Exigez plus. Profitez de tous les avantages d'un pare-feu de nouvelle génération

Download (0)

Full text

(1)

Exigez plus

Profitez de tous les avantages d'un pare-feu de nouvelle génération

(2)

Exigez plus

Sommaire

Résumé 3

Les actualisations de pare-feux représentent une véritable opportunité 3 Préserver une disponibilité élevée en toutes circonstances 4 Sécurité contextuelle pour un contrôle de l'accès plus granulaire 4 Protection avancée et automatisée contre des tactiques

en constante évolution 5

Plate-forme logicielle unifiée 5

Exigez plus 6

A propos des solutions McAfee de sécurisation des réseaux 6

(3)

Résumé

Dans le domaine des pare-feux de nouvelle génération (NGFW), le contrôle des applications et la prévention des intrusions constituent deux éléments essentiels permettant d'évaluer et de comparer les divers concurrents sur le marché. Mais quels autres critères devez-vous inscrire à votre cahier des charges ? Ce livre blanc aidera les équipes chargées de la cybersécurité et des réseaux à comprendre tout ce qu'elles peuvent (et doivent) exiger d'un pare-feu de nouvelle génération :

Haute disponibilité et équilibrage de la charge intégrées pour garantir la continuité des activités et la gestion efficace de charges de données croissantes

Sécurité contextuelle qui offre un contrôle de l'accès granulaire afin de réduire les risques et de gérer l'utilisation

Détection avancée et automatisée des tentatives de contournement des protections afin de bloquer et de signaler les techniques de contournement inconnues et en constante mutation utilisées avec les menaces persistantes et ciblées

Plate-forme logicielle unifiée capable de prendre en charge des fonctions de sécurisation des réseaux adaptatives et d'assurer un déploiement souple des fonctions de nouvelle génération, tout en garantissant la visibilité et l'efficacité opérationnelle

Ces exigences vont au-delà de fonctionnalités spécifiques pour tendre vers un objectif à long terme, à savoir garantir la disponibilité et l'intégrité des réseaux critiques au fur et à mesure que l'utilisation s'intensifie et que les menaces évoluent. C'est la seule façon de s'assurer que votre pare-feu de nouvelle génération puisse s'adapter à l'évolution de vos besoins, respecter vos impératifs budgétaires et tenir en échec les cybercriminels.

« Un pare-feu de nouvelle génération n'est pas simplement un système qui pallie les lacunes de la génération précédente. Il va plus loin en matière de sécurité en offrant la possibilité de détecter les techniques avancées de contournement des défenses. En alliant toutes ces fonctionnalités au sein d'une solution unique, les entreprises obtiennent un tableau plus complet de la situation et bénéficient d'une sécurité optimisée. »

— « The 2013 Next Generation Firewall Challenge » (Le défi posé en 2013 par les pare-feux de nouvelle génération), Robin Layland, Network World1

Les actualisations de pare-feux représentent une véritable opportunité

Les pare-feux constituent la toute première ligne de défense contre les menaces transmises par le réseau. Ils sont actifs à chaque bureau distant, à la périphérie et au cœur du réseau, au niveau du réseau distribution pour protéger les centres de données. Au bout de quelques années, toutefois, ces installations ont besoin d'être modernisées. Les pare-feux vieillissants doivent être remplacés par des nouveaux systèmes aux fonctionnalités plus complètes et intégrées qui allient un contrôle et un déploiement flexibles à une meilleure évolutivité et à des performances accrues. Ces nouveaux modèles de conception contribuent à la pérennité de votre pare-feu en lui permettant de s'adapter à l'évolution des besoins des entreprises et du paysage des menaces.

La modernisation des pare-feux représente une opportunité exceptionnelle. Pendant plus de dix ans, nous avons été confrontés aux difficultés et aux coûts suscités par la gestion de règles de pare- feu complexes et disparates, le déploiement d'appliances supplémentaires pour équilibrer la charge, la prévention des intrusions, les réseaux privés virtuels, l'analyse des menaces sans oublier le temps passé à examiner des montagnes de journaux. Aujourd'hui, nous pouvons nous appuyer sur cette expérience pour exiger de nos fournisseurs de pare-feux réseau des solutions plus intelligentes et évolutives.

Probabilité de cybercrime 100 %

0 %

Faible Elevée

Risque élevé

Risque faible

Risque moyen Administration publique, secteur de la défense, banques, infrastructures critiques, p. ex.

Hautes technologies, médias, grande distribution, fabrication industrielle, p. ex.

Organisations sans but lucratif, petites entreprises locales, sociétés de services, p. ex.

Valeur d'un point de vue financier, politique, commercial ou DPI

(4)

Exigez plus

Préserver une disponibilité élevée en toutes circonstances

N'importe quelle activité de l'entreprise, même un simple appel téléphonique, repose désormais sur le réseau. Le trafic réseau ne connaît qu'une seule tendance : la hausse. Pour rester efficaces dans un tel contexte, les outils de sécurisation du trafic IP, dont les pare-feux de nouvelle génération, doivent être constamment opérationnels, hautement disponibles et offrir une évolutivité transparente.

Certains pare-feux sont conçus pour laisser passer le trafic web en cas de défaillance (mécanisme de

« fail-open »). Si les charges de traitement dépassent un certain seuil, les pare-feux peuvent éliminer du trafic (pare-feux standard) ou suspendre les inspections (NGFW) pour assurer la continuité du trafic.

Ce comportement permet d'éviter les interruptions mais nuit à la sécurité. Pourquoi investir dans des règles de prévention des intrusions et de contrôle des applications si rien ne garantit leur mise en œuvre ? Bon nombre d'entreprises optent alors pour une autre solution : accroître leur capacité et leur disponibilité grâce au clustering, en utilisant des configurations redondantes actives-passives ou un équilibrage de la charge actif-actif pour distribuer le trafic vers plusieurs nœuds de pare-feu. Idéalement, le clustering devrait être intégré au stade de la conception au lieu d'être ajouté a posteriori. En particulier, le clustering actif-actif offre la meilleure solution en termes d'utilisation des ressources ; il vous permet de rentabiliser votre investissement et d'ajouter des nœuds à mesure que la demande augmente.

Le clustering vous garantit la disponibilité des ressources de traitement pour les inspections de pare-feu hautes performances et vous offre la capacité permettant de prendre en charge l'augmentation du trafic.

Dans ce modèle actif-actif, trois facteurs peuvent intervenir dans votre satisfaction à long terme.

Le modèle d'équilibrage de la charge est le premier facteur à prendre en compte. Si vous avez besoin de composants d'équilibrage de la charge distincts, sachez que ces composants supplémentaires contribuent à augmenter les coûts d'investissement et la complexité opérationnelle puisque, en général, ils exigent au moins un périphérique, un serveur de gestion et une console en plus à gérer et à surveiller.

Le deuxième facteur est une limitation éventuelle du nombre de nœuds. Avec certains systèmes, seuls quelques nœuds peuvent être mis en cluster. Une telle conception vous oblige à prévoir et à investir dès le départ dans un système capable de prendre en charge vos pics de trafic éventuels, au lieu d'ajouter des nœuds à mesure que vos charges de traitement augmentent. Si toutes les autres fonctionnalités se valent, optez pour un système capable de prendre en charge dix nœuds ou plus.

Enfin, prenez en compte la facilité de maintenance. Quel est le plan de maintenance des périphériques pare- feu mis en cluster ? L'équilibrage de la charge devrait permettre une mise à niveau ou une maintenance indépendante des nœuds. Un tel modèle vous offre la possibilité d'effectuer une mise à niveau progressive des nœuds et d'exécuter différentes versions du code de pare-feu, sans nuire à la qualité de l'inspection ni à la disponibilité. En cas de défaillance d'un nœud du pare-feu, le modèle d'équilibrage de la charge doit prévoir la redirection du trafic vers un autre nœud pour éviter tout rejet du trafic. Cette conception dynamique et transparente garantit la continuité de l'inspection et de la mise en œuvre des stratégies.

