Ajout de sécurité Zero Trust par microsegmentation aux sites

Vue d'ensemble

La microsegmentation (segmentation au niveau de l'hôte) sécurise le trafic au sein du même domaine de diffusion (par exemple, un VLAN) en ajoutant un contrôle d'accès pour le mouvement latéral entre les hôtes. Les pare-feux de réseau traditionnels fonctionnent souvent au niveau 3, où ils n'inspectent pas toujours ou ne bloquent pas le trafic intra-VLAN (niveau 2).

Lorsque vous activez la microsegmentation pour un site Socket dans Cato, le masque de sous-réseau de la plage est divisé en plusieurs adresses /32. Tout le trafic d'hôte à hôte dans ce VLAN est forcé d'être envoyé à la passerelle par défaut (Socket), où le moteur de pare-feu Cato évalue le trafic avant qu'il n'atteigne l'hôte de destination. Cela force le trafic "est-ouest" entre les hôtes partageant un VLAN à passer par le pare-feu pour inspection et application des politiques.

Nous recommandons d'utiliser le Socket Next Gen LAN Firewall pour la microsegmentation afin de fournir la Sécurité optimale sur site pour les Appareils.

Pourquoi vous en avez besoin

  • Réduisez le risque en empêchant le trafic non autorisé entre les hôtes dans le même LAN

  • Obtenez de la visibilité sur le trafic de couche 2 pour que toutes les communications hôte-à-hôte soient soumises à vos politiques de zero-trust

  • Simplifiez la segmentation - au lieu de créer de nombreux VLANs, vous pouvez appliquer des règles politiques au niveau de l'hôte

Microsegmentation et configuration DHCP

La microsegmentation repose sur DHCP pour assurer l'isolement au niveau de l'hôte en assignant à chaque appareil une adresse /32 et en forçant tout le trafic est-ouest à passer par le Socket pour l'évaluation de la politique. Vous pouvez activer la microsegmentation en utilisant soit Cato comme serveur DHCP, soit un serveur DHCP tiers intégré via le relais DHCP de Cato.

Voici les descriptions des options de configuration DHCP pour la microsegmentation :

  • Cato comme serveur DHCP - Cato assigne des adresses IP directement aux hôtes dans la plage réseau. Lorsque la microsegmentation est activée, Cato applique automatiquement l'adressage /32 à chaque allocation DHCP et impose l'inspection est-ouest par le Socket.

  • Serveur DHCP tiers utilisant le relais DHCP - Active la microsegmentation pour les plages réseau utilisant un serveur DHCP externe, avec Cato configuré comme relais DHCP. Dans cette configuration, le serveur externe assigne l'adresse IP et Cato applique de manière transparente le même routage d'hôte /32 et l'inspection du trafic est-ouest comme avec un DHCP géré par Cato. Cela vous permet d'appliquer la segmentation à confiance zéro sans modifier votre infrastructure DHCP existante.

Remarque

Remarque : La prise en charge de la microsegmentation pour le relais DHCP nécessite un site physique de Socket exécutant la version 24.0.21570 ou supérieure.

Prérequis

  • Sockets physiques avec Socket v22.x ou supérieur

  • Pris en charge pour la plage native et les plages réseau VLAN

  • Basé sur vos exigences de sécurité, configurez la politique de pare-feu LAN ou WAN pour autoriser le trafic pertinent pour les appareils couverts par la microsegmentation

OS vérifié pour la microsegmentation

Les systèmes d'exploitation suivants sont vérifiés par Cato pour supporter la microsegmentation. Avant d'appliquer la microsegmentation pour des appareils utilisant un autre système d'exploitation, nous vous recommandons de vérifier que le système fonctionne correctement dans votre environnement.

  • Android Samsung Galaxy A24 SM-A245F/DSN

  • Client DHCP BusyBox (basé sur Linux 18.04.6 LTS Ubuntu Debian OS)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • Imprimante HP LaserJet Pro MFP M428fdn

  • Imprimante Brother Modèle MFC-L2700DW

  • Windows 11

  • Windows 10 ESX VM : Windows 10 Enterprise, 22H2 19045.5608 (système d'exploitation 64 bits, processeur x64)

  • Windows Server 2022 ESX VM Datacenter, AMD EPYC 7413 24-Core Processor 2.65 GHz (système d'exploitation 64 bits, processeur x64)

  • Windows Server 2019 ESX VM standard AMD EPYC 7413 24-Core Processor 2.65 GHz (système d'exploitation 64 bits, processeur x64)

  • Téléphone IP Yealink SIP-T23G & SIP-T40G

Recommandations pour le déploiement de la microsegmentation

Le déploiement de la microsegmentation peut potentiellement perturber le trafic légitime pendant que vous assurez une application précise des politiques de sécurité qui limitent le mouvement latéral au sein du réseau. Suivez ces recommandations pour déployer avec succès la microsegmentation dans votre réseau.

  1. Activez progressivement la microsegmentation dans votre compte, en commençant par une seule plage.

  2. Puisque la microsegmentation ne prend effet qu'après la fin de la durée du bail DHCP actuel, et que les appareils demandent une nouvelle adresse IP DHCP, vous devez :

    1. Remplacez les paramètres du compte pour la durée du bail DHCP et réduisez la durée du bail DHCP pour la plage réseau, la valeur minimale étant de 1 minute.

    2. Lorsque vous activez la microsegmentation pour l'ensemble du compte, réduisez temporairement la durée du bail DHCP au niveau du compte. Après avoir confirmé que la microsegmentation fonctionne correctement, vous pouvez revenir aux paramètres précédents pour la durée du bail DHCP.

      Remarque : La durée par défaut du bail DHCP est de 72 heures (3 jours).

  3. Surveillez l'impact sur les appareils de la plage réseau :

    1. Vérifiez que les appareils peuvent communiquer avec les entités autorisées de votre compte en fonction de la politique de pare-feu.

    2. Vérifiez que les appareils ont une connectivité complète aux ressources Internet.

      La microsegmentation est destinée au trafic intra-VLAN est-ouest, et il ne devrait y avoir aucun impact sur le trafic Internet

  4. Évitez le routage asymétrique pour garantir que le trafic intra-VLAN est routé via le Socket de manière symétrique. Nous recommandons que les appareils protégés par la microsegmentation utilisent Cato comme serveur DHCP.

    Par exemple, une imprimante avec une IP statique qui n'est pas configurée avec le masque de sous-réseau assigné Cato /32 ne pourra pas communiquer avec d'autres appareils derrière le site.

Activation de la microsegmentation pour une plage réseau

Configurez les nouvelles plages de réseau ou les plages existantes pour la microsegmentation. Cette configuration impose une affectation automatique du masque de sous-réseau /32 pour chaque hôte du site. Ensuite, examinez la politique de pare-feu LAN ou WAN Socket pour confirmer que le trafic segmenté est autorisé.

DHCP_Microsegmentation.png

Pour activer la microsegmentation pour une plage réseau derrière un site :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Configuration du Site > Réseaux.

  3. Cliquez sur Nouveau, ou dans la colonne Paramètres DHCP, cliquez sur la plage de réseau.

    Le panneau Plage d'adresses IP s'ouvre.

  4. Définissez le Type réseau sur la plage prise en charge.

  5. Entrez les autres paramètres de plage réseau, tels que : VLAN, Sous-réseau, etc...

  6. Définir la configuration DHCP :

    • Pour utiliser Cato comme serveur DHCP :

      • Définissez Type de DHCP sur Plage DHCP et entrez la plage d'adresses IP pour les hôtes dans cette Plage DHCP.

    • Pour configurer un serveur DHCP tiers en utilisant le relais DHCP :

      1. Définir Type de DHCP sur Relais DHCP.

      2. Dans Groupe de relais DHCP, sélectionnez le groupe de relais DHCP pour ce réseau.

        Pour plus d'informations sur les groupes de relais DHCP et la configuration de Cato comme relais DHCP, voir Configurer Cato comme Relais DHCP.

  7. Sélectionnez Microsegmentation basée sur DHCP.

  8. Cliquez sur Appliquer, puis cliquez sur Enregistrer.

Recommandations pour annuler la microsegmentation

Si vous devez revenir en arrière et annuler la microsegmentation déployée dans votre réseau, suivez ces recommandations pour minimiser l'impact sur votre réseau.

  1. Désactivez progressivement la microsegmentation dans votre compte, en commençant par une seule plage.

  2. Comme la désactivation de la microsegmentation ne prend effet qu'après la fin de la durée du bail DHCP actuel, et que les appareils demandent une nouvelle adresse IP DHCP, vous devez :

    1. Remplacez les paramètres du compte pour la durée du bail DHCP et réduisez la durée du bail DHCP pour la plage réseau, la valeur minimale étant de 1 minute.

    2. Lorsque vous désactivez la microsegmentation pour l'ensemble du compte, réduisez temporairement la durée du bail DHCP au niveau du compte. Après avoir confirmé que la microsegmentation fonctionne correctement, vous pouvez revenir aux paramètres précédents pour la durée du bail DHCP.

      Remarque : La durée par défaut du bail DHCP est de 72 heures (3 jours).

Limitations connues

  • Pour les systèmes basés sur Linux, l'activation de la micro-segmentation ne crée pas d'entrée de route pour la passerelle par défaut lorsqu'il y a déjà deux routes par défaut connectées à deux routeurs.

    Pour plus d'informations sur une solution de contournement, consultez cet article.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire