10 principalesfonctions que doit posséder votre prochain pare-feu

PAN_10TBKLT_100913_FR.indd 1 10/9/13 12:19 PM

Arrêtez de penser :Pare-feu traditionnel.

Pensez :Pare-feu nouvelle génération.

PAN_10TBKLT_100913_FR.indd 2 10/9/13 12:19 PM

Pensez :Pare-feu nouvelle génération.

IntroductionFace aux menaces toujours plus complexes qui sévissent aujourd’hui dans le cyberespace, le choix de votre prochain pare-feu n’est pas une mince affaire et ne se limite plus à la comparaison de caractéristiques techniques. Il s’agit désormais d’adopter une nouvelle approche afin de favoriser et non plus freiner le développement de votre entreprise. Il est nécessaire de trouver un juste équilibre entre les besoins de l’entreprise et les risques métier et de sécurité induits par les applications actuelles. Le monde a évolué et vous ne pouvez plus vous protéger en utilisant des mécanismes de sécurité qui étaient performants lorsque seuls les navigateurs et les messageries électroniques étaient utilisés sur Internet. Il est donc nécessaire d’étudier les 10 principales fonctions que votre prochain pare-feu doit posséder, et qui sont décrites dans ce document.

PAN_10TBKLT_100913_FR.indd 3 10/9/13 12:19 PM

1

Arrêtez de penser :Mur de briques.

Pensez :Horizon infini.

Identifier et contrôler les applications sur n’importe quel portLes développeurs d’applications ne respectent plus la trilogie standard port/protocole/application autrefois en vigueur. De plus en plus d’applications traversent votre réseau par des ports non standard ou peuvent changer dynamiquement de port (messagerie instantanée, partage de fichiers peer to peer ou VoIP, par exemple). Par ailleurs, les utilisateurs sont de plus en plus expérimentés et peuvent forcer les applications à s’exécuter sur des ports non standard, comme RDP, SSH. Pour appliquer des politiques spécifiques aux applications afin de pallier les lacunes des ports, votre prochain pare-feu doit supposer que n’importe quelle application peut s’exécuter sur n’importe quel port.

PAN_10TBKLT_100913_FR.indd 4 10/9/13 12:19 PM

2Identifier et contrôler toutes les solutions de contournementDans leur grande majorité, les entreprises mettent en place des politiques de sécurité ainsi que des contrôles capables de les faire respecter. Proxys externes, outils d’administration à distance de serveurs/postes de travail et tunnels chiffrés sont autant d’applications utilisées pour contourner les mécanismes de sécurité comme les pare-feu. Si elle n’a pas la capacité d’identifier et de contrôler ces outils, votre entreprise ne peut pas appliquer ses politiques de sécurité et s’expose aux cyberattaques dont elle pensait être à l’abri. Votre prochain pare-feu doit pouvoir détecter ces solutions de contournement.

Pensez :Horizon infini.

PAN_10TBKLT_100913_FR.indd 5 10/9/13 12:19 PM

3Déchiffrer SSL et contrôler l’usage de SSHAujourd’hui, le nombre d’applications populaires qui utilisent SSL pour chiffrer le trafic réseau avoisine les 25 %. Du fait de l’utilisation croissante de HTTPS dans des applications à haut rendement et à haut risque et de la possibilité d’activer manuellement SSL sur de nombreux sites, les équipes chargées de la sécurité doivent faire face à une perte de visibilité de plus en plus importante. Dans la mesure où de plus en plus d’utilisateurs expérimentés utilisent SSH, l’angle mort du chiffrement est plus important que vous ne le pensez. Votre prochain pare-feu doit être capable de déchiffrer et d’inspecter le trafic SSL sur tous les ports et d’être suffisamment flexible pour ignorer certains segments (trafic Web issu de services financiers ou médicaux, par exemple) et imposer l’utilisation native de SSH par le biais d’une politique.

Arrêtez de penser :Portes closes.

Pensez :Liberté totale.

