwares, (3) la prévention des menaces postinfection : antibots, (4) des contrôles des accès sortants : contrôle des applications et filtrage des URL, et (5) la protection des données : prévention des fuites de données et VPN. Dans le cas des serveurs internes, les systèmes virtuels n'intègrent que des contrôles des accès entrants et la prévention des menaces (pare-feu et prévention des intrusions) car la différence entre les profils de sécurité est moindre. Tous les points d'exécution de cet exemple permettent également la journalisation des événements pour une surveillance constante.
030
LOG
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Étude de cas RSA Anatomie d'une menace persistante avancée (APT)
Le 17 mars 2011, RSA, l'éditeur de solutions de sécurité informatique, a annoncé que son réseau avait été piraté par une attaque de type APT, et que les pirates ont dérobé des données confidentielles liées au jeton d'authentification SecurID. En juin 2011, après que plusieurs de ses clients aient été victimes d'attaques réussies, RSA a été contraint de remplacer 40 millions de jetons SecurID. L'attaque a coûté des millions de dollars à RSA et a fortement entâché sa réputation. L'attaque s'est déroulée ainsi : (1) Deux emails différents de phishing ciblé ont été envoyés à deux petits groupes d'employés. Les emails s'intitulaient « Plan de recrutement pour 2011 ». (2) Un employé a ouvert l'un des emails. Le message comportait une feuille de calcul Excel en pièce jointe contenant une exploitation de vulnérabilité zero-day Adobe Flash qui a installé une variante de Poison Ivy, un outil d'accès à distance. Le logiciel malveillant s'est connecté à un serveur de commande et de contrôle, et a fourni aux agresseurs un moyen d'entrer dans le réseau de RSA. (3) Les agresseurs ont parcouru le réseau latéralement et ont glané des identifiants jusqu'à ce qu'ils obtiennent un accès privilégié. (4) Les données de SecurID ont été dérobées et déposées dans une zone de dépôt. Les Figures 2-E et 2-F utilisent cette étude de cas pour démontrer comment la sélection des contrôles de sécurité peut contrer les attaques multi-vectorielles.
Attaque RSA Figure 2-E INT
ERN
ET
4
S I N TE R V E ER UR NE S S CO S E R NF V E U IDE R NT S IEL S
DA
TA
CE
NT
ER
3 2 1
DÉ
PA S E R V RTE E U ME R S NTA UX
LA
N DM
Z
031
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Bien que l'équipe de sécurité de RSA disposait de renseignements sur les menaces et de contrôles analytiques, et a réussi à détecter l'attaque pendant son déroulement, l'entreprise ne disposait pas des contrôles préventifs appropriés pour empêcher les agresseurs d'atteindre leur objectif une fois à l'intérieur du réseau. Dans cette attaque, la chaîne d'intrusion1 correspondait à une série d'interactions. Dans une entreprise bien segmentée, ces interactions devraient traverser plusieurs périmètres de segments et de points d'exécution, par exemple d'Internet vers la DMZ, de la DMZ vers le segment de serveurs internes, et du segment de serveurs internes vers le réseau d'accès. Chacun de ces points d'exécution permet de détecter et de bloquer les attaques à l'aide de différents types de logique de contrôle. L'attaque RSA aurait pu être stoppée à différents points tout au long du chaîne d'intrusion : Prévention des menaces pré-infection – La pièce jointe aurait pu être mise en quarantaine et analysée plus en détail pour déterminer si elle posait un risque pour l'entreprise. Prévention des menaces post-infection – L'outil d'accès à distance Poison Ivy est une application malveillante bien connue qui aurait dû être bloquée. Contrôle des accès entrants – Le poste infecté aurait dû être bloqué pour l'empêcher d'accéder aux données confidentielles de RSA. Contrôle des accès sortants – L'exfiltration des données aurait pu être bloquée à l'aide d'un contrôle de sécurité empêchant les fuites de données au niveau du périmètre de l'entité concernée. Protection des données – Les données confidentielles stockées auraient dû été chiffrées.
Stratégies de protection pour casser la chaîne d'intrusion de RSA Figure 2-F me
na Pré ce s p venti Co ost on n -inf de t ac rôl ec s cè e d tio ss e n s ort an t
INT
ERN
ET
4
S 3 Co I N TE R V E ac ntrôle ER UR c NE S ès d S en es tra CO S E R PRO nt V NF IDE E U R D E S T E C T I DO ON NT S NN IEL ÉE S DÉ S E S PA R V RTE E U ME R S NTA UX
DA
TA
CE
NT
2 1
ER
LA
N DM
1
Z
Pré v me entio na ce n des sp réinfe
cti
on
La chaîne d'intrusion est un concept développé par Lockheed Martin pour décrire une méthodologie d'attaque sous forme d'une série d'étapes consécutives, comprenant la reconnaissance, l'armement, la livraison, l'exploitation, l'installation, le commandement et le contrôle, et les actions sur les objectifs.
032
SCHÉMA DE SÉCURITÉ ENTREPRISE
02
NIVEAU DE CONTRÔLE
Résumé du niveau de contrôle Le rôle du niveau de contrôle de l'architecture SDP est de générer et de déployer des protections pour le niveau de mise en application. Ces protections comprennent la prévention des menaces, le contrôle d'accès et la protection des données. En associant systématiquement ces contrôles de protection aux risques ciblant chaque segment et ses actifs, l'entreprise peut implémenter une protection multicouche robuste contre tout type d'attaque, y compris les menaces persistantes avancées. Pour développer les protections appropriées, le niveau de contrôle s'appuie sur des référentiels de données intégrant des renseignements sur l'entreprise et ses systèmes d'information (contrôle d'accès), sur les menaces (prévention des menaces), et sur les données et leur classification (protection des données). Enfin, il est également essentiel pour les entreprises d'aujourd'hui d'analyser les menaces ciblant chaque segment, d'associer les risques à des contrôles de sécurité pertinents, puis d'analyser les chemins d'interaction pour maximiser la couverture de la protection à chaque point d'exécution.
033
3 0
Niveau d'administration
Le niveau d'administration permet à l'architecture de remplir ses rôles en intégrant la sécurité avec les processus métiers de l'entreprise. Les réseaux d'entreprise subissent des changements fréquents, ce qui est particulièrement vrai pour les datacenters virtualisés et les SOA (architectures orientées services), dans lesquels les applications passent d'un hôte à un autre, les hôtes virtuels passent d'un serveur physique à un autre, et les réseaux sont reconfigurés dynamiquement via SDN et autres API. Les utilisateurs mobiles et les services dans le cloud étendent la portée du réseau de l'entreprise. Ces changements fréquents et rapides placent un immense fardeau sur les administrateurs de sécurité qui gèrent traditionnellement les contrôles d'accès au réseau en fonction des adresses et des services réseau. Les menaces de plus en plus hostiles aussi bien dans et à l'extérieur de l'entreprise exigent des administrateurs qu'ils gèrent une politique plus granulaire de moindre privilège, tenant compte d'attributs supplémentaires tels que l'identité des utilisateurs, leur rôle, l'état de conformité des hôtes, l'identité des données, l'identité des applications et les paramètres des requêtes. La complexité du réseau et les besoins en granularité signifient que les administrateurs de sécurité ne peuvent plus faire face à l'évolution rapide des processus métiers. Le niveau d'administration SDP répond à ce défi en fournissant un cadre : Modulaire – L'administration de la politique de sécurité obéit au périmètre des segments et des types de protection, et fournit à chaque administrateur un simple sous-ensemble de la politique ne contenant que les informations et les autorisations nécessaires pour remplir les rôles assignés. Ouvert – Des API sont utilisées pour automatiser la synchronisation du niveau de contrôle avec les systèmes d'entreprise, afin de réduire la charge de travail des administrateurs et assurer la cohérence de la politique de sécurité dans le réseau. Robuste – La visibilité permet à l'entreprise de combattre les attaques tout en maintenant des niveaux de service acceptables, grâce à la détection, au confinement et au blocage des cyberattaques, ainsi qu'aux enquêtes, au rétablissement et à la collaboration.
034
Les administrateurs ne peuvent plus faire face à l'évolution rapide des processus métiers
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
Modularité Les politiques de sécurité des grandes entreprises sont devenues très complexes. Elles contiennent typiquement des milliers de règles de sécurité. Pire encore, de nombreuses entreprises utilisent plusieurs outils d'administration de la sécurité, chacun proposant un point de vue étroit d'un sous-ensemble de la configuration de l'entreprise. La complexité combinée à cette vision étroite conduit à des pratiques administratives cloisonnées. Une console unifiée fournit aux administrateurs la possibilité de définir une politique de sécurité consolidée pour les réseaux, les hôtes, les applications et les données. La modularité de la politique permet aux administrateurs de casser les politiques monolithiques en composants simples, réutilisables et gérables, en séparant les règles de sécurité en modules indépendants, de sorte que chaque module ne soit associé qu'à un simple aspect de la politique globale. Le niveau d'administration rassemble les différents modules pour constituer une politique complète destinée au niveau de contrôle. Afin d'atteindre cet objectif de modularité, la politique de sécurité doit suivre les limites des segments logiques définies dans le niveau de mise en application. En se concentrant sur chaque segment et sur ses interactions, la définition de la politique est grandement simplifiée. La modularité facilite la distribution des tâches d'administration de la sécurité entre différentes équipes qui travaillent ensemble pour relever simultanément les défis organisationnels. Chaque administrateur est exposé à un simple sous-ensemble de la politique de sécurité globale qui concerne son domaine de responsabilité. Pour s'adapter aux très grandes entreprises, le niveau d'administration doit être en mesure de prendre en charge plusieurs administrateurs participant simultanément au processus d'administration de la politique de sécurité, pour apporter des changements simultanés à la politique de sécurité et fusionner ses possibilités. Les modules de la politique sont définis en niveaux et sous-niveaux, en tenant compte des différents types de protection. Des niveaux séparés peuvent traiter des flux réseau, des flux de données, de la conformité avec la législation applicable, etc. Une politique globale peut être substituée (mais pas contournée) par des sous-politiques plus détaillées. Le niveau d'administration peut définir un cadre pour traiter des questions de dépendance et de résolution des conflits entre les modules de la politique. Dans l'exemple donné à la Figure 3-A, le segment des serveurs internes héberge un serveur de base de données, tandis que le serveur web qui est utilisé pour accéder à la base de données est hébergé dans le segment de la DMZ. Les administrateurs réseau du datacenter peuvent définir une politique de sécurité réseau globale (1) n'autorisant que certains protocoles dans le réseau interne. Un sous-niveau définissant les autorisations des applications web peut être contrôlé par un administrateur de la DMZ (2), tandis que l'administrateur responsable des serveurs internes gère un niveau indépendant définissant les objets de données autorisés à sortir du segment (3).
La politique de sécurité doit suivre le périmètre logique des segments
Les modules de la politique sont définis en niveaux et sous-niveaux, en tenant compte des différents types de protection
035
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
Modularité de la politique Figure 3-A
MPLS
Point d’exécution
INTERNET Point d’exécution
2
1
3
LAN
SERVEURS SERVEURS SERVEURS INTERNES DÉPARTEMENTAUX CONFIDENTIELS
DATACENTER Le niveau d'administration doit respecter les principes de moindre privilège et de répartition des tâches, aussi bien pour les actions des administrateurs que pour les scripts d'automatisation du niveau d'administration, pour atténuer la complexité de la politique, les risques de mauvaise configuration et les menaces internes. Par exemple, différentes équipes pourraient être responsables de l'administration du contrôle d'accès et de la prévention des menaces. Une séparation robuste des tâches permet de constituer un cadre de délégation qui évite les goulets d'étranglement se produisant naturellement lorsque l'on utilise exclusivement du personnel de sécurité dédié. Les utilisateurs finaux peuvent être autorisés à gérer les droits d'accès aux entités relevant de leur domaine de responsabilité et peuvent bénéficier des interfaces appropriées pour gérer ces tâches d'administration. À l'autre extrémité du spectre de la délégation, les décisions de sécurité quotidiennes peuvent être confiées aux utilisateurs, notamment la possibilité d'accéder à un site suspect. Par exemple, un utilisateur pourrait être amené à fournir une justification pour accéder à un fichier ou un service réseau. Une fois examinée par un administrateur, cette requête pourrait être autorisée ou refusée. Différents types de protection définissent différents cas d'utilisation de l'administration. À la différence de la politique de contrôle d'accès qui est adaptée à chaque segment en fonction de la configuration spécifique à l'entreprise, et des protections des données qui sont axées sur la classification des données, les protections de prévention des menaces applicables à chaque segment sont sélectionnées en fonction des caractéristiques génériques de chaque protection : Niveau de confiance de chaque protection individuelle (niveau de risque de faux positifs) Gravité de l'attaque pour l'activité de l'entreprise
036
DMZ
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
Compromis acceptable en terme de performance pour la prévention des menaces, sachant que certaines analyses nécessitent plus de ressources de traitement et de stockage que d'autres. L'administrateur alloue ces ressources pour chaque champ d'application, et sélectionne les protections pouvant être appliquées et celles devant fonctionner en temps réel.
Automatisation Les configurations d'entreprise évoluent rapidement, avec les réseaux, les applications, les hôtes, les utilisateurs et les rôles s'adaptant dynamiquement aux changements de l'environnement. Le suivi manuel de l'évolution de la configuration de l'entreprise est devenu particulièrement ardu pour les administrateurs, ce qui est particulièrement vrai dans les environnements virtualisés utilisant la virtualisation des serveurs et SDN, car les protections doivent suivre les changements rapides d'identités et de localisation des serveurs et du réseau. Le niveau d'administration SDP doit fournir des interfaces d'automatisation ouvertes qui permettent à l'entreprise d'automatiser l'administration de la politique de sécurité et de l'orchestrer avec d'autres systèmes d'entreprise.
Le suivi manuel de l'évolution de la configuration de l'entreprise est particulièrement ardu pour les administrateurs
Synchronisation avec les systèmes d'entreprise Le niveau d'administration SDP synchronise la politique de sécurité du niveau de contrôle avec les environnements dynamiques de l'entreprise, y compris les orchestrateurs du cloud, les bases de données de configuration, les systèmes d'inventaire d'actifs et l'infrastructure de gestion des identités, en mettant automatiquement à jour les objets et les attributs des objets via les API et les interfaces du niveau d'administration SDP. L'automatisation repose généralement sur un modèle de contrôle d'accès via attributs (ABAC). Ce modèle exécute les politiques de sécurité à partir d'attributs logiques et contextuels tels que les rôles, les applications, la classification des données et les types de clients et de serveurs, plutôt que par des identificateurs techniques statiques tels que les adresses IP et les ports réseau. Dans l'exemple précédent (voir la Figure 3-A), un module de la politique de sécurité pourrait autoriser les accès à partir de serveurs d'applications web à un serveur de base de données sur un ensemble de protocoles d'accès de base de données spécifiques à l'application, et interdire tout autre accès à la base de données. Lorsqu'un nouvel hôte est identifié par un système d'entreprise en tant que serveur de base de données, le module est appliqué implicitement à cet hôte sans nécessiter l'installation d'une nouvelle politique incluant le nouvel hôte dans le champ protégé.
037
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
Autres exemples de synchronisation : La prise en charge des identités et des applications peut permettre la définition de politiques de contrôle d'accès selon les rôles. La prise en charge des données peut empêcher les fuites de données. L'orchestration du cloud peut automatiquement protéger les machines virtuelles lors de leur création ou leur déplacement entre des hôtes physiques. Les tickets ouverts dans un système de CRM peuvent être automatiquement synchronisés avec le processus de provisionnement de la sécurité géré par le niveau d'administration. Les systèmes d'administration réseau peuvent fournir les informations de topologie du réseau et d'inventaire des actifs pouvant être utilisées pour définir la politique de sécurité. Les API SDN sont utilisées pour assurer la redirection des flux réseau entre segments protégés vers des points d'exécution appropriés. Maintenance des règles Le volume des règles de configuration de la sécurité a tendance à augmenter au fil du temps. Les administrateurs système effectuent fréquemment des changements pour intégrer des utilisateurs, des hôtes, des applications et des interactions, mais informent rarement les responsables de la sécurité des détails. Outre l'impact sur les performances de contrôle, de grands ensembles de configurations augmentent les risques d'erreurs pouvant entraîner la désactivation des protections nécessaires. L'automatisation de la politique peut assurer la précision de la politique de sécurité en alertant les administrateurs des erreurs courantes et en ajustant automatiquement la politique : Des règles redondantes peuvent être créées lorsque les administrateurs effectuent un changement sans vérifier si la règle correspondante existe déjà. Les règles orphelines se référent à des entités qui n'existent plus. En plus d'occuper de la place et de diminuer les performances, les règles orphelines posent un risque lorsque les adresses et les identités sont réutilisées à d'autres fins. Les signatures IPS orphelines peuvent protéger contre les vulnérabilités des applications ou des versions des applications qui ne sont pas installées dans le segment protégé. Par exemple, les protections IPS spécifiques aux réseaux industriels sont vraisemblablement pertinentes dans certaines entreprises, mais peuvent être omises ailleurs. Les règles obscurcies sont inactives car elles sont contournées par d'autres règles de priorité plus élevée. Par exemple, une règle qui autorise le directeur financier à accéder à un système de comptabilité peut être redondante s'il existe déjà une autorisation parallèle pour la totalité du groupe administratif. Certaines règles qui étaient destinées à être des exceptions peuvent être contournées par des règles plus générales, auquel cas leur priorité doit être ajustée en conséquence. Les règles temporaires supervisant une interaction devraient avoir une date d'expiration et devraient être supprimées automatiquement une fois la date dépassée. Les non-conformités peuvent être identifiées automatiquement lorsque les configurations de la politique de sécurité enfreignent la réglementation (les normes PCI DSS, HIPAA, NERC CIP, etc.). Par exemple, une interaction devant être chiffrée pourrait être autorisée en texte clair à la suite d'une erreur de configuration. 038
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
Visibilité La visibilité est nécessaire pour deux raisons : la compréhension de la situation, c'est-à-dire comprendre ce qui se passe dans le réseau, et la réponse aux incidents, c'est-à-dire agir. Le niveau d'administration SDP prend en charge la réponse aux incidents comme étant une interaction entre les protections du niveau de contrôle et les intervenants humains. Même si les contrôles automatisés excellent à passer d'énormes quantités de données au crible et détecter des comportements anormaux, l'intelligence humaine reste supérieure dès lors qu'il s'agit d'identifier des modèles de comportements non autorisés, identifier les faux positifs, catégoriser des événements selon leur objectif, et identifier des conduites sûres et efficaces. Des mécanismes de réaction automatisés sont parfois utilisés pour bloquer les comportements malveillants associés à des indicateurs de forte certitude. Compréhension de la situation Le niveau d'administration recueille, consolide et corrèle des événements à partir des points d'exécution déployés dans le réseau. Les intervenants bénéficient d'une visibilité en temps réel sur les chaînes d'événements, pour identifier les vecteurs initiaux d'attaque ainsi que les hôtes corrompus et les données compromises. L'analyse des événements peut générer de nouveaux indicateurs de menace pour les logiciels malveillants, les comportements des menaces et les adresses réseau associés à chaque attaque identifiée. Ces indicateurs sont ensuite intégrés automatiquement dans le niveau de contrôle et diffusés au niveau de mise en application pour protéger l'entreprise. Des rapports d'événements pertinents peuvent provenir de différentes sources :
Les points d'exécution signalent une correspondance entre une interaction détectée et un indicateur de menace. Les points d'exécution signalent une interaction non autorisée. Les analyses effectuées au niveau d'administration détectent des anomalies dans les journaux des interactions autorisées, nécessitant une enquête plus approfondie. Un comportement suspect est signalé par des sources situées à l'intérieur ou à l'extérieur de l'entreprise. Par exemple, un utilisateur signale que le service n'est pas disponible, ou une autre entreprise se plaint d'une attaque provenant de l'intérieur de l'entreprise. Lorsqu'un incident potentiel est détecté, une procédure de réponse doit être invoquée pour trier les symptômes détectés et prendre une décision quant à savoir si une réponse est requise. Des données sont recueillies et analysées. La priorité devrait être accordée au blocage d'une attaque, la recherche d'éventuels dommages et la prévention de la répétition de l'attaque. Un incident peut être un événement indépendant, par exemple un virus non ciblé ou une tentative de piratage. Une fois l'attaque maîtrisée, la tâche est terminée. Inversement, l'incident peut être le symptôme d'une campagne d'attaque plus large. Il est important pour les intervenants de catégoriser chaque incident comme étant l'un ou l'autre, car dans ce dernier cas, les événements détectés ou les indicateurs associés peuvent être la pointe de l'iceberg. Les enquêteurs devraient analyser le passé 039
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
(par exemple, les événements qui ont précédé le premier événement) et l'avenir (c'est à dire, comment l'attaque a progressé après le premier événement identifié). Dans le cadre du processus d'enquête, des indicateurs et des hôtes suspects supplémentaires peuvent être identifiés. Ces indicateurs sont transmis au niveau de contrôle pour générer les protections applicables, et élargir la portée de l'enquête. Ce processus s'appuie sur des journaux d'événements, ainsi que sur des données supplémentaires provenant de sources d'information internes et externes (Internet par exemple) : Quelle était la partie pré-infection de la chaîne d'intrusion ? En d'autres termes, quand et comment cet hôte a-t-il été infecté ? Les journaux des interactions entrantes et sortantes de l'hôte peuvent être examinés pour identifier le moment de l'attaque et les actions qui ont précédé. Une fois que la manière dont l'hôte a été infecté est déterminée, de futures attaques utilisant le même mécanisme peuvent être bloquées. Les journaux contiennent-ils des indications d'une même attaque menée contre des hôtes supplémentaires ? Le processus d'enquête devrait être élargi à ces hôtes. Post-infection – toute activité sortante de l'hôte suspect devrait être étudiée, pour indiquer si des hôtes supplémentaires ont été compromis. Les connexions sortantes des hôtes infectés peuvent également être des connexions à des serveurs de commande et de contrôle et des zones de dépôt précédemment inconnus. Les destinations inconnues doivent être examinées afin de déterminer si elles sont malveillantes, et générer les indicateurs de menace correspondants. Le niveau d'administration prend en charge ces enquêtes en fournissant aux intervenants des informations sur le comportement des utilisateurs et des indicateurs de menace pouvant correspondre à des attributs d'événements, à l'aide de visualisations de données et d'outils d'analyse. Le volume des rapports d'événements devant être examinés par les intervenants peut être réduit en corrélant différents événements et des événements correspondants à des modèles de comportements « normaux » et « anormaux ». Des outils de flux de travail et d'aide à la décision permettant de coordonner la réponse initiale. Des leurres peuvent être utilisés pour simuler un environnement cible afin d'attirer les agresseurs et étudier leur comportement. Réponse aux incidents Les options de réponse à une attaque dépendent de la chaîne d'intrusion présumée de l'attaque, c'est à dire, si elle est pré-infection (reconnaissance, livraison ou exploitation) ou post-infection (installation, commande et contrôle, ou actions sur les objectifs). En général, les actions suivantes permettant de stopper des attaques : Empêcher l'agent de menace d'interagir avec ses cibles. Mettre en application les données et les protocoles d'interaction autorisés. Contraindre les changements d'état du système et les flux de données (par exemple, respecter les quotas d'utilisation des ressources ou empêcher les fuites de données confidentielles hors d'un périmètre défini).
040
SCHÉMA DE SÉCURITÉ ENTREPRISE
03
NIVEAU D'ADMINISTRATION
L'événement précurseur d'une attaque peut être identifié, notamment les actions de reconnaissance de l'agresseur, le signalement de tentatives d'ingénierie sociale ou des avertissements d'une attaque imminente. Les précurseurs permettent à l'entreprise d'adapter ses protections pour déjouer l'attaque, notamment en diffusant des protections appropriées qui éliminent ou masquent une vulnérabilité exploitée par l'agresseur présumé, ou en important des indicateurs de menace qui bloquent l'accès à un site web de diffusion de logiciels malveillants. En cas de soupçon post-infection raisonnable d'une attaque réussie, des contrôles de confinement post-infection peuvent être utilisés pour maintenir les interactions à un minimum pendant les recherches d'indicateurs. Des configurations permettant un fonctionnement minimal sont définies à l'avance pour chaque segment et peuvent être appliquées par des contrôles automatisés qui sont déclenchés lorsque le segment est compromis ou ciblé par une attaque en cours. Le confinement peut bloquer plusieurs vecteurs d'attaque tout en autorisant les interactions utiles pour l'activité de l'entreprise. Les pirates attaquent très rarement une seule entreprise ou changent radicalement leurs méthodes pour chaque cible. Le partage d'événements de sécurité permet une intelligence collaborative, qui peut aider les entreprises à se défendre en utilisant les données consolidées d'un groupe plus large. Les agents de menace, les méthodes d'attaques et les indicateurs de menaces peuvent être identifiés dans le réseau d'une entreprise, puis être partagés afin que d'autres entreprises bénéficient de ces connaissances pour se prémunir des attaques. Résumé du niveau d'administration Le niveau d'administration coordonne l'architecture SDP. Ce niveau agit comme une interface entre les administrateurs de la sécurité et les deux autres niveaux SDP. L'interface d'administration SDP permet la définition des politiques de contrôle des accès et des données, et l'activation de la prévention des menaces, séparément. Les politiques de prévention des menaces peuvent ensuite être appliquées automatiquement au trafic autorisé par les politiques de contrôle des accès et des données, mais peuvent également être gérées par des personnes distinctes, voire même sous-traitées. Dans le domaine du contrôle d'accès, l'administration SDP devrait prendre en charge les niveaux et les sous-niveaux de la politique associés à différents segments réseau, tout en offrant la possibilité de déléguer l'administration à des administrateurs spécifiques pouvant travailler simultanément sur tous les éléments. L'orchestration fournit au niveau d'administration les renseignements nécessaires pour adapter les contrôles de sécurité à l'entreprise. Le niveau d'administration fournit également une visibilité sur ce qui se passe dans le réseau pour répondre aux incidents de manière proactive.
041
R
Résumé
Les problématiques de sécurité actuelles exigent une nouvelle perspective sur l'architecture de protection. Les menaces de demain ne sont pas les mêmes que celles d'hier, et nécessitent une architecture capable de s'adapter rapidement et allant de pair avec les exigences en constante évolution des systèmes d'information avancés des entreprises. L'architecture SDP est un nouveau paradigme, une approche pratique de l'implémentation d'une infrastructure de sécurité modulaire et dynamique. Les protections définies par logiciel fournissent la flexibilité nécessaire et peuvent être adaptées pour faire face aux nouvelles menaces, ainsi qu'aux défis nés des nouvelles plates-formes informatiques et réseau des entreprises. Pour identifier les menaces actives, les entreprises doivent implémenter des mécanismes et des processus de génération et de diffusion de renseignements sous forme d'indicateurs de menace. Les renseignements utilisés dans le cadre de la prévention des menaces sont recueillis depuis des sources internes et externes de données sur les menaces. Les indicateurs sont utilisés par les points d'exécution pour détecter et bloquer les menaces en temps réel. Enfin, l'administration modulaire et ouverte de la sécurité permet aux entreprises d'intégrer la sécurité dans les processus métiers, à l'aide d'un cadre multicouche prenant en charge la délégation et la répartition des tâches. L'automatisation permet d'orchestrer l'architecture de sécurité avec d'autres systèmes d'entreprise. Grâce à cette architecture moderne, les attaques sont repoussées et les menaces externes qui pourraient corrompre les ressources internes sont détectées, maîtrisées et supprimées.
042
SCHÉMA DE SÉCURITÉ ENTREPRISE CHECK POINT SOFTWARE-DEFINED PROTECTION
CPP SD
CPP SD
Check Point Software-Defined Protection
Software-Defined Protection (SDP) est une architecture de sécurité pragmatique présentée par Check Point à ses clients et au reste de la communauté. Check Point SDP propose une infrastructure de sécurité modulaire, agile et surtout, SÉCURISÉE. Nous expliquons dans ce document comment implémenter l'architecture SDP sur les réseaux, les hôtes, les environnements mobiles et dans le cloud, à l'aide des solutions et des services de sécurité de Check Point. Les protections Check Point définies par logiciel offrent la flexibilité nécessaire pour faire face aux nouvelles menaces et adopter de nouvelles technologies. Nos solutions génèrent de nouvelles protections et des mises à jour de protections pour les menaces connues et inconnues, et les diffusent dans le cloud de manière proactive. L'implémentation de solutions de sécurité Check Point sur la base d'un modèle architectural solide permet aux entreprises d'adopter avec confiance des solutions informatiques de pointe. La protection définie par logiciel décrit l'architecture de sécurité sous la forme de trois niveaux interconnectés qui travaillent ensemble pour assurer une protection évolutive, de haute performance, et administrée de manière centralisée.
043
SCHÉMA DE SÉCURITÉ ENTREPRISE
CPP SD CHECK POINT SOFTWARE-DEFINED PROTECTION
Check Point SDP Figure CPSDP-A
044
SCHÉMA DE SÉCURITÉ ENTREPRISE CHECK POINT SOFTWARE-DEFINED PROTECTION
CPP SD
Niveau de mise en application Check Point SDP Comme les limites du périmètre continuent de s'élargir sans frontière discernable, les entreprises doivent segmenter leurs environnements informatiques, y compris leur réseau interne et leurs environnements mobiles et dans le cloud. Check Point propose une gamme complète de points d'exécution pour protéger le périmètre de chaque segment. Il s'agit notamment d'appliances de sécurité réseau haute performance, de passerelles virtuelles, de logiciels sur hôte et d'applications pour appareils mobiles. Check Point propose aux entreprises tous les éléments nécessaires à la création de systèmes et de réseaux sécurisés, segmentés et consolidés.
