Blogue
/
Produits Illumio

Enfin, une nouvelle méthode pour sécuriser les serveurs Windows

Darren Wolstein
,
Directeur principal des outils de soutien
August 7, 2015
23 min. de lecture

Les systèmes d'exploitation Windows sont parmi les plus installés au monde, il est donc compréhensible qu'ils constituent une cible attrayante pour les pirates informatiques. Outre la protection traditionnelle contre les antivirus et les programmes malveillants, que peut-on faire d'autre pour sécuriser ces ordinateurs et les réseaux sur lesquels ils vivent ?

Securing Windows servers

L'ajout de matériel de sécurité à votre réseau peut vous aider à réprimer, à vous alerter ou à contrecarrer complètement une attaque. Basé sur des VLAN et des pare-feux segmentation du réseau font partie des stratégies de sécurité réseau les plus efficaces à ce jour, mais elles présentent quelques inconvénients majeurs, notamment la maintenance et leur incapacité à évoluer rapidement.

Même les experts en sécurité les plus expérimentés ont choisi de ne pas supprimer une règle de pare-feu par crainte de ses effets imprévus.

Le fait de suivre le nombre de VLAN et de règles de pare-feu nécessaires pour segmenter correctement un réseau peut surcharger les ressources d'une équipe de sécurité. Cette approche peut également échouer au fil du temps, car elle repose sur une intervention humaine pour synchroniser les politiques avec les changements. Même les experts en sécurité les plus expérimentés ont choisi de ne pas supprimer une règle de pare-feu par crainte de ses effets imprévus.

À mesure que les règles de pare-feu augmentent, elles deviennent de plus en plus difficiles à gérer, jusqu'à atteindre des chiffres ridiculement élevés. J'ai personnellement vu de grandes entreprises avec millions de règles de pare-feu, dont certaines datent de plus de dix ans.

Le problème des règles basées sur les ports

Les systèmes d'exploitation Windows présentent un problème unique lorsqu'il s'agit de sécuriser avec des pare-feux traditionnels. Ces pare-feux utilisent des règles basées sur les ports, de sorte qu'un port d'une adresse IP spécifique est autorisé à communiquer avec un autre port sur une adresse IP différente.

Cette stratégie se prête à UNIX et Linux, qui ont généralement un seul processus exécuté sur un seul port ou une plage de ports. Mais dans les systèmes d'exploitation Microsoft, il est courant d'avoir un groupe de processus utilisant un port unique, ou un groupe de ports, qui peuvent être attribués dynamiquement. Par conséquent, vous ne savez peut-être pas à l'avance quel port ils souhaitent utiliser. Alors, comment savoir si vous devez autoriser un port si vous ne connaissez pas le processus qui l'utilise ou quel port il utilisera ?

Les entreprises traitent les symptômes du problème, mais pas le problème principal : la sécurité actuelle est statique et ne peut tout simplement pas suivre le rythme de l'évolution.

Les ports dynamiques sont attribués au hasard parmi un groupe de « ports élevés » communément admis. Comme vous pouvez l'imaginer, le fait de ne pas savoir quel port sera utilisé entraîne l'ouverture d'un large éventail de plages de ports sur les pare-feux de segmentation afin que les machines Windows puissent communiquer entre elles. À l'inverse, vous pouvez restreindre ces plages de ports, mais vous devrez ensuite modifier les clés de registre et redémarrer tous vos hôtes Windows.

Cela nous place dans une position peu idéale pour essayer de gérer un nombre incontrôlable de règles de pare-feu ou pour restreindre les plages de ports natifs de notre hôte.

Suivre le rythme du changement

Les entreprises essaient de les aider en créant des logiciels pour gérer les règles de pare-feu, en sensibilisant davantage leurs pare-feux aux applications et en les aidant généralement à résoudre un aspect ou un autre d'une situation frustrante. Mais ils traitent tous les symptômes du problème, et non le problème principal : la sécurité actuelle est statique et ne peut tout simplement pas suivre le rythme des changements.

Il est désormais possible de réaliser une segmentation granulaire des applications, même lors de migrations vers le cloud.

Entrez le Plateforme de sécurité adaptative Illumio (ASP), une approche entièrement nouvelle pour sécuriser vos charges de travail Windows (et Linux) grâce à un modèle de sécurité dynamique et adaptatif. Illumio ASP utilise les services de sécurité natifs fournis par les systèmes d'exploitation, la plate-forme de filtrage Windows et iptables. Il ajoute ensuite un système d'étiquetage intuitif qui élimine le besoin d'adresses IP et de ports pour écrire des règles.

ill_blog_inline_img_securing_windows_server-1

Ainsi, lorsque de nouveaux hôtes ou des hôtes modifiés s'enregistrent, Illumio ASP lit les étiquettes qui lui sont attribuées et configure automatiquement son profil de sécurité. Il en va de même si un hôte déplace des adresses IP : le changement est visible et toutes les politiques appropriées sont recalculées en quelques secondes.

La définition de votre environnement via des étiquettes signifie que vous pouvez regrouper une sécurité d'applications. Lorsque vous lancez ou désactivez des composants de votre application, la sécurité suit, sans qu'il soit nécessaire de modifier les règles de pare-feu ou de gérer les VLAN.

Qu'est-ce que cela signifie ? Nous pouvons désormais réaliser une segmentation granulaire des applications, même lors des migrations vers le cloud.

Le Policy Compute Engine, ou PCE, est le « cerveau » de l'opération.

Avec l'ajout de l'application basée sur les processus dans les environnements Windows, Illumio supprimera enfin la question de savoir comment gérer les ports dynamiques élevés. Vous définissez le processus approuvé et Illumio lui permet de parler sur les ports de son choix, en toute sécurité.

Qu'est-ce qui fait que cela se produit ? Le Policy Compute Engine, ou PCE, est le « cerveau » de l'opération. À l'aide d'un agent léger appelé Nœud d'application virtuel (VEN), le PCE reconnaît instantanément lorsqu'un changement s'est produit et corrige les systèmes concernés en quelques secondes. Ce moteur de politique dynamique vous permet non seulement de rédiger rapidement des politiques de sécurité en langage naturel, mais il affiche également une carte interactive en direct de la structure de votre application appelée Illumination. Un outil très efficace pour communiquer des postures de sécurité complexes à presque tout le monde.

La sécurisation des serveurs Windows est devenue vraiment intéressante.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Des serveurs aux terminaux : les avantages de l'extension de ZTS à vos appareils les plus vulnérables
Produits Illumio

Des serveurs aux terminaux : les avantages de l'extension de ZTS à vos appareils les plus vulnérables

Des serveurs aux terminaux : les avantages de l'extension de ZTS à vos appareils les plus vulnérables

En savoir plus
3 manières dont Illumio et Microsoft Azure Firewall renforcent votre stratégie de sécurité dans le cloud
Produits Illumio

3 manières dont Illumio et Microsoft Azure Firewall renforcent votre stratégie de sécurité dans le cloud

Découvrez comment l'intégration conjointe entre Illumio et Microsoft Azure vous permet de faire évoluer les environnements cloud rapidement et en toute sécurité.

En savoir plus
Pourquoi la sécurité du cloud commence par une visibilité complète
Produits Illumio

Pourquoi la sécurité du cloud commence par une visibilité complète

Découvrez pourquoi la visibilité dans le cloud est aujourd'hui importante, pourquoi les approches de visibilité traditionnelles échouent et comment ZTS avec Illumio CloudSecure peut vous aider.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus