Forescout pousse la segmentation réseau basée sur l'identité

La dernière version de la plateforme 4D de Forescout utilise la modélisation par zones pour regrouper les équipements, en se basant sur leur identité plutôt que sur son emplacement réseau.

La segmentation du réseau est un élément de sécurité fondamental, mais sa mise en œuvre dans des environnements hétérogènes reste un défi. C’est à cela que s’attaque précisément la dernière version de la plateforme 4D de Forescout l'un des pionniers du contrôle d'accès réseau (NAC), avec en particulier l’introduction d’une modélisation de zones basée sur l'identité et les attributs pour les équipements IT, OT, IoT,.... L’offre couvre quatre fonctions : la découverte, l’évaluation, le contrôle et la gouvernance. Ces capacités de segmentation s’inscrivent dans la fonction de contrôle et s’appuient sur les données existantes sur les actifs et les risques de la plateforme.

« Auparavant, la gestion de la segmentation classique consistait à examiner le réseau et à se baser sur la classification appliquée aux dispositifs, savoir par exemple si telle caméra devait communiquer avec tel ordinateur de bureau », a déclaré Justin Foster, directeur technique de Forescout à Networkworld. « Ce système a été amélioré : il est désormais possible d’utiliser n’importe quelle propriété, par exemple le référencement de sites, de zones ou de fonctions, ou encore la criticité d’un terminal, et tout cela a été intégré dans des matrices où chacun peut définir sa propre matrice, puis y superposer le niveau de risque. »

Une extension des capacités du NAC

Forescout s'est d'abord fait connaître et a acquis ses premiers clients en tant que fournisseur de solutions NAC. Cette fonctionnalité de contrôle d'accès fait toujours partie de la plateforme 4D, dans le cadre d'une approche élargie. « Le contrôle ne se limite pas au blocage de ports par le NAC ou au transfert d'un utilisateur vers un réseau invité ; il peut s'agir de centaines d'automatisations différentes », a ajouté Jutsin Foster. « Et ce n’est pas un choix binaire entre bloquer ou ne pas bloquer. Il est possible de transférer le terminal vers des segments isolés pour qu’un membre du service IT puisse aller l’évaluer. » Les récentes capacités de segmentation étendent cette couche de contrôle. Les clients peuvent utiliser jusqu’à 1 200 attributs de terminaux pour définir des structures de zones : unité opérationnelle, fonction de l’appareil, criticité ou balisage personnalisées.

« Par exemple, si, au sein d’un hôpital, on souhaite segmenter le réseau de manière à ce que les médecins et les infirmières puissent communiquer avec des systèmes back-end comme Epic pour les dossiers médicaux, mais sans qu’il se trouve à proximité du secteur d’imagerie ou des réseaux invités, on peut baliser n’importe quel attribut de son choix et définir que tout élément dont la balise correspond à cette valeur fait partie de cette structure de zone », a expliqué le dirigeant. Il ajoute que « la plateforme superpose simultanément les flux de communication et les niveaux de risque sur ces matrices de zones, en utilisant une visualisation sous forme de carte thermique pour identifier les chemins est-ouest à risque. Les politiques sont modélisées par rapport à des modèles de communication réels avant d’être appliquées. »

L’identité devient incontournable

Plutôt que de se contenter d’utiliser des plages d’adresses IP ou d’autres constructions réseau basiques, Forescout utilise une approche de modélisation par zones pour regrouper les dispositifs. Elle s'appuie sur l'identité des appareils plutôt que sur leur emplacement réseau. Les adresses IP changent lorsque les équipements passent d'un sous-réseau à l'autre, ce qui rend les politiques basées sur l'IP peu fiables. Le fournisseur établit donc leur profil à partir d'attributs persistants et les relie à l'identité de l'utilisateur lorsque cela est possible. « Le plus important est d'associer une identité solide à chaque ressource », a souligné M. Foster.

« Un ordinateur portable donné peut changer d'adresse IP, mais il est possible d'établir son profil à partir d'autres attributs et de garantir ainsi sa cohérence au sein du dispositif. » Dans les environnements de la santé, une classification erronée comporte un risque direct. Par exemple, si l’entité ressemble à un PC Windows, mais qu’il s’agit en réalité d’un IRM, elle devrait se trouver sur le segment d’imagerie médicale du réseau et ne pas communiquer avec le réseau invité de cet hôpital. La modélisation par zones n’est liée à aucune primitive réseau spécifique. Elle s’impose comme une structure flexible au-dessus de l’infrastructure de commutation existante. « Tout commence par l’identité et la classification », a affirmé le directeur technique. « Ensuite, on peut appliquer une stratégie de segmentation, indépendante du fournisseur de réseau », note-t-il.

Une vision multi-fournisseurs

L'application d'une politique cohérente sur une infrastructure hétérogène constitue un défi technique majeur. « De nos jours, la plupart des réseaux ne relèvent pas d'un seul fournisseur », constate le dirigeant. « Par le biais d'acquisitions ou de pratiques commerciales, certaines entreprises finissent par avoir cinq, six, voire sept fournisseurs différents. » Forescout s'intègre en superposition à l'infrastructure de commutation existante. Sa plateforme communique de manière native avec les commutateurs et routeurs individuels, ou avec les couches de contrôle SDN lorsque les fournisseurs l'exigent. Arista, par exemple, achemine l'application des règles via son contrôleur Cloud Vision plutôt que directement au niveau du commutateur. Pour assurer la visibilité du trafic, la plateforme collecte des données via le transfert de paquets, les ports SPAN physiques et les intégrations avec des courtiers de paquets réseau de fournisseurs tels que Gigamon et Keysight.

Lorsque la plateforme identifie un appareil inconnu ou non classifié, elle peut le déplacer vers le VLAN approprié au niveau du commutateur sans intervention manuelle. « Nous pouvons identifier ces dispositifs et prendre les mesures appropriées », a fait valoir M. Foster. « La plateforme sous-jacente peut déplacer ces appareils vers différents VLAN pour le compte de l'utilisateur. » Dans les environnements OT où aucun agent ne peut être installé sur les contrôleurs et les automates programmables industriels (PLC), la plateforme utilise des méthodes sans agent : extraction d’en-têtes, sondes actives, scripts d’exécution à distance et proxy de connexion sécurisée. La plateforme regroupe plus de 30 méthodes de découverte agentless. « Pour les équipements non compatibles avec les agents ou ceux auxquels on ne peut pas accéder à distance, comme en OT, il est possible d’en apprendre beaucoup grâce au scraping d’en-têtes et aux sondes actives, qui nous permettent d’évaluer et d’interroger cet appareil, d’obtenir son fournisseur, sa marque et son modèle », a expliqué Justin Foster.

L’IA et la voie à suivre

Comme tous les autres fournisseurs IT, Forescout dispose d’une stratégie sur l’IA. Il a lancé il y a quelques semaines VistaroAI, un tableau de bord basé sur l’IA. Les données de segmentation issues de la plateforme 4D peuvent être transmises à celui-ci pour établir en temps réel une corrélation entre l'état de la segmentation et le niveau de risque des appareils.

Le tableau de bord peut ainsi signaler de manière proactive les problèmes de segmentation. « Il peut par exemple signaler des segments qui ne devraient pas communiquer entre eux », a indiqué Justin Foster. Selon lui, il reste encore du chemin à parcourir. Il précise que la version actuelle n’est que la première étape vers l’intégration de l’IA et de la segmentation au sein de la plateforme 4D. « En matière de segmentation, la convergence entre les risques, l’IA et la segmentation offre de nombreuses possibilités qui n’ont pas encore été explorées », a-t-il souligné.