Niveau de mise en application Check Point SDP Figure CPSDP-B
Passerelles réseau de mise en application Check Point propose des passerelles réseau de mise en application sous forme d'appliances et de logiciels, pouvant fonctionner sur des plates-formes ouvertes et permettre aux clients de choisir leur propre type de point d'exécution. Les Appliances de sécurité de Check Point sont déclinées en 19 modèles différents adaptés aux entreprises de toute taille. La gamme d'Appliances Check Point débute par les modèles 600 et 1100 pour protéger les petites entreprises et les succursales, puis s'étend jusqu'au modèle 61000, qui est la passerelle de sécurité la plus rapide du marché avec ses performances et son évolutivité inégalées, pour les grandes entreprises et les datacenters. 045
SCHÉMA DE SÉCURITÉ ENTREPRISE
CPP SD CHECK POINT SOFTWARE-DEFINED PROTECTION
Appliances 600 (3 modèles)
Appliance 2200
Appliances 12000 (3 modèles)
Appliances 21000 (3 modèles)
Système 61000 Appliances 1100 (3 modèles)
Appliances 4000 (4 modèles)
Appliance 13500
Appliances Check Point Figure CPSDP-C
Grâce à GAiA, le système d'exploitation sécurisé et robuste de Check Point, les Appliances Check Point combinent des possibilités multicœur haute performance avec des technologies réseau rapides afin de proposer une sécurité réseau de haut niveau. Toutes les passerelles de sécurité Check Point peuvent également accueillir des passerelles virtuelles. Ces passerelles virtuelles aident les entreprises à optimiser et simplifier la sécurité en consolidant un réseau virtuel composé de nombreux routeurs, commutateurs et passerelles de sécurité virtualisés en une seule plate-forme matérielle. Points d'exécution sur hôte pour postes et appareils mobile Pour protéger efficacement le réseau, les périmètres des segments doivent être renforcés par des agents logiciels sur hôte capables d'exécuter la politique de sécurité au niveau des hôtes. Check Point Endpoint Security pour Windows et Mac OS fournit un point d'exécution de la sécurité sur hôte pour les postes de travail et les appareils mobiles. L'application Check Point Mobile pour iOS et Android fournit un conteneur chiffré qui permet à des utilisateurs authentifiés d'accéder à un environnement sécurisé contenant la messagerie et les calendriers d'entreprise, tout en maintenant une séparation avec les autres applications et données personnelles qui pourraient être présentes dans ces appareils. Enfin, la blade Mobile Access de Check Point complète les points d'exécution mobiles par des canaux de confiance fournissant des accès VPN depuis les appareils mobiles vers Internet et les actifs internes de l'entreprise. Cloud privé et public Le cloud est de plus en plus utilisé pour réaliser des économies d'échelle, et tirer parti des ressources d'entreprise en matière d'informatique, de stockage et de réseau.
046
SCHÉMA DE SÉCURITÉ ENTREPRISE CHECK POINT SOFTWARE-DEFINED PROTECTION
CPP SD
Pour les environnements de cloud privé, Check Point Virtual Edition (VE) propose une mise en application au niveau de l'hyperviseur et de la machine virtuelle, permettant aux clients de segmenter le trafic entre les machines virtuelles. Les points d'exécution VE sont automatiquement provisionnées par le niveau d'administration, pour protéger les machines virtuelles lors de leur création ou leur déplacement entre des hôtes physiques. La passerelle de sécurité Check Point Amazon permet aux entreprises d'appliquer des politiques de segmentation et de pare-feu à des systèmes présents dans le cloud public Amazon Web Services (AWS). Passerelle Check Point dans le Cloud Pour les utilisateurs mobiles qui évoluent à l'extérieur de l'environnement protégé de l'entreprise, Check Point propose des passerelles de mise en application dans le cloud qui permettent aux entreprises d'étendre leurs politiques de sécurité au cloud. La totalité du trafic utilisateur itinérant est redirigé vers un point d'exécution dans le cloud intégrant la prévention des menaces, le contrôle d'accès et la protection des données.
Niveau de contrôle Check Point SDP Le niveau de contrôle est au cœur de l'architecture SDP. Son rôle est de générer des protections et de les déployer pour exécution sur les points d'exécution appropriés. C'est également le domaine où pendant ces vingt dernières années, Check Point a fourni des protections de pointe à ses clients.
Niveau de contrôle Check Point SDP Figure CPSDP-D TC
L
UD
P de ré v s de m ent i e gé no na on né uv ce ra el s tio le n
TH
A RE
tr n o c e d u a
e
C d on de es trô gé no acc le né uv ès ra el tio le d Pro e t n de s d ect o i gé no nn on né uv ée ra el s N tio le iv n
ô
le
ue tiq rité i l Po écu s de
Architecture Software Blade de Check Point Le niveau de contrôle SDP repose sur l'Architecture Software Blade de Check Point qui fournit des solutions flexibles et efficaces de sécurité répondant exactement aux besoins des clients. Avec plus de 20 blades, la nature modulaire de l'Architecture Software Blade permet aux clients de constituer une solution de sécurité pertinente par point d'exécution et d'étendre leur infrastructure de sécurité au fil du temps. 047
SCHÉMA DE SÉCURITÉ ENTREPRISE
CPP SD CHECK POINT SOFTWARE-DEFINED PROTECTION
Intégration des blades Check Point Figure CPSDP-E
Prévention des menaces de nouvelle génération Check Point fournit efficacement des contrôles pour lutter contre la plupart des menaces connues et inconnues. La solution de prévention des menaces de Check Point inclut les composants suivants :
Système intégré de prévention des intrusions (IPS) – Prévention des exploitations de vulnérabilités connues et souvent non corrigées.
Antivirus réseau – Empêche les menaces telles que logiciels malveillants, virus et chevaux de Troie, d'entrer dans un réseau et de l'infecter, et empêche l'accès à des sites web malveillants. Émulation des menaces – Prévention des infections associées à l'exploitations de vulnérabilités inconnues, et des attaques ciblées et zero-day, par l'inspection et l'exécution des fichiers dans un bac à sable virtuel pour découvrir les comportements malveillants. Antibot – Solution de protection post-infection qui identifie les machines infectées et stoppe la propagation des infections en bloquant les communications des bots avec leurs centres de commande et de contrôle.
048
SCHÉMA DE SÉCURITÉ ENTREPRISE CHECK POINT SOFTWARE-DEFINED PROTECTION
CPP SD
Il est essentiel d'alimenter les contrôles de prévention des menace avec des renseignements à jour sur les menaces. A cet effet, Check Point a développé Check Point ThreatCloud™, un générateur de protections combiné à un analyseur de données dans le cloud. Check Point ThreatCloud permet une lutte collaborative contre la cybercriminalité, grâce à la traduction en temps réel de renseignements sur les menaces en indicateurs de sécurité pour le niveau de contrôle. Au dernier décompte, ThreatCloud recensait plus de 11 millions de signatures de logiciels malveillants, 2,7 millions de sites infectés par des logiciels malveillants, et plus de 5 500 différents modes de communication des botnets. ThreatCloud est constamment mis à jour avec de nouvelles informations sur les menaces, fournies par un réseau mondial de capteurs, de renseignements tiers, des analyses de Check Point et d'autres organismes de recherche en matière de sécurité, et les passerelles de Check Point. Les points d'exécution Check Point reçoivent des indicateurs de sécurité en temps réel provenant de ThreatCloud. Dans ce processus collaboratif, lorsqu'une entreprise est attaquée par des logiciels malveillants, les informations pertinentes sur l'attaque sont immédiatement communiquées à ThreatCloud. Une signature de l'attaque est ajoutée à la base de données massive, et est instantanément communiquée à tous les autres clients. Protection des données et pare-feu de nouvelle génération La protection des données et le contrôle d'accès sont essentiels pour protéger les processus métiers souhaités en définissant les interactions entre les utilisateurs et les données au sein du réseau. Le contrôle d'accès repose sur notre pare-feu de nouvelle génération combiné à plusieurs blades, pour constituer une politique de sécurité unifiée et contextuelle. Il comprend les fonctionnalités suivantes : VPN et pare-feu de nouvelle génération – La technologie brevetée Stateful Inspection de Check Point fournit une infrastructure souple pour la superposition des protections de sécurité grâce à un moteur d'inspection de tous les niveaux du réseau, des applications et des données. Prise en charge des identités des utilisateurs – Politiques de sécurité avancées en fonction des identités des utilisateurs. Les passerelles de sécurité de Check Point et les postes partagent des informations sur leur état et les identités des utilisateurs pour une mise en application coopérative dans l'entreprise. Contrôle des applications – Une protection reliée à la plus grande bibliothèque d'application du marché, recensant plus de 5 800 applications et 260 000 widgets. Le trafic des applications est contrôlé, bloqué et/ou limité sélectivement pour mettre en application la politique de sécurité de l'entreprise. Étroitement intégré avec le filtrage des URL, le contrôle des applications prend également en charge des protections dynamiques reposant sur des notions de réputation et de catégorisation. Prise en charge des données et des contenus – Reposant sur la blade DLP de Check Point, elle fournit un ensemble de technologies de classification automatique permettant de déterminer l'importance spécifique de chaque document. 049
SCHÉMA DE SÉCURITÉ ENTREPRISE
CPP SD CHECK POINT SOFTWARE-DEFINED PROTECTION
Protection des données de nouvelle génération La protection des données de nouvelle génération Check Point prend en charge les données. Elle comprend notre blade de prévention des pertes de données (DLP), qui inspecte les contenus et associe les contenus des fichiers avec les fichiers stockés dans l'entreprise. Check Point DLP reconnaît plus de 800 types de fichiers et plus de 650 types de contenus prédéfinis. Cela en fait une des solutions de prévention des pertes de données les plus complètes et efficaces du marché. Check Point assure également la protection des données stockées à l'aide de technologies de chiffrement. Ces technologies peuvent être implémentées sur tous les points d'exécution pour protéger les données et les documents confidentiels, empêcher des utilisateurs non autorisés d'y accéder, et empêcher leur transfert sur des supports amovibles.
Niveau d'administration Check Point SDP Le niveau d'administration coordonne l'architecture SDP. Ce niveau agit comme une interface entre les administrateurs de la sécurité et les deux autres niveaux SDP. Administration modulaire/multicouche Check Point Les protections et les points d'exécution Check Point sont gérés par une console d'administration unifiée et unique. L'administration de la sécurité Check Point est hautement évolutive, et permet de gérer des dizaines de millions d'objets tout en maintenant des temps de réponse ultra-rapides. L'architecture SDP doit prendre en charge la segmentation, permettant aux administrateurs de définir une politique de sécurité pour chaque segment, tout en appliquant une séparation des tâches. Chaque administrateur devrait pouvoir bénéficier d'un simple aperçu de la politique de sécurité sous sa responsabilité, pour la prévention des menaces, le contrôle d'accès ou la protection des données. L'administration de la sécurité Check Point répond à ces exigences SDP via un nouveau concept de niveaux et de sous-niveaux. Des politiques peuvent être définies pour chaque segment. Des politiques de contrôle d'accès peuvent être définies à l'aide de niveaux distincts, qui peuvent être assignés à différents administrateurs. Plusieurs administrateurs peuvent alors travailler simultanément sur la même politique.