Sécurité contextuelle pour un contrôle de l'accès plus granulaire

Le contrôle des applications et des utilisateurs fait partie des fonctionnalités de base des pare-feux de nouvelle génération. Elles représentent un grand progrès par rapport aux règles d'autorisation et de blocage des anciens pare-feux. Cela étant, dès que les entreprises commencent à configurer des règles pour gérer ces contrôles, beaucoup constatent que les règles basées sur les applications et les utilisateurs restent simplistes. En effet, si elles sont adaptées aux principales applications jugées dangereuses (par exemple le partage de fichiers gratuit), elles sont souvent inefficaces dans les cas plus complexes, tels que l'utilisation de LinkedIn. Le problème majeur réside dans le fait que peu de services informatiques possèdent une visibilité suffisante sur les utilisateurs et les applications pour bloquer ceux-ci sans risque de se tromper. Ils ne veulent pas donner l'impression de contrôler l'accès aux applications de façon arbitraire, pour ensuite devoir répondre à de multiples demandes d'assistance de la part d'utilisateurs mécontents.

Les administrateurs préfèrent configurer des seuils basés, par exemple, sur le nombre d'occurrences d'une situation spécifique dans une période donnée, sur un groupe ou une séquence d'événements. Ils cherchent à corréler et à agréger des événements, notamment ceux recueillis sur différentes sondes de pare-feux NGFW. Ce regroupement d'événements et de facteurs offre plus de certitudes et de visibilité sur les activités, qu'elles concernent l'utilisation des réseaux privés virtuels (VPN) distants ou la navigation Internet.

Une telle approche offre de nombreux avantages. Ainsi, l'association des adresses IP entrantes et sortantes peut être très utile lorsque les administrateurs s'inquiètent d'une menace interne spécifique, d'un réseau de robots ou d'une attaque présumée. Toutes ces options de contrôle contextuelles offrent au service informatique la possibilité de concilier le développement des activités et la protection de l'entreprise.

« Les systèmes de sécurité réseau doivent être en mesure de normaliser le trafic sur chaque couche TCP/IP.

Malheureusement, bon nombre d'entre eux privilégient la vitesse au détriment de la sécurité du réseau et prennent inévitablement des raccourcis. Ils n'inspectent pas les quatre couches du modèle TCP/IP. Ils gagnent peut-être en rapidité mais laissent le réseau vulnérable aux techniques de contournement avancées. »

— Advanced Evasion Techniques for Dummies3 (Les techniques de contournement avancées pour les nuls)

(5)

Protection avancée et automatisée contre des tactiques en constante évolution

Les pare-feux de nouvelle génération intégrés renforcent et complètent les systèmes de protection en place et mettent en œuvre des pratiques de défense en profondeur. Les fonctions antimalware et IPS permettent d'identifier et de bloquer les logiciels malveillants connus ainsi que les menaces de type « jour zéro » ciblant des vulnérabilités non corrigées. En général, ces systèmes se fondent sur les signatures ou le comportement pour identifier le code malveillant. En outre, le contrôle des applications permet à l'équipe informatique de diminuer la surface d'attaque en limitant l'utilisation d'applications et de contenu à risque. Ensemble, ces fonctionnalités représentent un réel avancement dans la protection de la périphérie du réseau par rapport aux pare-feux d'ancienne génération. Elles sont tout particulièrement efficaces pour la protection des sites distants dont les systèmes de défense et les stratégies fonctionnent de concert pour améliorer la stratégie de sécurisation du réseau de l'organisation.

Malheureusement, les cybercriminels ne cessent d'inventer de nouveaux stratagèmes pour contourner les solutions de protection généralistes. Alors qu'auparavant, les pirates pouvaient réussir en investissant simplement dans le chiffrement et les logiciels malveillants polymorphes, les hackers les plus déterminés et évolués à l'heure actuelle s'introduisent dans les réseaux en distribuant du code malveillant sous la forme de différentes charges actives, souvent dissimulées. Il leur arrive d'envoyer les charges actives via toute une série de protocoles, par exemple FTP, HTTP et HTTPS. Grâce à cela, le code peut échapper à la détection des systèmes de défense classiques basés sur la comparaison de signatures et de modèles et sur l'identification des anomalies de protocole.

