Segmentation réseau et micro-segmentation
Définition
La segmentation réseau consiste à diviser un réseau en segments logiques ou physiques distincts pour contrôler le trafic, améliorer les performances et renforcer la sécurité. La micro-segmentation pousse ce principe à l'extrême en isolant chaque charge de travail ou groupe d'hôtes avec des politiques de sécurité granulaires.
Contexte
La certification CCST couvre les méthodes de segmentation car elles sont essentielles à la conception d'un réseau d'entreprise sécurisé et performant. La segmentation réduit la surface d'attaque et limite la propagation des menaces latérales (lateral movement).
Détails techniques
Niveaux de segmentation
| Niveau | Méthode | Granularité |
|---|---|---|
| Physique | Switches/routeurs séparés | Par bâtiment, étage |
| Logique (VLAN) | VLANs sur un même switch | Par département, fonction |
| Sous-réseau | Sous-réseaux IP distincts | Par plage d'adresses |
| Pare-feu / ACL | Filtrage entre segments | Par règle de trafic |
| Micro-segmentation | Politiques par workload (SDN, NSX) | Par VM, conteneur, application |
Segmentation par VLAN
Le mécanisme le plus courant en entreprise utilise les VLANs :
- Chaque VLAN forme un domaine de broadcast séparé
- Le trafic entre VLANs doit passer par un routeur ou un switch L3
- Les ACLs sur le routeur inter-VLAN contrôlent quel trafic est autorisé
Switch(config)# vlan 10
Switch(config-vlan)# name COMPTABILITE
Switch(config)# vlan 20
Switch(config-vlan)# name PRODUCTION
Avantages de la segmentation
| Avantage | Explication |
|---|---|
| Sécurité | Limite le mouvement latéral d'un attaquant |
| Performance | Réduit les domaines de broadcast → moins de trafic parasite |
| Conformité | Isole les données sensibles (PCI-DSS, RGPD) |
| Gestion | Facilite l'application de politiques par groupe |
Micro-segmentation
La micro-segmentation va au-delà des VLANs en appliquant des règles de filtrage entre chaque workload :
| Technologie | Implémentation |
|---|---|
| VMware NSX | Pare-feu distribué au niveau hyperviseur |
| Cisco ACI | Contrats EPG (Endpoint Group) |
| Cloud (AWS SG) | Security Groups par instance |
Contrairement à la segmentation traditionnelle (périmétrique), la micro-segmentation adopte une approche Zero Trust : chaque flux est explicitement autorisé ou refusé, même au sein d'un même segment.
Exemple concret
Un hôpital segmente son réseau en 4 VLANs : administration (VLAN 10), médical (VLAN 20), IoT médicaux (VLAN 30), invités (VLAN 40). Des ACLs sur le switch L3 interdisent au VLAN invités d'accéder aux VLANs médicaux. Les équipements IoT VLAN 30 ne peuvent communiquer qu'avec le serveur de monitoring en VLAN 20. Cette segmentation protège les données patient et isole les appareils IoT vulnérables.