Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Utiliser Cloudflare pour sécuriser les appareils IdO

2022-03-18

Lecture: 3 min.
Cet article est également disponible en English, en 繁體中文, en Deutsch, en 日本語, en 한국어, en Español et en 简体中文.

Vous trouverez probablement un appareil non sécurisé présentant une vulnérabilité exploitable quelque part chez vous. Ainsi que dans votre bureau. Et probablement aussi dans l'école de votre enfant. Caméras, imprimantes, enceintes, lecteurs de moyens d'accès, thermostats, même votre capteur de fréquence cardiaque… tous ces appareils sont, ou peuvent être, des appareils liés à l'Internet des objets (IdO). Les appareils IdO s'intègrent en toute fluidité à nos vies modernes afin d'améliorer notre efficacité et le contrôle dont nous disposons sur notre environnement. Pourtant, ils sont notoirement connus pour être peu sécurisés. Ce constat découle de la nature restreinte des équipements physiques et de leur capacité de calcul limitée, qui conduisent souvent à la minimisation des mesures de contrôle des accès, à la mise en place de mots de passe codés en dur, ainsi qu'à l'impossibilité de déployer des correctifs à distance.

La réalité de cette menace peut se révéler de manière spectaculaire. Prenons, par exemple, le cas de l'attaque liée au botnet Mirai de 2016. Lors de cette dernière, des acteurs malveillants ont exploité des millions d'appareils IdO afin de constituer un vaste botnet capable de lancer des attaques DDoS, qui ont ensuite conduit à la mise hors ligne de larges pans d'Internet, dont Twitter, le Guardian et CNN. Ce type d'attaque n'est pas si rare et survient à intervalles plus ou moins réguliers. Cloudflare en a fait l'expérience par elle-même en mars 2021, lorsque l'un de nos potentiels fournisseurs de caméras de sécurité physiques, Verkada, s'est retrouvé compromis. L'incident a permis aux pirates à l'origine de l'attaque d'accéder aux outils de support interne de Verkada, utilisés pour gérer les caméras à distance. Cette manœuvre leur a permis de tenter des mouvements latéraux vers d'autres appareils situés sur le réseau. Heureusement, la mise en œuvre du modèle Zero Trust chez Cloudflare a empêché les pirates d'effectuer ces mouvements transversaux. En définitive, l'incident n'a touché que les caméras.

Toutefois, et ce même lorsqu'ils ne nous affectent pas ou pas directement, nous considérons ces incidents comme un défi permettant d'améliorer encore un peu plus nos produits de sécurité. Nous nous sommes donc posé la question suivante : pouvons-nous utiliser nos propres produits pour sécuriser les appareils IdO (même si ces derniers se situent sur le même réseau que les systèmes de production) afin de nous assurer d'isoler toute compromission de ces appareils, notoirement connus pour être peu sécurisés ? Grâce à Cloudflare One, la réponse est oui !

Les solutions d'aujourd'hui : la sécurité au prix de la complexité

Modèle Zero Trust

Comme nous l'avons mentionné plus haut, Cloudflare n'a pas été affectée par les appareils IdO compromis, car nous utilisons un modèle Zero Trust. Si les considérations environnementales se révèlent adéquates, comme dans les bureaux de Cloudflare, le réseau d'entreprise peut être cloisonné au moyen d'un modèle Zero Trust. Ce dernier permet d'empêcher les mouvements latéraux, car une authentification se révèle alors nécessaire pour se connecter à toute autre partie du réseau. Comme l'appareil IdO lui-même n'est pas isolé, une attention toute particulière doit être accordée au fait de placer les autres points d'entrée du réseau derrière la protection d'un accès Zero Trust.

Tous les environnements ne peuvent cependant pas être contrôlés de manière aussi consciencieuse. Prenons le cas des datacenters, par exemple. La présence d'autres fournisseurs, la complexité des anciens réseaux de production et la prévalence des connexions de machine à machine impliquent que, lors de l'installation d'un appareil IdO (comme un lecteur de moyens d'accès ou une caméra), nous ne pouvons pas proposer les mêmes garanties Zero Trust que celles que nous pouvons offrir au sein de nos bureaux. Dans un contexte d'accroissement de la complexité des environnements, le déploiement réussi d'un modèle Zero Trust (afin d'empêcher l'exécution de mouvements latéraux entre appareils IdO) devient toujours plus difficile.

Réseau VLAN

De nombreuses entreprises déploient leurs appareils IdO au sein d'un réseau complètement distinct du réseau de production, en faisant appel à un réseau hors bande ou un VLAN. Si les VLAN isolent effectivement la couche 2, ils nécessitent la mise en place de listes d'autorisation d'accès à leur interface routée en amont pour restreindre le trafic de couche 3. En outre, de nombreux administrateurs souhaitent ajouter des configurations supplémentaires pour les garanties les plus strictes, comme la mise sur liste d'accès à la fois pour le trafic entrant et le trafic sortant, ou encore la journalisation des connexions réussies, mais aussi des connexions refusées. La gestion de ces listes d'autorisation d'accès peut vite augmenter en complexité, car chaque nouveau réseau constitue un autre panorama à protéger, corriger et détecter.

Incorrectement configurées, les garanties de sécurité des VLAN peuvent être mises en échec avec la plus grande facilité. Prenons l'exemple d'un réseau disposant de deux VLAN distincts. Si les listes d'autorisation d'accès ne sont pas appliquées de manière cohérente aux deux switches respectifs, un appareil piraté provenant d'un des VLAN pourrait facilement se faire passer pour un appareil situé sur l'autre VLAN. Un administrateur réseau pourrait utiliser des VLAN privés en fonction de chaque switch, mais cette approche ajoute, là encore, de la complexité.

La mise en place de configurations cohérentes et de choix architecturaux, mais aussi de règles régissant les listes d'autorisation d'accès au type d'équipement utilisé dans chaque site, s'avère nécessaire pour déployer efficacement des VLAN de manière à empêcher les mouvements latéraux. Dans un contexte d'accroissement du nombre de sites et d'expansion de l'empreinte d'un environnement, l'opération devient de plus en plus difficile à mettre en œuvre.

La solution Cloudflare

Nous nous appuyons sur nos propres produits pour isoler les appareils sans les déployer sur un réseau distinct. Cette approche permet de bénéficier de garanties de sécurité, sans recourir à l'installation d'équipements physiques supplémentaires. Il s'agit donc d'un moyen sans serveur et sans infrastructure d'isoler un réseau.

Comment y parvenons-nous ? L'appareil physique (pour notre démonstration de faisabilité, il s'agira d'une caméra Verkada) est connecté à un switch Power over Ethernet (alimentation par Ethernet), lui-même configuré pour transmettre, via un tunnel Anycast GRE, son trafic au réseau mondial de Cloudflare. Nous pouvons alors configurer des règles sur le tableau de bord Cloudflare afin de régir le trafic sortant et de nous assurer que ce dernier ne soit acheminé qu'à l'endroit où il est censé l'être. Les mouvements latéraux sont ainsi rendus impossibles.

Cette architecture permet à un administrateur réseau de contrôler le trafic de la couche 3 (et supérieures) depuis un tableau de bord unique, en appliquant instantanément des politiques au trafic entrant et sortant. Elle constitue ainsi une solution simple de type « set-and-forget » (définir et oublier), capable de s'adapter à un environnement évolutif. En effet, la protection est agnostique vis-à-vis des fournisseurs, s'appuie sur des normes courantes et la collecte des journaux s'effectue automatiquement. Comparativement à d'autres méthodes de prévention des mouvements latéraux, Cloudflare propose la simplicité d'utilisation, l'adaptabilité et les garanties de sécurité nécessaires à la gestion sécurisée de n'importe quel environnement doté d'appareils IdO.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-ycr8{background-color:#ffffff;text-align:left;vertical-align:top} .tg .tg-v0hj{background-color:#efefef;border-color:inherit;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-dvid{background-color:#efefef;border-color:inherit;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-c6of{background-color:#ffffff;border-color:inherit;text-align:left;vertical-align:top} .tg .tg-3xi5{background-color:#ffffff;border-color:inherit;text-align:center;vertical-align:top} .tg .tg-i81m{background-color:#ffffff;text-align:center;vertical-align:top}

Zero Trust VLAN Cloudflare One
Prevents lateral movement with proper configuration
Hardware not required
Automatic logging
Isolation of IoT Device itself
Single point of configuration
Complexity does not increase with number of devices
Device agnostic
Speed and performance benefits from CF's network

Zero Trust

VLAN

Cloudflare One

Empêche les mouvements latéraux avec la configuration appropriée

Équipements physiques non nécessaires

Journalisation automatique

Isolement de l'appareil IdO lui-même

Point de configuration unique

La complexité n'augmente pas avec le nombre d'appareils

Solution agnostique vis-à-vis de l'appareil

Avantages du réseau Cloudflare en termes de vitesse et de performances

Et ensuite ?

Au quatrième trimestre 2021, nous avons conclu un accord avec un partenaire spécialisé dans les tests de pénétration afin qu'il teste cette configuration en répliquant la tentative par un appareil compromis de passer sur des réseaux de production situés derrière l'architecture Cloudflare One. Notre partenaire s'est trouvé dans l'incapacité de procéder à des mouvements latéraux. Ce résultat prouve ainsi l'efficacité de notre architecture.

Compte tenu des tests réalisés sur cette dernière, nous allons donc commencer à formaliser le déploiement de Cloudflare One en interne dans nos datacenters, dans le cadre d'une initiative de sécurité physique, afin de préserver la sécurité de nos ressources les plus fiables.

Pour plus d'informations sur l'utilisation de Cloudflare One au sein de votre entreprise, n'hésitez pas à contacter notre équipe de vente.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons tous les sites web ou applications Internet, repoussons les attaques DDoS, tenons les pirates informatiques à distance et pouvons vous accompagner dans votre parcours d'adoption de l'architecture Zero Trust.

Accédez à 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en apprendre davantage sur notre mission, à savoir contribuer à bâtir un Internet meilleur, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.
Cloudflare OneCloudflare Zero TrustZero TrustNouveautés produitsIoTSécurité

Suivre sur X

Cloudflare|@cloudflare

Publications associées

02 octobre 2024 à 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

27 septembre 2024 à 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

27 septembre 2024 à 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....