DLAN : Une nouvelle approche de la segmentation réseau et de la sécurité Zero-Trust dans les milieus industriels

DLAN : Une nouvelle approche de la segmentation réseau et de la sécurité Zero-Trust dans les milieus industriels

Découvrez l'avenir de la sécurité zero-trust dans les réseaux industriels. Apprenez comment le réseau superposé Demilitarized LAN (DLAN) de Trout Software permet une segmentation évolutive, une confiance envers les appareils/utilisateurs et un contrôle granulaire, surmontant les défis des systèmes hérités et les demandes croissantes de connectivité.

Télécharger le livre blanc

Content

Introduction to Overlay Demilitarized LAN

Traditional Security Models and Their Limitations

Principles Behind Overlay Demilitarized LANs

Components of an Overlay Demilitarized LAN

Building a Network Overlay

End-to-End Example for Overlay Demilitarized LAN Implementation

Conclusion

Télécharger le livre blanc

En 2014, le livre blanc fondateur BeyondCorp a remis en question la sécurité traditionnelle basée sur les pare-feu, en notant : « Pratiquement toutes les entreprises aujourd'hui utilisent des pare-feu pour faire respecter la sécurité périmétrique. Cependant, ce modèle de sécurité est problématique car, lorsque ce périmètre est franchi, un attaquant a un accès relativement facile à l'intranet privilégié d'une entreprise. » Bien que les principes de confiance zéro aient été largement adoptés en informatique et en DevOps, leur mise en œuvre dans les réseaux industriels reste lente et complexe.

Les environnements industriels rencontrent des obstacles importants à l'adoption de la segmentation réseau à confiance zéro. Les systèmes hérités, les actifs contrôlés par les fournisseurs et le coût élevé de la reconfiguration des réseaux physiques rendent difficile pour les fabricants la mise en place de cadres de sécurité modernes. Cependant, avec la transformation numérique favorisant une connectivité accrue, sur site et à distance, les outils traditionnels comme les pare-feu et les VLANs peinent à répondre à la complexité croissante de la cybersécurité industrielle.

Chez Trout Software, nous pensons que les réseaux industriels ont besoin d'une nouvelle solution. En supposant que tous les réseaux industriels sont intrinsèquement peu sûrs, nous préconisons un réseau LAN démilitarisé (DLAN) en surcouche, une approche moderne pour obtenir une sécurité à confiance zéro et une segmentation avancée des réseaux.

L'avenir des pare-feu et de la confiance zéro dans les réseaux industriels

Le surcouche DLAN offre un cadre évolutif pour les fabricants industriels, en se concentrant sur :

  1. Identifier les dispositifs de manière sécurisée : Établir la confiance au niveau des dispositifs, même pour les actifs contrôlés par les fournisseurs.

  2. Identifier les utilisateurs de manière sécurisée : Garantir que seuls le personnel autorisé accède aux systèmes critiques.

  3. Construire une surcouche réseau : Créer une structure réseau logique et flexible qui s'adapte aux exigences industrielles sans modifications physiques coûteuses.

  4. Appliquer un contrôle granulaire : Appliquer les principes de confiance zéro pour surveiller et restreindre l'accès de manière dynamique.

Ce cadre offre une solution évolutive et pratique pour sécuriser les environnements industriels, même face à la complexité croissante et aux exigences de connectivité.

Traditional Security Models and Their Limitations

Traditional security models distinguish between external (risky) and internal (trusted) environments, using perimeter security to protect internal resources. In industrial settings, digitalization has gradually reached operational assets (Operational Technology, OT). Industrial companies have traditionally segmented their networks into zones using VLANs and perimeter firewalls. However, VLAN-based segmentation is not designed to enforce access control policies across devices. A robust factory network should be designed under the assumption that one asset has been compromised, which VLANs fail to achieve.

Principles Behind Overlay Demilitarized LANs

The Overlay Demilitarized LANs (or Enclaves) approach is based on five principles:

  1. Microsegmentation: Reduce network segment size to the minimal number of assets that need to communicate without enforcing security controls, defined as a Demilitarized LAN (DLAN).

  2. Network Overlay: Deploy a virtual network that closely resembles the current topology, allowing a seamless transition to a more secured, zero-trust environment.

  3. Encrypted Traffic: Front every DLAN with a proxy to route traffic between DLANs or to the Internet, with protocol break capacities to enforce granular controls and visibility.

  4. Authenticated Communications: Use client certificates tied to machines to authenticate assets and ensure end-to-end encryption. Enforce user authentication via existing mechanisms (OIDC) or new ones (HTTP Knocking).

These principles are designed to create a zero-trust environment, enabling best-in-class and agile connectivity.

Components of an Overlay Demilitarized LAN

The components of an Overlay Demilitarized LAN (or Enclaves) include:

  1. Device Identity: Use client certificates issued by a trusted Certificate Authority (CA) to ensure the identity of machines within the network.

  2. Device Certificate Management: A central system to issue and manage machine certificates securely.

  3. User Certificates: Modern desktop environments provide strong, biometric-based authentication mechanisms linked with SSL certificates.

  4. HTTP Knocking: A fallback option for authentication via a web interface when a federated authentication system is not available.

  5. OIDC Authentication: Authentication of users based on OpenID Connect (OIDC) mechanisms.

  6. Access Control Engine: Integrates with authentication mechanisms to enforce permissions based on comprehensive criteria.

Building a Network Overlay

To build a network overlay:

  1. DLAN Namespace: Associate a URL with a DLAN, enabling access to assets within the DLAN via a URL prefix.

  2. DNS Proxy: Deploy a DNS proxy to control the DNS table and insert new entries and routes, migrating the network from the current structure to the overlay sequentially.

  3. Forward & Reverse Proxy: Front a DLAN with a proxy to provide comprehensive Layer 7 visibility into communications between users and devices.

  4. Device Firewalls: Use attached firewalls as uncomplicated hardware units directly affixed to the asset, offering minimalistic traffic management.

  5. Encrypted Tunnels: Establish encrypted tunnels between the edge firewall and the proxy to secure connections that lack native support for proxies.

End-to-End Example for Overlay Demilitarized LAN Implementation

  1. Define a DLAN: Provide visibility into network traffic and identify the boundaries of the DLAN.

  2. Define a Namespace: Assign a unique name to the DLAN and dynamically generate a certificate using the Public Key Infrastructure (PKI) and the Certificate Authority (CA).

  3. Configure Access Control Engine: Establish user and group access to the DLAN based on Role-Based Access Control (RBAC) methods.

  4. Visibility and Monitoring: Route traffic through the proxy to provide comprehensive visibility into communications.

  5. Agile Access: Incorporate a notification mechanism to detect new access attempts and offer a simple solution for granting temporary access when necessary.

  6. Lock in New State with Asset Firewall: Configure the firewall to accept traffic only from the proxy, ensuring all communications are monitored and controlled.

Conclusion

The Overlay Demilitarized LAN (DLAN), also referred to as Enclaves, offers a scalable transition to secure industrial networks by assuming that industrial networks are inherently insecure. By applying the principles of microsegmentation, network overlay, encrypted traffic, and authenticated communications, industrial network teams can deploy best-in-class and agile connectivity. This approach addresses the limitations of traditional security models and provides a robust solution for the evolving challenges of digital transformation in industrial settings.

Autres articles de blog de Trout


Checklist de cybersécurité pour les entreprises manufacturières