Sous-politiques Figure CPSDP-F
050
SCHÉMA DE SÉCURITÉ ENTREPRISE CHECK POINT SOFTWARE-DEFINED PROTECTION
CPP SD
Automatisation et orchestration Les politiques de contrôle d'accès et de protection des données sont spécifiques à l'entreprise et changent constamment, en fonction des nouveaux utilisateurs, des applications et des nouveaux processus métiers. Afin de prendre en charge ces changements de processus métiers, l'administration de la sécurité fournit des interfaces et des API de services web qui permettent aux entreprises d'intégrer d'autres systèmes :administration réseau, gestion des relations client, assistance technique, gestion des identités et orchestrateurs de cloud. Les interfaces ouvertes vers des systèmes externes permettent au niveau d'administration de comprendre les changements de l'environnement et d'adapter les politiques de sécurité. Une nouvelle machine virtuelle peut ainsi être automatiquement protégée par la politique appropriée, en fonction de la classification de la machine. Visibilité avec Check Point SmartEvent La visibilité sur la sécurité fait partie intégrante d'une posture de sécurité robuste. Le niveau d'administration est tenu de fournir à la fois une visibilité sur la situation et la capacité de répondre à des incidents. Check Point SmartEvent effectue des analyses de big data et des corrélations d'événements de sécurité en temps réel. Il fournit une visibilité consolidée sur des incidents à l'aide de plusieurs sources d'information. Une visibilité précise permet aux intervenants d'identifier les mesures à prendre pour défendre le réseau. L'analyse des événements de sécurité crée des renseignements décisionnels sous la forme d'indicateurs de menaces pouvant être diffusés par ThreatCloud pour bloquer les menaces en temps réel. Des mécanismes de réponse automatisés peuvent confiner les menaces pour permettre aux intervenants de prendre les mesures nécessaires avant de rétablir l'activité normale.
Check Point SmartEvent Figure CPSDP-G
051
SCHÉMA DE SÉCURITÉ ENTREPRISE
CPP SD CHECK POINT SOFTWARE-DEFINED PROTECTION
Résumé Pour mieux s'adapter aux changements constants, les entreprises doivent adopter une architecture capable de gérer la croissance rapide du trafic réseau, et qui est également dynamique, avec des protections maintenues à jour en temps réel. La protection définie par logiciel est l'architecture adaptée aux problématiques de sécurité d'aujourd'hui et de demain. Check Point fournit tous les éléments nécessaires pour implémenter une architecture SDP complète, équipée des meilleures options de sécurité et d'administration.
052
SCHÉMA DE SÉCURITÉ ENTREPRISE PROTECTION CHECK POINT DÉFINIE PAR LOGICIEL
P C
CPPP SCD
À propos de Check Point
Depuis maintenant 20 ans, la mission de Check Point est de sécuriser Internet. Après avoir inventé le pare-feu et être devenu le leader du marché de la sécurité réseau, Check Point se concentre dorénavant sur le développement de technologies de protection adaptées à l'évolution continue d'Internet. Internet n'est plus seulement une plate-forme pour mener des activités légitimes. C'est également un repère de cybercriminels. Compte tenu de cet environnement, Check Point a développé une architecture permettant de déployer des technologies de prévention des menaces multicouche qui proposent une protection maximale contre toutes les menaces, y compris les attaques zero-day. Les solutions de sécurité de Check Point pour entreprises reposent sur l'Architecture Software Blade qui est particulièrement bien adaptée à l'implémentation du schéma de sécurité décrit dans ce document. Une blade est une fonctionnalité de sécurité modulaire pouvant être activée sur un large éventail de points d'exécution, notamment sur l'ensemble complet d'Appliances Check Point, des hôtes, des appareils mobiles et des environnements dans le cloud. Reposant sur cette architecture, le pare-feu de nouvelle génération, les passerelles de sécurité web, les solutions de prévention des menaces et de protection des données, stoppent ou atténuent les cyberattaques, dont notamment les attaques de déni de service distribué, les menaces persistantes avancées, les botnets, virus, logiciels malveillants zero-day, les attaques classiques et ciblée, et limitent les risques de fuites de données résultant souvent de ces menaces. Les solutions et les services de sécurité de Check Point tirent parti de ThreatCloud™, un référentiel de renseignements sur les menaces dans le cloud, qui est alimenté par les laboratoires de recherche de Check Point et autres organismes de sécurité informatique, ainsi qu'un réseau mondial de capteurs qui collectent des données provenant de passerelles. Check Point reconnaît que la technologie seule ne suffit pas à répondre aux nouvelles problématiques de sécurité. Une stratégie unifiée et transparente de sécurité, qui intègre la sécurité dans les processus métiers de l'entreprise, est nécessaire. Cette stratégie commence par une politique bien définie, adaptée aux besoins des utilisateurs et intégrée dans la solution de sécurité de l'entreprise. Elle sensibilise les utilisateurs, puisque la majorité des risques auxquels les entreprises sont exposées impliquent des utilisateurs qui enfreignent involontairement la politique et compromettent des données confidentielles. Enfin, elle requiert une mise en application de la sécurité comprenant un degré élevé de visibilité et de contrôle par l'administration de la sécurité, avec une visibilité unique et globale sur l'environnement de l'entreprise. Check Point combine cette approche holistique de la sécurité avec ses solutions technologiques innovantes pour répondre aux défis posés par les menaces actuelles et intégrer la sécurité dans l'activité de l'entreprise. Régulièrement identifié par les analystes comme leader du marché de la sécurité réseau, Check Point Software fournit à ses clients des solutions de sécurité de haut niveau et des meilleures pratiques depuis maintenant 20 ans. Check Point compte parmi ses clients toutes les sociétés figurant dans les listes Fortune 100 et Global 100, et plus d'une centaine de milliers d'entreprises de toute taille. 053
A
Annexe : Modèles de réseaux d'entreprise
Modèles de réseaux d'entreprise Modèles génériques Figure A-A Datacenter Succursale de patite taille
Filiale Serveurs WAN
Réseau d'accès
Serveurs
NOC
Réseau d'accès
Succursale de taille moyenne
MPLS
Serveurs Réseau d'accès
NOC/ SOC
DMZ Accès Internet
Siège Télétravailleurs
Serveurs Réseau d'accès WAN Accès Internet
054
Cloud public Infrastructure sous forme de service
V
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Un modèle est une solution générale réutilisable, répondant à un problème survenant fréquemment dans un contexte donné. Les modèles décrits dans les sections suivantes sont communs à la plupart des entreprises et peuvent servir de base pour définir une architecture de sécurité. Chaque entreprise crée des modèles de segmentation pour des types distincts d'entités de traitement de données ou de sites. Ces modèles sont ensuite instanciés avec les systèmes et les applications spécifiques à chaque site et peuvent être adaptés à différents groupes métiers. La Figure A-A illustre une entreprise qui a défini des modèles pour différents types de sites et de services. Dans les sections qui suivent, les principes de segmentation sont expliqués pour les différents modèles, dont les modèles serveurs, réseaux d'accès, mobile et cloud. Des modèles supplémentaires sont décrits pour l'accès Internet, la DMZ et l'infrastructure réseau. Des exemples de protection sont fournies pour chaque modèle de segmentation.
Modèle serveurs Le modèle serveurs est généralement utilisé dans les datacenters, les entreprises de taille moyenne et les grandes entreprises. Ce modèle décrit l'ensemble des serveurs et des équipements réseau associés qui fournissent des services à la fois en interne et en externe.
Modèle datacenter Figure A-B
Datacenter
Serveurs WAN
NOC/ SOC
DMZ Accès Internet
055
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Segmentation L'architecture de segmentation est constituée comme suit : Étape 1 Chaque segment atomique contient les serveurs et les éléments réseau qui partagent un
profil de sécurité simple défini en fonction des objectifs métiers (propriété des systèmes, propriétaires de l'entreprise, responsabilités), des actifs (propriété de l'information, volume de l'information, niveau de service), des accès (utilisateurs, applications, profil opérationnel) et des garanties (physique, hôte, réseau). Par exemple, les applications de messagerie et les applications d'ERP sont séparées car elles ont probablement des profils de sécurité différents. Étape 2 Le regroupement hiérarchique est utilisé pour segmenter les zones du datacenter ayant des profils de sécurité distincts. Par exemple, certaines applications sont accessibles à un ensemble restreint d'utilisateurs, tandis que d'autres peuvent être utilisées par n'importe quel utilisateur dans l'entreprise, et d'autres encore sont destinées à l'usage des clients uniquement. Placez les applications destinées à des groupes métiers spécifiques dans des segments dédiés, séparés de ceux utilisés par l'ensemble de l'entreprise.
Même si chaque segment est responsable de sa propre protection, les contrôles de sécurité comptent souvent sur des services partagés tels que l'authentification et la gestion des privilèges, les serveurs horaires, les systèmes SIEM, l'administration réseau, etc. Ces services d'infrastructure devraient être placés dans des segments dédiés aux interactions contrôlées avec d'autres segments. Le processus de regroupement hiérarchique est répété jusqu'à ce que tous les actifs du datacenter soient définis dans un segment contrôlé. Le résultat final peut être un seul segment (complexe) ou plusieurs segments physiquement séparés comme le montre la Figure A-C ci-contre. Étape 3 Chaque segment est protégé par un point d'exécution à son périmètre. Grâce aux VLAN,
une seule passerelle de sécurité connectée à une interface de commutation peut être utilisée pour protéger de nombreux segments serveurs. Lorsque la séparation des segments n'est pas possible, des contrôles de sécurité sur hôte peuvent être configurés pour bloquer les interactions non autorisées entre les serveurs ayant des profils de sécurité différents. Dès qu'un modèle de segmentation est défini, le réseau peut être modélisé, et peut inclure des produits de sécurité aux points d'exécution qui veillent à ce que le trafic réseau de chaque segment défini soit canalisé à travers ces points d'exécution. Étape 4 Lorsque deux segments interagissent, le cheminement des interactions devrait être identifié.
