Micro-segmentation basée sur le SDN pour les réseaux OT
Technologie opérationnelle (OT)
L'intégration de l'IoT industriel et de l'intelligence de l'industrie 4.0 implique la convergence des technologies de l'information (IT) et des technologies opérationnelles (OT) pour relier les flux d'informations de l'entreprise et de l'industrie. Par conséquent, les réseaux OT sont souvent connectés aux réseaux informatiques, ce qui les rend vulnérables aux cyberattaques. Une faille de sécurité dans un réseau OT peut entraîner des dommages physiques, des arrêts de production et des pertes financières. Dans ce blog, nous discuterons de l'importance de la sécurité dans les réseaux OT et expliquerons pourquoi la micro-segmentation est un moyen idéal de sécuriser ces réseaux.
Les réseaux OT sont couramment utilisés pour contrôler et surveiller les processus physiques dans les secteurs de la fabrication, des transports et de l'énergie. Les cyber-attaques sur les réseaux OT peuvent avoir les conséquences suivantes :
- Dommages physiques aux équipements qui entraînent des réparations coûteuses et des arrêts de production.
- Perturbation des processus contrôlés par les réseaux OT, entraînant des retards et des arrêts de production.
- Risques pour la sécurité des employés et du public.
Qu'est-ce que la segmentation du réseau ?
La segmentation peut atténuer ces menaces en isolant les systèmes critiques des autres parties du réseau. Il s'agit d'une approche de la sécurité des réseaux qui permet aux organisations de créer des zones sécurisées au sein de leurs réseaux afin de protéger les données et les applications sensibles. La micro-segmentation divise le réseau en sections plus petites, les isole et applique des politiques de communication strictes entre les appareils. Cette approche empêche les attaquants de se déplacer latéralement au sein du réseau, ce qui limite les dégâts en cas d'intrusion.
Avantages de la micro-segmentation
La micro-segmentation améliore la posture de sécurité du réseau OT en fournissant une couche de sécurité supplémentaire pour se protéger contre les attaques. Elle permet aux administrateurs de réseau de mettre en œuvre des contrôles d'accès granulaires et de restreindre l'accès à des zones spécifiques du réseau.
La micro-segmentation réduit également la surface d'attaque en limitant le nombre de points d'accès au réseau pour les attaquants. En isolant les applications et les données au sein de segments individuels, même si un segment est violé, le reste du réseau reste sécurisé, protégeant ainsi les actifs critiques des cybermenaces. L'extension de la micro-segmentation de l'infrastructure du réseau au point d'extrémité est la meilleure approche pour contenir le mouvement latéral du pirate.
Les normes de conformité telles que la protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) exigent la mise en œuvre de mesures de sécurité telles que la segmentation. La micro-segmentation aide les organisations à se conformer à ces exigences.
La détection et la réponse aux incidents de sécurité sont facilitées par la micro-segmentation en raison de la meilleure visibilité du trafic réseau. En cas d'attaque, la micro-segmentation permet une détection plus rapide car la menace a beaucoup plus de frontières de sécurité à franchir, ce qui ralentit la propagation de l'attaque.
La sécurité par micro-segmentation offre également une certaine souplesse dans la gestion des réseaux OT en permettant aux administrateurs de réseau de gérer les politiques de sécurité de manière centralisée et d'apporter rapidement des modifications pour s'adapter à l'évolution des conditions du réseau.
Cependant, la micro-segmentation ajoute des frais généraux importants à l'administration du réseau et, au fur et à mesure que les réseaux sont mis à jour et étendus, la sécurité d'une stratégie de micro-segmentation administrée manuellement se détériorera inévitablement.
Réseaux définis par logiciel (SDN)
Le réseau défini par logiciel (SDN) est une architecture de réseau qui sépare le plan de contrôle du réseau du plan de données. Cette séparation permet aux administrateurs de réseau de gérer de manière centralisée les flux de trafic et les politiques de sécurité via une application logicielle. Avec le SDN, le réseau est facilement divisé en segments logiques plus petits, également appelés réseaux virtuels. Chaque réseau virtuel peut être isolé des autres réseaux virtuels et peut avoir ses propres politiques de sécurité.
Voici comment les réseaux définis par logiciel permettent la micro-segmentation :
- Les administrateurs peuvent utiliser le SDN pour définir des politiques qui contrôlent le trafic réseau entre les réseaux virtuels (segments). Les politiques sont basées sur des paramètres tels que l'identité de l'utilisateur, le type d'appareil, le type d'application et l'emplacement. Elles garantissent que seul le trafic autorisé peut circuler entre les réseaux virtuels.
- Le SDN permet d'allouer dynamiquement les ressources du réseau en fonction des politiques définies par les administrateurs. Cette allocation dynamique garantit que les réseaux virtuels sont isolés les uns des autres et disposent des ressources nécessaires pour fonctionner correctement.
- Le SDN offre une visibilité en temps réel du trafic réseau, ce qui permet aux administrateurs de surveiller les schémas de trafic et de détecter les anomalies. Cette visibilité est essentielle pour identifier les menaces potentielles à la sécurité et y répondre rapidement.
- Le SDN simplifie l'administration, même sur les grands réseaux, et garantit que les politiques de sécurité sont automatiquement appliquées chaque fois que le réseau est modifié, mis à niveau ou étendu. Ainsi, la force de la stratégie de sécurité par micro-segmentation est maintenue tout au long de la vie du réseau.
Conclusion
La sécurisation des réseaux OT est essentielle au fonctionnement sûr et efficace de nombreuses industries. Les cyber-attaques sur les réseaux OT peuvent entraîner des dommages physiques, des arrêts de production et des pertes financières. La mise en œuvre d'une micro-segmentation basée sur le SDN peut aider les organisations à protéger les actifs critiques, à se conformer aux réglementations, à renforcer la sécurité des réseaux OT, à fournir une meilleure visibilité sur le trafic réseau et à améliorer la flexibilité dans la gestion des réseaux OT.
L'Open Networking Foundation certifie que les commutateurs industriels d'Allied Telesis sont conformes à OpenFlow (OpenFlow est un protocole fondamental requis pour les applications SDN). Par conséquent, Veracity recommande l'utilisation de ces commutateurs avec son contrôleur SDN Micro-Segmentation – une solution de pointe pour la sécurité du réseau OT.
Voir notre gamme de commutateurs Ethernet industriels ici.
Lié