Dans la logique de sécurisation des réseaux industriels face aux nombreuses menaces et particulièrement les ransomwares, les entreprises de tous secteurs ont décidé de mener des projets de sécurisation des environnements industriels.
Ces projets pour beaucoup se basent sur la norme IEC 62443 (anciennement appelée ISA99) ; cette norme elle-même se basant sur le modèle de Purdue.
(Schéma de modèle Purdue)
Cette approche entraîne la mise en place de zone et de niveaux au sein de la partie industrielle.
Une zone particulière va attirer notre attention il s'agit de la zone appelée DMZ.
La DMZ est censée abriter tous les services de l’usine qui font le lien entre la partie opérationnelle pure et le monde IT traditionnel (le tout en fournissant une coupure protocolaire et une inspection par un firewall)
On assiste alors au déploiement de plusieurs équipements, outils au sein de cette zone dite DMZ ; ou devrais-je dire des DMZs.
Pratiques héritées du monde IT, virtualisation, infrastructures hyperconvergées
Pour suivre les bonnes pratiques héritées du monde IT, la virtualisation entre alors en jeu et des infrastructures hyperconvergées sont déployées au sein des usines. Les avantages liés au déploiement d'une infrastructure HCI (hyperconvergée) au niveau du ‘edge’ et dans l’OT ne sont plus à démontrer.
La mise en place de la DMZ et des zones finit très souvent par aboutir à la création de multiples VLANs pour séparer les différents environnements et fournir de la segmentation au sein de la dite DMZ (par exemple DMZ App, DMZ Infra, DMA monitoring, etc.). Cette approche est héritée de ce qui se fait depuis des lustres dans l'IT classique et est un moyen simple, générique et moins couteux (en mettant des applications à l'intérieur de VLAN distinct). La conséquence directe est la suivante : on est partagé entre le besoin de segmenter à outrance ou celui d’en faire un peu moins ; il s'en suit alors de nombreuses discussions sur les nombres de DMZs/VLANs à avoir, sur la nécessité réelle ou supposée de le faire (ou de ne pas le faire).
Un œil avisé voit de cette situation le besoin de mettre en place de la micro-segmentation au sein de l’environnement réseau et aussi dans la plateforme HCI de l’usine.
Les solutions de micro-segmentation existantes pour la plupart font apparaître les points ci-dessous :
- Utilisation de technologies nouvelles et pas adaptées à l’environnement réseau existant dans les usines (VXLAN, etc.)
- Nécessité d’installer une nouvelle couche applicative et logicielle avec son lot de licences et procédures d’installation aussi complexes que longues.
- Certaines solutions de micro-segmentation existent mais n’opèrent que dans une infrastructure physique laissant les environnements virtuels sans solutions adaptées.
- Le coût souvent élevé de certaines solutions qui en plus nécessite de revoir et repenser totalement la couche réseau avec l’acquisition de switch onéreux.
La solution de l’infrastructure hyperconvergée de Nutanix
C’est là une opportunité pour les industriels qui ont opté pour une solution HCI NUTANIX, d’étendre avec l’hyperviseur de Nutanix AHV les capacités de leur plateforme en activant NUTANIX FLOW. FLOW entre en jeu pour apporter clarté et simplicité, et surtout la micro-segmentation à l’intérieur des environnements virtuels sous AHV.
L’utilisation de FLOW sur une infrastructure HCI NUTANIX permet de mettre en œuvre cette micro-segmentation au sein de la DMZ dans les environnements industriels.
NUTANIX FLOW est présent par défaut et s'active sans avoir à installer un logiciel ou application tierce (la licence FLOW sera essentielle pour débloquer les fonctionnalités supplémentaires) à la mode NUTANIX c'est à dire 1-click et directement depuis l’interface graphique.
Ce moteur léger et disponible par défaut permet de catégoriser les VMs (category), de créer des règles (policy) et de les appliquer (enforcement) indépendamment de leur VLAN et de leur plan IP. Nous pouvons donc réduire le nombre de VLANS/DMZ et obtenir un même niveau de sécurité au sein de l'environnement virtuel NUTANIX.
FLOW permet facilement d’apporter la sécurité pour les usines où changer le plan d'adressage IP de certains équipements est quasi impossible au vu des risques et de la criticité des applications; nous avons dans ce cas des VMs partageant le même plan IP mais qui seront néanmoins traitées et isolées s'il le faut par le moteur NUTANIX FLOW.
FLOW permet sans ajouter une nouvelle couche de protocole (VXLAN) sans nouveau logiciel (à installer) et en conservant les équipements réseaux (les switches principalement) d’obtenir une sécurisation de son environnement virtuel.
Le principe d'action de NUTANIX FLOW est assez simple, et se décline en 3 points :
- Category : qui représente un groupe de 1 ou plusieurs VMs (pour simplifier), nous pouvons les considérer comme des tags.
- Security rule : qui définit ce qui est autorisé ou pas entre nos différentes catégories. On en a de 3 types App Rule, Isolation Rule et Quarantine Rule ; la dernière pouvant s’avérer très utile pour lutter contre les ransomwares
- Enforcement : qui nous dit quelle action faire si la règle est active ; nous pouvons l’appliquer alors le trafic sera autorisé ou bloqué selon le contenu de la règle (Apply) ou fournir de la visualisation (Monitor) pour observer avant de prendre des décisions.
Test Drive Nutanix FLOW
Pour tester NUTANIX FLOW dans une sandbox, ci-dessous le lien vers le test drive spécifique à NUTANIX FLOW
https://www.nutanix.com/fr/one-platform?type=flow
Nous finirons en précisant que NUTANIX FLOW se gère depuis la solution de gestion centralisée NUTANIX PRISM CENTRAL, ce qui permet d'avoir une politique de sécurité et de micro-segmentation cohérente sur un ensemble de cluster NUTANIX répartis à travers le monde.
La sécurité des environnements industriels revêt un enjeu majeur pour les entreprises et NUTANIX peut aller au-delà de la simple fourniture de la plateforme HCI en vous apportant de la micro-segmentation.
A propos de l’auteur
Yann N’GUESSAN est Consultant chez EVA Group depuis 2018. Passionné de technologies, il a développé une expertise sur différents sujets, notamment : le Cloud Computing - Privé, Hybride, Public et Multicloud - la virtualisation réseaux et la sécurité dans les environnements industriels (OT).
Les Consultant·es EVA Group sont formé·es et certifié·es aux technologies leader sur leur marché. Avec Nutanix ils accompagnent les entreprises dans leurs projets de migration sécurisée vers les Cloud.
Cabinet de Conseil international de référence en Cybersécurité et performance du SI, EVA Group accompagne ses clients pour adresser leurs enjeux clés :
- Mener leurs projets IT de transformation et d’innovation,
- Identifier et réduire leur exposition aux risques cyber,
- Concevoir, construire et opérer des SI performants et sécurisés,
- Aligner la gouvernance IT avec la stratégie.