Lorsque tous les éléments réseau prenant en charge les interactions sont inclus dans l'un des deux segments ou dans un segment hiérarchiquement supérieur, la politique de sécurité des segments correspondants devrait être consultée pour appliquer le contrôle de sécurité réseau. Lorsque ce cheminement n'est pas entièrement contrôlé (s'il traverse par exemple une dorsale IP gérée par un tiers), les données en transit peuvent être exposées à des risques de fuite ou d'altération. Un canal de confiance chiffré (VPN) devrait être établi entre les deux segments pour de telles interactions.
056
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Modèle datacenter – Segments serveurs Figure A-C
Datacenter Serveurs
CANAL DE CONFIANCE
Protections Les protections suivantes sont typiques du modèle serveurs : Contrôle des accès entrants
Identification et authentification des clients en accord avec les règles de contrôle d'accès au niveau de la passerelle ou des couches de sécurité applicatives, en fonction de l'infrastructure de gestion des identités. Mise en application des autorisations de la politique de sécurité du pare-feu pour déterminer si le client externe (un utilisateur, un hôte ou un programme) est autorisé à accéder au serveur (un hôte, un service ou une application) en fonction des identités du client et du serveur. Mise en application des autorisations de la politique de contrôle des applications pour déterminer si le client est autorisé à effectuer des requêtes spécifiques (insérer, supprimer ou télécharger). Mise en application des contrôles de conformité des protocoles des interactions autorisées. Mise en application de la protection via pare-feu de l'infrastructure partagée (les serveurs d'administration ou les éléments réseau) contre les accès non autorisés provenant de l'extérieur des segments serveurs. Contrôle des accès sortants
Le pare-feu n'autorise que les interactions sortantes en fonction des identités du client, du serveur et de la requête. Prévention des menaces pré-infection
La prévention d'intrusions empêche l'exploitation des vulnérabilités connues des applications dans le périmètre des segments serveurs. Protection des données
Prévention des fuites de données confidentielles à des utilisateurs non autorisés, à la fois internes et externes. Prise en charge de la segmentation par l'établissement de canaux de confiance avec les segments connectés (segments serveurs départementaux distribués ou cloud public). 057
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Modèle cloud Le cloud est utilisé pour réaliser des économies d'échelle, et tirer parti des ressources d'entreprise en matière d'informatique, de stockage et de réseau. Un environnement dans le cloud est composé d'un grand nombre d'hôtes connectés au réseau qui exécutent des hyperviseurs de machines virtuelles. Les hyperviseurs fournissent un environnement d'exécution et un environnement réseau virtuel pour plusieurs machines virtuelles. Le cloud peut être provisionné pour l'utilisation exclusive d'une seule entreprise (cloud privé), ou exploité par un tiers pour le grand public ou une communauté d'utilisateurs spécifique (cloud public). Un cloud privé peut également être implémenté dans le cadre d'un segment serveurs ou sur Internet.
Modèle cloud Figure A-D
SUR POIN MA T D' CH EXÉ INE CU PO VIR TION INT TUE SUR D'EX LLE É HY CUT PER IO VIS N EUR
(C INTER LO UD NET o P (C u W UBLIC LO AN ) UD PRI VÉ)
058
HY
PER
VIS
EUR
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
La segmentation et les contrôles de sécurité des clouds privés et publics ressemblent à ceux utilisés pour les réseaux physiques (voir la section Modèle serveurs ci-dessus) : Des passerelles de sécurité peuvent être introduites sur le réseau physique pour segmenter le cloud en plusieurs clouds distincts hébergeant des applications partageant une même appartenance ou caractéristique de sécurité. Les machines virtuelles (VM) peuvent se déplacer librement dans un cloud, mais pas entre les clouds segmentés. Dans chaque cloud, des passerelles de sécurité virtuelles peuvent être intégrées dans l'hyperviseur ou exécutées dans leur propre VM pour contrôler les interactions entre les VM. Les passerelles de sécurité virtuelle au niveau de l'hyperviseur et au niveau des VM peuvent être tenues à jour par des API d'orchestration qui suivent les VM se déplaçant dans le cloud, pour appliquer un ensemble cohérent de protections. Le logiciel de sécurité fonctionnant sur les VM hébergeant des applications peut contrôler chaque hôte précisément, comme un élément atomique. Un canal de confiance devrait être utilisé pour protéger les communications entre l'entreprise et le cloud. Ce canal peut également être utilisé pour évaluer les identités des utilisateurs (en utilisant par exemple des identifiants SAML) en fonction de leur identifiant. Les environnements dans le cloud posent des défis uniques pour la protection des données, car les données confidentielles peuvent être traitées et stockées dans des systèmes multitenants, ou conservées dans des images de VM et des stockages virtuels qui sont mis en sommeil lorsqu'une VM se déplace. Les entreprises ont souvent besoin de contrôler la localisation géographique de leurs données. Des contrôles de protection des données peuvent être utilisés pour chiffrer les données et contrer ainsi les menaces d'accès aux données.
059
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Modèle réseau d'accès (postes de travail) Le modèle réseau d'accès est utilisé pour héberger les postes de travail des utilisateurs finaux dans des sites de toute taille. Les postes de travail accèdent généralement à des applications internes, ainsi qu'à certains services et applications situés à l'extérieur de l'entreprise. Dans la plupart des cas, ils n'interagissent pas directement avec d'autres postes de travail.
Modèle réseau d'accès Figure A-E Siège
Serveurs Réseau d'accès WAN Accès Internet
Segmentation Le modèle de segmentation du réseau d'accès utilise le même procédé en cinq étapes que celui du modèle datacenter. Les éléments suivants s'appliquent à ce modèle : Les postes de travail devraient être contrôlés par un logiciel de sécurité sur hôte. Chaque poste de travail est considéré comme étant un segment atomique2 qui applique des contrôles sur ses interactions avec le réseau et d'autres interfaces d'E/S. Les postes de travail sont regroupés en segments de réseau d'accès. Chacun de ces segments contient des postes de travail qui partagent un profil de sécurité simple. Les utilisateurs ayant des profils de sécurité distincts (par exemple administration, service clientèle, production, ressources humaines ou finance) devraient être regroupés derrière des points d'exécution placés en périmètre de segment. Les postes de travail utilisent des applications clients qui se connectent à des serveurs. Les interactions client/serveur devraient être contrôlées. Voir le chapitre précédent pour une description des points d'exécution des datacenters. Les réseaux d'accès sont connectés à des WAN pour l'accès à distance. Quel que soit le niveau de confiance accordé à l'infrastructure de communication entre sites, le périmètre physique des sites devrait être configuré sous forme de point d'exécution. De nombreuses entreprises
2
Si le logiciel de sécurité contrôle également les interactions entre les processus sur un hôte, l'entité atomique est alors le processus, et le périmètre de l'hôte est considéré comme étant le segment hiérarchiquement supérieur.
060
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
approfondissent la segmentation des localisations physiques (par exemple entre les bâtiments d'un campus ou entre les étages d'un immeuble de bureaux). Les utilisateurs finaux ont souvent besoin d'accéder à des services situés à l'extérieur de l'entreprise. Tous les accès à l'environnement externe (par exemple Internet ou wifi) devraient être contrôlés. Différents modèles de réseaux d'accès sont couramment utilisés dans les entreprises. Ces modèles peuvent être combinés au sein d'une même entreprise au cas par cas. Réseau d'accès dédié Le modèle réseau d'accès dédié correspond au modèle de segmentation serveurs décrit pour le datacenter. Les postes de travail sont regroupés selon leurs fonctions et sont autorisés à se connecter à des serveurs propres à ces fonctions. Par exemple, les postes de travail de production peuvent être connectés à des applications de production, sans être autorisés à accéder à des services externes.
Modèle réseau d'accès – Réseau d'accès dédié Figure A-F
LA
INT ERA
CTI ON
MP LS
S
N S I N TE R V E ER UR NE S S CO S E R NF V E U IDE R NT S IEL S
DA
TA
CE
NT
ER
S PR ERVE OD UR UC S D TIO E N PR
ODLAN UC DE TIO N
061
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Réseau d'accès partagé Dans une configuration de réseau d'accès partagé, tous les postes de travail situés à un endroit donné sont connectés à une infrastructure de réseau partagé. L'accès aux services internes et externes est contrôlé au niveau du datacenter ou du périmètre du segment d'accès à Internet, et est déterminé en fonction des hôtes et/ou de l'identité des utilisateurs plutôt que du segment réseau. Dans ce scénario, tout poste de travail compromis peut potentiellement infecter tous les autres utilisateurs. Il est donc recommandé de définir chaque poste de travail comme étant un segment atomique, avec un point d'exécution sur hôte.
Modèle réseau d'accès – Réseau d'accès partagé Figure A-G
MP LS INT ERN
S I N TE R V E ER UR NE S S CO S E R NF V E U IDE R NT S IEL S
DA
TA
CE
NT
ER
S PR ERVE OD UR UC S D TIO E N
LA
062
N
ET
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Réseau d'accès virtuellement dédié Le scénario d'accès virtuellement dédié est un hybride des modèles réseau d'accès dédié et partagé. Il est fréquemment utilisé lorsque les utilisateurs sont physiquement disséminés dans l'entreprise (accès partagé) et ne devraient bénéficier que d'un accès restreint selon leur fonction (accès dédié). Chaque hôte utilise un logiciel de sécurité comprenant au moins des contrôles de pare-feu et de VPN. Toutes les interactions depuis et vers l'hôte sont acheminées via des passerelles VPN qui protègent des segments serveurs spécifiques. Les interactions en dehors des communautés VPN autorisées sont bloquées.