PAN_10TBKLT_100913_FR.indd 6 10/9/13 12:19 PM

4Contrôler les différentes fonctions d’une même applicationDe nombreuses applications possèdent des fonctions variées, présentant pour votre entreprise une utilité et des profils de risque différents. Certaines applications proposent par exemple une fonction destinée aux entreprises et une autre aux particuliers (WebEx et WebEx Desktop Sharing ou Google Mail et Google Talk par exemple). Si votre entreprise dispose de propriété intellectuelle, la prise de main à distance d’un poste de travail et le transfert de fichiers peuvent constituer un risque pour la sécurité ou la conformité réglementaire. Votre prochain pare-feu doit continuellement identifier le trafic et surveiller les changements. Si une nouvelle application est introduite au cours de la session, le pare-feu doit voir le changement et revérifier la politique de sécurité.

Pensez :Liberté totale.

PAN_10TBKLT_100913_FR.indd 7 10/9/13 12:19 PM

5Gérer systématiquement le trafic inconnu Bien qu’en faible volume, un trafic d’origine inconnue circule sur tous les réseaux. Il peut s’agir d’une application propre à l’entreprise, d’une application commerciale non encore identifiée ou d’une menace. Quelle que soit sa nature, le trafic inconnu représente toujours des risques métier et de sécurité élevés. Alors que bloquer tout le trafic inconnu freine les activités métier, il est très risqué de tout laisser passer aveuglément. L’idéal est de pouvoir identifier et analyser le trafic de manière systématique et d’appliquer les règles requises pour minimiser les risques sans nuire à l’entreprise. Votre prochain pare-feu doit identifier tout le trafic et décrire les applications propres à l’entreprise de manière à ce que la politique de sécurité puisse les « reconnaître ». Il doit analyser le trafic pour savoir s’il s’agit d’une menace, déceler le trafic encore inconnu et appliquer la politique de sécurité.

Arrêtez de penser :Quelles données

circulent sur mon réseau ?

Pensez :Mon réseau est sécurisé.

PAN_10TBKLT_100913_FR.indd 8 10/9/13 12:19 PM

6

Bloquer les menaces connues et inconnues dans les applications autoriséesPour optimiser leur efficacité, les entreprises utilisent une multitude d’applications hébergées sur site et hors site. Qu’il s’agisse d’une application hébergée comme SharePoint, Box.net, Google Docs, Microsoft Office365 ou d’une application extranet hébergée par un partenaire, votre entreprise est susceptible d’utiliser une application qui passe par des ports non standard, utilise SSL ou partage des fichiers. Ce type d’application augmente certes l’efficacité de l’entreprise, mais engendre aussi des risques métier et de sécurité. Votre prochain pare-feu doit pouvoir sécuriser l’activation des applications, c’est-à-dire qu’il doit pouvoir autoriser une application tout en contrôlant le transfert des fichiers par type et analyser l’application pour détecter d’éventuelles menaces, connues et inconnues, sur tous les ports.

Pensez :Mon réseau est sécurisé.

PAN_10TBKLT_100913_FR.indd 9 10/9/13 12:19 PM

7Assurer une sécurité cohérente pour tous les utilisateurs et les équipements Une part importante de votre personnel travaille désormais à distance et les utilisateurs s’attendent à pouvoir se connecter à leurs applications par WiFi, 3G et 4G ou tout autre moyen à leur disposition, de façon transparente et cohérente. Quel que soit l’endroit où se trouve l’utilisateur ou le type d’équipement qu’il utilise, les mêmes principes de contrôle applicatif du réseau doivent s’appliquer. Si votre prochain pare-feu permet la visibilité et le contrôle des applications sur le trafic interne mais pas sur le trafic externe de l’entreprise, il laissera passer des flux à hauts risques.

Arrêtez de penser :Immobilité.

Pensez :Liberté de mouvement.

PAN_10TBKLT_100913_FR.indd 10 10/9/13 12:19 PM

8Simplifier la sécurité réseauLes administrateurs doivent déjà faire face à une multitude de flux d’informations, à d’innombrables politiques de sécurité et aux différentes interfaces d’administration des équipements. Comment imaginer leur en demander davantage ? Sachant qu’un pare-feu fait intervenir des milliers de règles dans une installation classique, votre prochain pare-feu doit alléger la charge des administrateurs en ayant la capacité d’identifier et de contrôler les applications, les utilisateurs et le contenu traversant votre réseau, de lancer des investigations plus rigoureuses et de générer tous les rapports nécessaires.