Pour bloquer ces tactiques de contournement, la solution consiste à normaliser le trafic des couches trois à sept, de décomposer et d'examiner tout le flux de données avant de réassembler les différentes parties en un tout unifié. Une fois réassemblé, le code peut être inspecté à l'aide de signatures et de modèles.

Combinée aux autres défenses proposées par un pare-feu de nouvelle génération, cette technique de protection contre le contournement représente ce qui se fait de mieux en matière de technologies de protection du réseau en ligne. Si votre pare-feu de nouvelle génération peut vous offrir ces fonctionnalités, vous pourrez incorporer les défenses indispensables de demain dans le réseau d'aujourd'hui.

Plate-forme logicielle unifiée

Cet éventail d'outils de protection doit faire partie d'une architecture opérationnelle flexible et efficace.

Les équipes chargées de la sécurité du réseau doivent évaluer les fonctionnalités de contrôle et d'inspection des pare-feux de nouvelle génération par rapport à leurs exigences en matière d'efficience opérationnelle et d'efficacité de la protection.

Pour bénéficier d'une protection efficace, vous devez être en mesure d'implémenter les fonctions d'analyse les plus avancées et d'exploiter pleinement tous les contrôles que vous déployez. Si vous espérez déployer un système tout en un, méfiez-vous des implémentations qui vous contraignent à faire un choix parmi les fonctions de protection (en sacrifiant par exemple le contrôle des applications au profit de la prévention des intrusions), ou encore de celles qui désactivent les inspections ou d'autres fonctionnalités en cas de pics de trafic.

Même si ces restrictions vous semblent acceptables pour le moment ou si vous appréciez avoir la possibilité de déployer un pare-feu/VPN, un pare-feu NGFW et un système IPS comme bon vous semble, il est souhaitable de posséder une architecture logicielle commune pour toutes ces solutions. Une plate- forme commune permet de véritablement intégrer les stratégies et les règles afin de traiter efficacement le trafic, de mieux exploiter les ressources de traitement et d'éviter les anomalies. Comme vos impératifs métier, votre architecture réseau et votre niveau de risque peuvent changer rapidement, une conception unifiée vous aide à réagir instantanément et à adapter les configurations de pare-feu sans payer le prix d'une mise à niveau « lourde » du matériel.

Une plate-forme logicielle unifiée offre un second avantage : l'efficacité opérationnelle. Des années de maintenance de pare-feux d'ancienne génération vous ont probablement sensibilisé au problème posé par la complexité opérationnelle des pare-feux. Gestion des règles, passage d'une console d'administration à une autre, intégration des données à l'aide de feuilles de calcul : toutes ces tâches quotidiennes fastidieuses représentent au bout d'une année des semaines de travail. Si les sites et les pare-feux à gérer se multiplient, cette charge opérationnelle, souvent réalisée par des effectifs de plus en plus réduits, finit par se compter en mois.

Plus vous ajoutez des fonctionnalités au pare-feu, par exemple l'équilibrage de la charge ou un VPN, plus il est essentiel d'être efficace. Il doit être possible, par exemple, de réutiliser des stratégies granulaires sur les différents pare-feux. Une architecture de stratégies centralisée offre un moyen pratique de configurer un contrôle fin et cohérent dans vos règles de pare-feu.

« Depuis le dernier trimestre 2011, les appliances de sécurité intégrées ne cessent d'augmenter leur part de marché et Infonetics prévoit de nouvelles augmentations trimestrielles jusqu'à la fin du premier semestre de l'année 2014. »

— Network Security Appliances and Software (Appliance et logiciels de sécurisation du réseau), Infonetics Research, septembre 20134

(6)

Une architecture de protection intégrée vous offre en retour la possibilité d'intégrer la gestion de vos systèmes de protection, ce qui vous permet d'être plus efficace et de disposer d'une connaissance situationnelle des événements réseau. Le système peut corréler et analyser les journaux pour vous, présenter les événements dans une console commune et offrir des graphiques et des analyses capables d'identifier à la fois les tendances et les événements majeurs dès qu'ils se produisent.