Modèle réseau d'accès – Réseau d'accès virtuellement dédié Figure A-H
MP LS INT ERN
S I N TE R V E ER UR NE S S CO S E R NF V E U IDE R NT S IEL S
DA
TA
CE
NT
CA
S PR ERVE OD UR UC S D TIO E N
NA
LD EC ON
FIA
NC
ET
E
ER
LA
N
Ordinateurs de bureau virtuellement hébergés Une configuration VDI (infrastructure de bureau virtuel) exécute les logiciels utilisateur sur une machine virtuelle dans le datacenter. Le poste de travail utilisateur n'intègre que l'interface utilisateur. Les communications entre le poste de travail et la VDI sont limitées au protocole de bureau à distance tel que Microsoft RDP ou un protocole similaire. Cette approche partitionne la protection en deux : 1. Le poste de travail utilisateur est déployé dans une configuration réseau d'accès partagé ou réseau
d'accès dédié. Il ne peut que se connecter à l'environnement VDI via RDP. 2. L'environnement VDI est implémenté sous forme de cloud privé ou public (voir le modèle cloud). Les contrôles de sécurité sont appliqués aux interactions client/serveur entre le poste de travail utilisateur et la VDI, ainsi qu'à l'accès de chaque VDI aux serveurs du datacenter. Chaque machine 063
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
virtuelle intègre également des logiciels de sécurité sur hôte qui fournissent un contrôle précis et sont capables de confiner une VDI individuelle si elle est compromise ou non-conforme.
SUR POIN MA T D'E CH XÉ INE CU PO VIR TION INT TUE D ' SUR EX LLE HY ÉCUT PER IO N VIS EUR
Modèle réseau d'accès – Ordinateurs de bureau virtuellement hébergés Figure A-I
PER
ÉS 0 EA 0 U 4
R
D
P
D C A EN TA TE R
P R C O LI TO EN C T/ O SE LE R S V EU
R
HY
R
RÉ 00 SEAU 2
ÉS 0 EA 0 U 3
R
RÉ 00 SEAU 1
Protections Les contrôles de sécurité suivants sont typiques du modèle réseau d'accès : Contrôle des accès entrants
Le pare-feu sur hôte limite l'accès aux postes de travail depuis l'extérieur et autorise les programmes identifiés à accéder aux serveurs et aux services appropriés. Les ports d'E/S des postes (les ports USB par exemple) peuvent bloquer les appareils non autorisés et les supports amovibles. Contrôle des accès sortants
Le pare-feu n'autorise que les interactions sortantes en fonction de l'identité des processus, de l'identité des serveurs et des requêtes, et peut détecter si un hôte est compromis. Dans les modèles VDI, les postes de travail utilisateur ne peuvent utiliser que le protocole RDP pour accéder à la VDI. La VDI peut accéder aux services autorisés et bloquer les attaques latérales depuis l'intérieur du cloud. Prévention des menaces pré-infection
Analyse des interactions entrantes pour détection des logiciels malveillants et des exploitations de vulnérabilités. 064
VIS
EUR
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Prévention des menaces post-infection
Le logiciel sur hôte recherche les logiciels malveillants dans les postes de travail. Des contrôles de confinement sont activés en cas de découverte d'une infection. Protection des données
Le chiffrement des disques protège les données contre les menaces d'accès physique. Les supports amovibles sont chiffrés pour empêcher l'accès non autorisé aux données à l'extérieur de l'entreprise. Les transferts de données sur supports amovibles non chiffrés sont bloqués. Le chiffrement de documents fournit un contrôle d'accès précis aux documents. Dans les modèles d'accès réseau virtuellement dédiés, des canaux de confiance VPN sont établis avec les segments des serveurs départementaux.
Modèle accès Internet Un segment d'accès Internet est constitué d'éléments réseau qui prennent en charge les interactions sortantes depuis un site d'entreprise vers des entités externes via Internet. Notez que toutes les interactions entrantes devraient être traitées par un segment de partage contrôlé (DMZ) (voir la section suivante).
Modèle accès Internet Figure A-J
Siège
Serveurs Réseau d'accès WAN Accès Internet
Segmentation Un segment d'accès Internet ne dispose généralement pas d'une structure interne importante. Les éléments suivants s'appliquent à ce modèle : Le profil de sécurité d'un segment d'accès Internet est équivalent à celui d'Internet. En d'autres termes, des contrôles stricts devraient être placés sur toutes les interactions avec ce segment. Les interactions sortantes sont initiées par des clients dans l'entreprise. Une fois initiées, ces interactions permettent des flux de données bidirectionnels. Les contrôles devraient être choisis de manière à empêcher les utilisateurs d'interagir avec des entités malveillantes connues ou suspectes et protéger les actifs internes des attaques sur ce vecteur. 065
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Une attention particulière devrait être accordée à la résolution de nom de domaine (DNS) puisque des réponses DNS malveillantes peuvent amener des actifs internes à interagir avec des entités malveillantes sur Internet ou initier des interactions de commande et de contrôle avec des hôtes internes compromis. Des tunnels DNS sont souvent utilisés pour contourner les contrôles d'accès. Les réseaux wifi invités sont souvent connectés au segment d'accès Internet pour permettre à des invités de se connecter à Internet, sans leur donner accès aux actifs internes. Selon la politique de sécurité de l'entreprise, la mise en place d'un point d'exécution entre les invités et Internet peut être envisagée pour la protection des actifs des invités et la mise en application de la politique de sécurité. Tout serveur proxy utilisé pour la mise en cache ou d'autres fonctions devrait être placé dans une DMZ, pour protéger le réseau interne des attaques potentielles provenant d'Internet sur le serveur proxy lui-même et fournir un point d'exécution supervisant les interactions réseau transmises par l'utilisateur avant agrégation par le proxy. Protections Les contrôles de sécurité suivants sont typiques du modèle accès Internet : Contrôle des accès entrants
Le pare-feu bloque les attaques provenant d'Internet. La prévention d'intrusions veille à la conformité des protocoles et des données. Contrôle des accès sortants
Le pare-feu supervise les interactions sortantes autorisées. Le contrôle des applications empêche l'accès aux applications et aux sites malveillants connus ou provoquant des fuites de données. La traduction d'adresse réseau (NAT) permet de masquer des informations. Prévention des menaces pré-infection
La prévention d'intrusions empêche l'exploitation des vulnérabilités connues des applications. L'antimalwares bloque l'exploitation des vulnérabilités des applications manipulant des données. L'émulation des menaces est utilisée pour émuler le comportement des applications afin d'identifier et de bloquer les contenus malveillants actifs. La protection contre les attaques de déni de service bloque les tentatives de surcharge des ressources système. Prévention des menaces post-infection
Les interactions avec les serveurs de commande et de contrôle des bots sont bloquées. Protection des données
La prévention des pertes de données bloque les fuites de données confidentielles vers l'extérieur de l'entreprise.
066
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Modèle partage contrôlé (DMZ) Le modèle DMZ (zone démilitarisée) est utilisé pour le partage contrôlé entre deux segments ayant des profils de sécurité nettement différents. Ce modèle est appliqué lorsque les utilisateurs d'Internet ou d'un extranet ont besoin d'un accès contrôlé à des ressources internes. Le modèle DMZ peut également être utilisé pour partager des actifs très confidentiels au sein de l'entreprise.
Datacenter
Modèle DMZ Figure A-K
Serveurs WAN
NOC/ SOC
DMZ Accès Internet
Segmentation L'hypothèse sous-jacente d'un segment DMZ est que les agresseurs d'un segment connecté ont l'intention de compromettre l'intégrité de ses éléments internes afin d'accéder à l'autre segment connecté. Pour cette raison, les hôtes en DMZ sont souvent appelés hôtes « bastion » car ils nécessitent des défenses extrêmement solides pour résister à de telles attaques. Les passerelles de sécurité pour DMZ jouent un double rôle de protection contre les attaques et de détection des flux d'information anormaux à l'intérieur de la DMZ. Ces derniers peuvent signifier qu'un bastion est compromis. Le modèle de segmentation d'un segment DMZ est le suivant :
Modèle de segmentation DMZ Figure A-L
Zone démilitarisée (DMZ) 3
2
Externe (ou segment B) 1
067
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Les points de contrôle du segment DMZ comprennent : 1. Des points d'exécution pour les interactions entre la DMZ et le monde extérieur (ou segment B). 2. Des points d'exécution pour les interactions entre la DMZ et le réseau interne. 3. Des points d'exécution responsables de la protection des hôtes bastion. En règle générale, plusieurs types d'interactions sont nécessaires pour traverser la DMZ. Par exemple, une DMZ côté Internet peut être requise pour les applications suivantes : Des employés sur le réseau interne accèdent à des ressources web sur Internet. La DMZ héberge un serveur proxy et un relais DNS qui fournit les noms de domaine Internet aux utilisateurs internes. Des clients sur Internet accèdent à une application et un frontal web qui extrait des informations d'une base de données située dans le réseau interne. La DMZ héberge les serveurs web et les serveurs applicatifs, ainsi qu'un relais DNS qui résout les noms de domaine web frontaux pour les internautes.
Proxy web
Application web
Navigation web pour les utilisateurs internes
Application frontale
Actifs
Aucun
Données clients
Accès
Tous les utilisateurs internes
Clients authentifiés
Simple serveur de proxy protégé par des contrôle de sécurité de segment DMZ
Application complexe protégée par des contrôles applicatifs et des contrôles de DMZ
Objectifs métiers
Garanties
Le tableau suivant décrit les caractéristiques des profils de sécurité de ces deux applications : Les deux profils de sécurité diffèrent nettement. Par exemple, un utilisateur autorisé à accéder au proxy web n'est pas nécessairement autorisé à accéder aux données des clients. Cela implique que la DMZ devrait placer chaque application dans un segment protégé séparément, de manière à ce qu'un proxy web compromis n'ait pas d'impact sur la confidentialité des données client. Inversement, une application web compromise ne devrait pas permettre à un agresseur de contrôler le trafic web sortant.
Modèle de segmentation DMZ 2 Figure A-M Externe (ou segment B)
068
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Cette segmentation de la DMZ offre également une protection plus robuste en cas d'attaques de déni de service sur la DMZ. Des contrôles de séparation ou de qualité de service devraient être utilisés pour assurer que les accès sortants ne soient pas pénalisés par des attaques de saturation menées contre les serveurs situés dans la DMZ. Par exemple, des liens distincts avec le FAI peuvent être utilisés pour les flux réseau entrants et sortants. Des serveurs DNS différents devraient être utilisés pour la résolution entrante et sortante de noms de domaine. Les serveurs entrants ne devraient résoudre que les adresses accessibles à des entités externes. Protections Les contrôles de sécurité suivants sont typiques du modèle DMZ : Contrôle des accès entrants
Le pare-feu supervise les interactions entrantes autorisées tout en bloquant les attaques provenant d'Internet (Figure A-L, marqueur 1) et du réseau interne (Figure A-L, marqueur 2). La prévention d'intrusions veille à la conformité des protocoles et des données. Contrôle des accès sortants
Le pare-feu supervise les accès autorisés de la DMZ vers les serveurs et les services internes. Prévention des menaces pré-infection
La prévention d'intrusions empêche l'exploitation des vulnérabilités connues des applications. Prévention des menaces post-infection
Les bastions compromis sont confinés. Les interactions avec les serveurs de commande et de contrôle des bots sont bloquées.
Modèle mobile Les utilisateurs peuvent avoir besoin d'accéder aux systèmes d'information de l'entreprise lorsqu'ils sont à l'extérieur de ses locaux. L'accès peut se faire via des ordinateurs portables, des appareils mobiles (smartphones et tablettes par exemple) ou des ordinateurs personnels qui ne sont pas contrôlés par l'entreprise (ordinateurs à domicile ou dans des kiosques Internet par exemple). Ces appareils posent des défis uniques en matière de sécurité. Tous les appareils mobiles sont susceptibles d'être dérobés ou utilisés à l'insu de leur propriétaire. Bien que certaines entreprises distribuent des smartphones et des tablettes managés à leurs employés, la tendance la plus populaire de nos jours est de laisser les employés utiliser leurs appareils mobiles personnels pour accéder aux ressources de l'entreprise (BYOD). Dans ce scénario, l'entreprise n'a qu'un contrôle limité. En se connectant à des réseaux publics, les appareils mobiles sont plus susceptibles d'être exposés à des logiciels malveillants que les postes de travail situés à l'intérieur d'un réseau d'entreprise. Une autre problématique des appareils mobiles est la diversité des plates-formes et des systèmes d'exploitation. Cette diversité complexifie le développement de points d'exécution génériques pouvant intégrer tous les types de protection pour appareils mobiles, sachant que certaines de ces plates-formes ont des capacités de traitement et de stockage limitées.
069
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Segmentation Les appareils mobiles sont considérés comme étant des segments atomiques et doivent être protégés par un logiciel sur appareil. Ils se connectent via un canal de confiance à un serveur d'accès mobile hébergé sur un segment DMZ dans un site managé (voir la Figure A-N) ou dans un cloud public (voir la Figure A-O). Le serveur d'accès mobile gère l'accès des appareils mobiles aux actifs de l'entreprise. Il supervise également l'accès des appareils mobiles à Internet, en leur fournissant une protection multicouche.
Modèle mobile Figure A-N
Datacenter Appareil CANAL DE CONFIANCE mobile
Accès Internet
DMZ
Actifs de l'entreprise
INTERNET
Serveur d'accès mobile
Au minimum, des contrôles de protection des données doivent être implémentés sur les appareils. Ce modèle permet de décharger le contrôle d'accès réseau et les protections de prévention des menaces, ainsi que le stockage des événements de sécurité, sur le serveur d'accès mobile ou les points d'exécution dans le cloud (voir la Section Déchargement du traitement de la sécurité dans le cloud), pour réduire la dépendance aux capacités des appareils.
Modèle mobile/cloud Figure A-O
Appareil mobile INTERNET
CLOUD
070
Actifs de l'entreprise
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Protections Les protections suivantes sont typiques du modèle mobile : Contrôle des accès entrants
Le pare-feu limite le trafic réseau autorisé sur les appareils mobiles à des interactions sortantes acheminées via le serveur d'accès mobile. L'authentification multifacteur des utilisateurs est utilisée avant de leur accorder l'accès aux ressources de l'entreprise. Contrôle des accès sortants
Le pare-feu supervise les interactions sortantes autorisées. Le contrôle des applications empêche l'accès aux applications et aux sites malveillants connus ou provoquant des fuites de données. La traduction d'adresse réseau (NAT) permet de masquer des informations. Prévention des menaces pré-infection
La prévention d'intrusions empêche l'exploitation des vulnérabilités connues des applications mobiles. L'antimalwares bloque l'exploitation des vulnérabilités des applications manipulant des données. L'utilisation d'un bac à sable dans le cloud émule le comportement des applications afin d'identifier et de bloquer les contenus malveillants actifs. Prévention des menaces post-infection
Les appareils mobiles sont analysés à la recherche de logiciels malveillants. Le serveur d'accès mobile détecte les tentatives de connexion aux serveurs de commande et de contrôle des bots. Des politiques de confinement sont appliquées si les appareils mobiles sont compromis. Protection des données
Le VPN établit des canaux de confiance entre les appareils mobiles et le serveur d'accès mobile. Les données d'entreprise stockées ou mises en cache dans les appareils sont chiffrées. Les données restant dans les appareils mobiles sont supprimées à la fin de la session des utilisateurs avec le serveur d'accès mobile.
Modèle infrastructure réseau L'infrastructure réseau comporte des composants matériels et logiciels complexes qui exécutent des applications de transmission du trafic réseau pour les communications d'hôte à hôte. Ces composants sont gérés et contrôlés par des applications d'administration réseau. La protection de l'infrastructure réseau devrait reposer sur les principes suivants : Chaque élément réseau est considéré comme étant un segment atomique dans le modèle de segmentation du réseau, responsable de sa propre protection contre les agressions extérieures. La politique de sécurité générique devant être mise en application par les éléments réseau comporte : 071
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
1. Une séparation physique des niveaux de contrôle et de données : les ports utilisés pour la
transmission du trafic ne sont pas utilisés pour le contrôle et la supervision de l'information, et vice-versa. Les ports du niveau de contrôle sont connectés à un réseau d'administration implémenté à l'aide d'une séparation réseau ou virtuelle (un VPN par exemple) du réseau de production. 2. Des mécanismes d'authentification et d'autorisation de connexion depuis le niveau de contrôle. 3. Une transmission des journaux de sécurité à un système de supervision dans le niveau de contrôle. L'infrastructure réseau devrait être segmentée pour éviter que les éléments réseau ne soient compromis, ce qui est particulièrement vrai pour les éléments réseau de virtualisation (voir LAN virtuels et Réseaux définis par logiciel (SDN)). Par exemple, des segments de sécurité devraient posséder des commutateurs physiques indépendants qui ne sont pas partagés avec d'autres segments présentant une différence importante de profil de sécurité. Les applications d'administration réseau devraient être regroupées en segments protégés à l'aide des contrôles de périmètre des autres segments. Utilisez des contrôles de périmètre de segments serveurs et réseau d'accès pour appliquer une politique de moindre privilège au trafic réseau circulant dans l'infrastructure réseau connectant les segments. Par exemple, les postes de travail des utilisateurs ne devraient pas être en mesure contourner un commutateur réseau ni l'altérer. L'injection d'itinéraires non autorisés devrait être bloquée au périmètre des segments.
Modèle infrastructure réseau Figure A-P
Contrôle
Données
Applications d'administration réseau
Passerelle de sécurité
072
Commutateur
Routeur
SCHÉMA DE SÉCURITÉ ENTREPRISE
A
ANNEXE
Il s'agit d'une pratique recommandée permettant de créer un segment protégé indépendant, afin que le centre d'exploitation réseau (NOC) garantisse la continuité des activités, même en cas d'attaque, notamment par l'utilisation de réseaux séparés ou de contrôles de qualité de service allouant une bande passante minimale aux contrôles de supervision de la sécurité.
Modèle centre d'exploitation de la sécurité (SOC) La journalisation des événements est une exigence clé pour tous les points d'exécution. Les événements journalisés devraient être regroupés dans des référentiels centralisés permettant le stockage et l'analyse des événements. Afin de réduire les besoins en bande passante, cette implémentation est souvent effectuée dans des réseaux s'étendant sur plusieurs sites en stockant localement les journaux. Une infrastructure de gestion des événements unifiée qui intègre à la fois les événements relatifs au réseau et aux hôtes permet une analyse profonde des attaques multivectorielles. Les mécanismes de réponse manuelle et automatisée aux événements nécessitent des possibilités d'administration centralisée capable d'ajuster les contrôles de sécurité en temps réel pour bloquer les attaques et confiner les hôtes compromis. Les contrôles sont également mis à jour dans l'environnement de production pour s'adapter aux changements du réseau, des hôtes, des applications, des données et des menace (applications à haut risque, sources d'attaque, logiciels malveillants connus et vulnérabilités des applications, par exemple). Similaires aux applications d'administration réseau, les serveurs de journalisation et d'administration de la sécurité devraient être protégés dans des segments réseau dédiés pour bloquer les attaques menées contre l'infrastructure de sécurité. Des canaux sécurisés devraient être utilisés pour empêcher l'altération des données de sécurité transitant par le réseau (par exemple la diffusion des règles de sécurité aux points d'exécution et la collecte des journaux). Des canaux de confiance devraient être également utilisés pour bloquer les tentatives d'usurpation des hôtes d'administration de la sécurité. Protections Les protections suivantes sont typiques du modèle SOC : Contrôle des accès entrants
Le pare-feu limite étroitement les interactions entrant et sortant du SOC, empêchant ainsi tout accès non autorisé aux serveurs et aux services d'administration réseau et n'autorisant que les protocoles de contrôle authentifiés. La prévention d'intrusions veille à la conformité des protocoles des interactions autorisées. Prévention des menaces entrantes
L'injection d'itinéraires et les accès non autorisés à des services d'infrastructure réseau sont bloqués. La prévention d'intrusions empêche l'exploitation des vulnérabilités connues des applications d'administration. Protection des données
Le VPN fournit des canaux de confiance pour l'administration séparée des éléments réseau. 073
Siège mondial 5 Ha'Solelim Street, Tel Aviv 67897, Israël Tél. : +972 3 753 4555 | Fax : +972 3 624 1100 | Email :
[email protected] Siège français 1 place Victor Hugo, Les Renardières, 92400 Courbevoie Tél. : +33 (0)1 55 49 12 00 | Email :
[email protected] | www.checkpoint.com
