En matière de sécurité réseau, la plupart des gens pensent à l'évidence. Cela inclut généralement les pare-feu, les systèmes de détection et de prévention des intrusions et la gestion des identités et des accès. Bien que ces composants et pratiques soient utiles, ils doivent être considérés comme une sécurité de base. Au-delà de cela, il y a beaucoup de choses auxquelles la plupart des gens ne pensent pas et qui peuvent augmenter considérablement le niveau de sécurité sur un réseau.
La mise en œuvre de la microsegmentation est un moyen de faire passer la sécurité du réseau au niveau supérieur. La microsegmentation consiste essentiellement à maintenir les systèmes séparés les uns des autres et à filtrer le trafic entre eux pour s'assurer qu'ils sont sécurisés et isolés les uns des autres. Cela vous permet de contrôler et de façonner ce qui se passe dans le réseau, en évitant qu'une violation ou une attaque qui se produit dans un système n'affecte d'autres systèmes.
Le contrôle d'admission est l'un des avantages de la microsegmentation. Lorsqu'une personne a un accès physique au réseau, il est facile pour cette personne de se connecter au système et de le désactiver. En utilisant l'authentification 802.1X pour contrôler l'accès à l'adresse MAC (Media Access Control) du système, qui est l'adresse matérielle de la carte Ethernet, vous pouvez empêcher les utilisateurs non autorisés de se connecter au système.
La segmentation des utilisateurs est une autre stratégie pour ajouter une couche de sécurité aux réseaux. Avec la commutation réseau, vous pouvez créer quelque chose appelé un LAN virtuel, ou VLAN, qui est essentiellement un commutateur virtuel à l'intérieur du commutateur réseau. En créant des VLAN, vous pouvez isoler les utilisateurs qui n'ont pas besoin de se parler.
Par exemple, les VLAN vous permettent de créer un réseau spécifiquement pour l'équipe RH, un autre pour l'équipe comptable et un autre pour les administrateurs système, le tout sur le même système. Pour sortir de leur VLAN dédié, les utilisateurs doivent passer par un routeur. Une fois qu'un routeur est impliqué, vous pouvez utiliser des listes de contrôle d'accès et d'autres filtrages de sécurité. Les VLAN vous permettent de microsegmenter vos systèmes dans le but de vous assurer qu'un système ne peut pas se connecter à un autre système.
Pour implémenter encore plus de contrôle, des VLAN privés peuvent être configurés. Alors que les VLAN maintiennent les réseaux séparés, chaque VLAN peut avoir un certain nombre de serveurs. S'il y a 15 serveurs connectés à un VLAN, tous ces serveurs peuvent communiquer entre eux. Si l'on attrape un ver ou un virus, les autres serveurs du VLAN peuvent être infectés. L'établissement d'un VLAN privé empêche ces serveurs de communiquer, empêchant ainsi l'attaque de se propager.
Le déplacement de la pile TCP IP vers le niveau IP offre d'autres possibilités d'augmenter la sécurité du réseau. Par exemple, en créant une liste de contrôle d'accès comme une règle de pare-feu, qui examinera l'adresse source, l'adresse de destination, le protocole et le numéro de port, vous pouvez créer des filtres qui limitent le trafic pouvant se déplacer entre les sous-réseaux. L'ajout de cette liste de contrôle au routeur empêche les utilisateurs qui se trouvent sur différents sous-réseaux d'avoir un accès illimité au réseau.
La limitation de débit est un autre outil de sécurité qui peut être mis en œuvre à ce niveau. Imaginez, par exemple, que vous avez un système avec un réseau de 100 Go qui est infecté par un ver. Ce ver pourrait littéralement vomir 100 Go de trafic réseau sur le réseau, ce qui pourrait faire des ravages et provoquer le plantage du système. La limitation de débit empêche le trafic de dépasser un montant prédéfini. Dans l'exemple du ver, l'augmentation du trafic violerait les normes du réseau et serait abandonnée, évitant ainsi une crise et un crash coûteux.
Enfin, la qualité de service (QoS) ou la hiérarchisation du trafic peuvent être utilisées pour renforcer la sécurité sur un réseau. Si un système est piraté ou contient un ver ou un virus, l'attaque pourrait théoriquement submerger le réseau de trafic et désactiver les fonctions réseau critiques. Cela peut être évité côté réseau en activant la QoS, parfois appelée mécanisme de mise en file d'attente, pour donner la priorité à un type de trafic par rapport à un autre. Par exemple, il peut garantir que la disponibilité du réseau est prioritaire pour le trafic voix et certains trafics d'applications critiques tout en dépriorisant tout le reste. Essentiellement, QoS vainc le ver en s'assurant que le trafic critique continue de passer.
Lorsqu'il s'agit d'attaques de réseau, les entreprises doivent se demander : « Quand cela arrivera-t-il ? plutôt que "Est-ce que ça va arriver?" Les statistiques pour 2021 montrent qu'une entreprise est victime d'une cyberattaque toutes les 39 secondes. Repousser les attaques et limiter leurs dégâts exige plus qu'une sécurité de base. L'application de mesures de protection auxquelles la plupart des entreprises ne pensent pas pourrait être l'étape qui assurera la sécurité de votre entreprise.