Pensez :Liberté de mouvement.

PAN_10TBKLT_100913_FR.indd 11 10/9/13 12:19 PM

9Fournir le même débit et les mêmes performances une fois le contrôle des applications activéDe nombreuses entreprises se refusent à choisir entre performances et sécurité. L’activation de fonctions de sécurité implique trop souvent une baisse significative du débit et des performances. Si votre prochain pare-feu est bien conçu, vous n’aurez plus à faire de compromis. Dans la mesure où il est nécessaire d’exécuter sur des volumes de trafic importants et avec une faible latence des tâches exigeant une puissance de calcul importante, telles que l’identification des applications, la plateforme matérielle de votre prochain pare-feu doit être optimisée pour des tâches spécifiques comme la mise en réseau, la sécurité et l’analyse du contenu.

Arrêtez de penser :Complexité.

Pensez :Simplicité.

PAN_10TBKLT_100913_FR.indd 12 10/9/13 12:19 PM

10

Assurer les mêmes fonctions qu’il s’agisse d’un environnement physique ou virtuel Si les avantages de la virtualisation sont considérables, les défis de sécurité le sont tout autant. Dans la mesure où ils se basent sur les informations de ports et de protocoles, les pare-feu traditionnels peinent à faire face aux ajouts et aux retraits automatiques des instances de machines virtuelles. De par sa nature dynamique, le data center virtualisé impose que le trafic de l’environnement virtuel (trafic est-ouest) soit également sécurisé de manière dynamique et automatique. Votre prochain pare-feu doit fournir les mêmes fonctions dans les environnements physiques et virtuels. Il doit parfaitement s’intégrer à l’environnement de virtualisation afin de simplifier la création des stratégies d’activation des applications à mesure de l’ajout et du retrait des machines virtuelles et des applications.

Pensez :Simplicité.

PAN_10TBKLT_100913_FR.indd 13 10/9/13 12:19 PM

Arrêtez de penser :Ces utilisateurs.

Pensez :Nous.

PAN_10TBKLT_100913_FR.indd 14 10/9/13 12:19 PM

ConclusionLes applications aident les utilisateurs à accomplir leur travail et à conserver leur efficacité face à des enjeux personnels et professionnels. À mesure qu’ils adoptent de nouvelles applications et technologies, les utilisateurs engendrent involontairement de nouveaux risques de sécurité. Alors qu’autoriser toutes les applications n’est pas raisonnable, les bloquer constitue un réel frein à vos activités. Il va donc de soi que l’activation sécurisée des applications devient une priorité. La mise en œuvre de l’activation sécurisée des applications passe par l’étude systématique de leur utilisation, l’identification des besoins de l’entreprise et la définition d’un modèle d’utilisation approprié à mesure que les politiques évoluent et la mise en œuvre de ce modèle par le biais de la technologie. Le document Les 10 principales fonctions que doit posséder votre prochain pare-feu peut vous aider à mettre en place les contrôles nécessaires, surtout face à un environnement aussi riche et varié d’applications et de menaces. Sans une infrastructure de sécurité réseau capable de prendre en charge cette diversité et cette ampleur, il est impossible de sécuriser l’activation des applications dont vous avez besoin et de gérer efficacement les risques. La seule solution : un pare-feu nouvelle génération qui assure pleinement ces 10 fonctions.

PAN_10TBKLT_100913_FR.indd 15 10/9/13 12:19 PM

Pour en savoir plus

Voir une démonstration : http://www.paloaltonetworks.com/demo

Demander une évaluation de la sécurité réseau : http://www.paloaltonetworks.com/avr

©2013 Palo Alto Networks, Inc. Tous droits réservés. Palo Alto Networks et le logo Palo Alto Networks sont des marques de fabrique ou des marques réservées de Palo Alto Networks, Inc. Toutes les autres marques appartiennent à leurs propriétaires respectifs. Les spécifications peuvent être modifiées sans préavis. PAN_10TBKLT_100913_FR

PAN_10TBKLT_100913_FR.indd 16 10/9/13 12:19 PM