Certaines entreprises demandent à leur équipe informatique de gérer des domaines multiples ou distribués, par exemple pour différentes unités organisationnelles ou en tant que fournisseur de services de sécurité managés (MSSP). Dans de tels cas, il est essentiel de pouvoir partager les tâches communes et de surveiller la situation à partir d'un seul écran, tout en préservant l'isolation logique de chaque domaine. Alors que les entreprises migrent de plus en plus vers le cloud, ces fonctionnalités représentent un formidable atout des pare-feux de nouvelle génération.

L'intégration et l'automatisation des stratégies, des processus et des outils au sein d'une architecture et d'une plate-forme logicielles unifiées représentent un élément capital pour exploiter pleinement la sécurité offerte par les pare-feux de nouvelle génération. Vos contrôles et contre-mesures sont plus efficaces tandis que la charge opérationnelle est réduite.

Exigez plus

L'adoption d'un pare-feu de nouvelle génération doit vous permettre d'étoffer considérablement l'arsenal d'outils de protection et de contrôles à déployer dans votre réseau. Les fonctionnalités NGFW de base, notamment un contrôle élémentaire des applications, vous offrent un point de départ pour votre liste d'exigences. Toutefois, ces fonctionnalités de base ne sont qu'un début. Vous pouvez exiger d'autres fonctionnalités intéressantes : la prévention des intrusions, les règles contextuelles, l'analyse avancée des contournements des défenses, le contrôle de l'accès sécurisé et la haute disponibilité.

Au-delà des fonctionnalités, exigez la performance opérationnelle. Intéressez-vous à l'approche adoptée par vos fournisseurs pour faire face à la réalité actuelle : des compétences et des ressources administratives limitées confrontées à des exigences croissantes et à un besoin accru de visibilité, de solutions de défense créatives et de connaissances situationnelles. Demandez-leur comment ils peuvent vous aider à prendre en charge les charges de traitement futures, à optimiser les ressources et à détecter et à neutraliser la prochaine vague de menaces et leurs nouvelles techniques. En posant ces questions maintenant, vous pouvez protéger votre investissement en même temps que votre réseau, et éviter les déconvenues, les interruptions et les dépenses inutiles par la suite.

A propos des solutions McAfee de sécurisation des réseaux

McAfee propose une gamme complète de solutions de sécurisation des réseaux qui font partie intégrante du cadre d'implémentation Security Connected. Pour en savoir plus sur l'approche de McAfee en matière de pare-feux de nouvelle génération, consultez la page www.mcafee.com/fr/

products/next-generation-firewall.aspx.

A propos de McAfee

McAfee, filiale à part entière d'Intel Corporation (NASDAQ : INTC), met ses compétences au service des entreprises, du secteur public et des particuliers pour les aider à profiter en toute sécurité des avantages d'Internet. McAfee propose des solutions et des services proactifs réputés, qui assurent la sécurisation des systèmes, des réseaux et des terminaux mobiles dans le monde entier. Avec sa stratégie Security Connected, une approche innovante de la sécurité optimisée par le matériel, et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, McAfee consacre tous ses efforts à garantir à ses clients une sécurité sans faille. www.mcafee.com/fr

McAfee S.A.S.

Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France

+33 1 47 62 56 00 (standard)

1 http://resources.idgenterprise.com/original/AST-0088044_2013_NGFW_Challenge_document_FINAL.pdf

2 http://www.mcafee.com/fr/products/next-generation-firewall.aspx

3 Ibid.

4 http://www.infonetics.com/pr/2013/2Q13-Network-Security-Market-Highlights.asp

McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2013 McAfee, Inc.

Figure

Updating...

References

Related subjects :