Les 10 fonctionnalités essentielles de votre futur firewall

Le contrôle et la visibilité des applications est devenu le nouveau défi à relever en matière de sécurité. La raison est évidente : les applications peuvent facilement contourner les firewalls classiques.

La grande majorité des éditeurs de solutions de sécurité a bien conscience de ce nouvel enjeu. Mais beaucoup font encore fausse route. Alors que le firewall de nouvelle génération (Next Generation Firewall : NGFW) est bien défini par Gartner comme un élément nouveau, concentré sur l’entreprise et distinct du firewall classique, beaucoup d’entre eux présentent encore le NGFW comme un sous-ensemble de fonctions qu’ils proposent déjà (comme l’UTM et l’IPS par exemple). Ils essaient de fournir de la visibilité et du contrôle applicatif en utilisant un nombre limité de signatures d’applications supportées dans leur IPS, ou dans une base de données externe.
En réalité, les fonctions sont faiblement intégrées, et les technologies utilisées restent celles, classiques, qui bloquent les ports. Attention aux fausses nouvelles générations !

Ne pas bloquer les applications, les sécuriser

Plus important encore : il ne s’agit pas de bloquer les applications, mais de sécuriser leur utilisation. C’est bien là l’essentiel à ne pas rater. En fait, les produits proposés par les éditeurs traditionnels ignorent pour beaucoup ce que les entreprises font aujourd’hui des applications. Elles sont pourtant là pour faire tourner l’entreprise, et par conséquent, ces dernières ont besoin de s’assurer qu’elles s’exécutent en toute sécurité.
La demande venant des entreprises pour ce type de produit est tellement forte, que les acteurs traditionnels de la sécurité se servent de cet intérêt et essaient de faire diversion en tenant de ressembler à un firewall de nouvelle génération. Pour les entreprises, il est évident qu’un firewall de nouvelle génération représente une rupture, une classe de produits différente et révolutionnaire.

Quels sont les critères pour choisir ce type de solution ?

Pour une entreprise à la recherche d’un firewall de nouvelle génération, les questions à se poser restent : permettra-t-il aux administrateurs de sécuriser l’utilisation de toutes les applications de l’entreprise ? La visibilité et la compréhension des applications sera-t-elle supérieure ? Les options de contrôle du trafic iront-elles au délà du simplissime autoriser/bloquer ? Les menaces seront-elles bloquées ? Le compromis entre les performances et la sécurité sera-t-il enfin éliminé ? Les coûts seront-ils réduits ? La gestion des risques sera-t-elle simplifiée ?

A exiger pour votre prochain firewall

    • Identifier les applications indépendamment du port, du protocole, du chiffrement SSL ou de toute autre technique d’évasion.
    • Identifier les utilisateurs indépendamment de leur adresse IP
    • Protéger en temps réel contre les menaces embarquées dans les applications
    • Visibilité et contrôle des règles granulaires sur l’accès aux applications et leurs fonctionnalités
    • déploiement en ligne multi-gigabits, sans dégradation de performances

Quelle architecture ?

Les firewalls de nouvelle génération ont deux approches : soit identifier les applications dans le firewall, qui devient le moteur primaire de classification, soit ajouter des signatures d’application à un IPS ou à un moteur de recherche de type IPS, qui est ensuite ajouté à un firewall basé sur les ports. Les deux peuvent reconnaitre les applications –mais diffèrent beaucoup dans la qualité de reconnaissance, la facilité d’utilisation et la pertinence. Plus important : ces approches architecturales imposent un modèle de sécurité spécifique concernant l’application des règles : Soit positif (bloquer par défaut), soit négatif (autoriser par défaut).

Dans un livre blanc publié en partenariat avec Palo Alto Networks (que vous pouvez télécharger ici ou nous demander par mail ), nous avons identifié les 10 fonctionnalités essentielles que doit avoir votre prochain firewall. Ces meilleures pratiques reposent sur l’expérience terrain et la remontée des demandes des clients. Elles se répartissent selon 3 zones de réflexion : les fonctions de sécurité à proprement parler (efficacité des contrôles, capacité à gérer les risques), l’opérationnel (règles, niveau de complexité de l’administration) et la performance (capacité à exécuter une tâche avec le bon débit).

Les dix questions

Sans entrer dans les détails (disponibles dans notre livre blanc), voici les dix points clés indispensables à votre firewall de nouvelle génération.

1-Votre prochain firewall doit identifier et contrôler les applications sur n’importe quel port, pas seulement les ports standard (y compris les applications utilisant http ou d’autres protocoles).
2-Votre prochain firewall doit identifier les techniques d’évasion et les contournements : proxy, accès distant, applications dans un tunnel chiffré.
3-Votre prochain firewall doit déchiffrer les flux SSL sortants
4-Votre prochain firewall doit permettre un contrôle des différentes fonctions d’une même application (ex. : SharePoint Admin face à SharePoint Docs)
5-Votre prochain firewall doit détecter les menaces dans les applications collaboratives autorisées (ex. : SharePoint, Box.net, MS Office Online…)
6-Votre prochain firewall doit gérer le trafic inconnu avec des règles et ne pas simplement les laisser passer
7-Votre prochain firewall doit identifier et contrôler les applications partageant une même connexion
8-Votre prochain firewall doit disposer du même contrôle et de la même visibilité sur les utilisateurs distants que sur les utilisateurs internes.
9-Votre prochain firewall doit simplifier la sécurité réseau. Pouvoir contrôler les applications ne doit pas ajouter de complexité.
10-Votre prochain firewall doit fournir le même débit et les mêmes performances malgré l’activation de tous les contrôles applicatifs.

Ce sont effectivement les fonctions critiques permettant la mise en place des contrôles nécessaires dans un environnement toujours plus riche en applications et en menaces. Sans l’infrastructure de sécurité capable de faire face à cette variété et cette dynamique, il est impossible de sécuriser les applications nécessaires et de gérer les risques pour l’entreprise.

Si vous voulez en savoir plus :
> Téléchargez notre livre blanc : 10 fonctionnalités que votre prochain firewall doit faire

About The Author

Charles Gengembre

Manager BU Sécurité et Réseaux.

Leave a reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter