Upload
george-jane
View
217
Download
0
Embed Size (px)
DESCRIPTION
pan
Citation preview
. Livre Blanc
Pare-feux de nouvelle générationRetrouver l’efficacité par la visibilité et le contrôle des applications
. Livre Blanc
feux de nouvelle génération. Retrouver l’efficacité par la visibilité et le contrôle des applications.
avec
Retrouver l’efficacité par la visibilité
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Pare-feux de nouvelle génération Retrouver l’efficacité par la visibilité et le contrôle des applications
Pourquoi une nouvelle génération de firewall ? ..................................................................................... 4
La professionnalisation des menaces .................................................................................................. 4
Ripostes positives contre Ripostes négatives ..................................................................................... 5
Le danger au coeur des applications ................................................................................................... 5
Les matériels actuels sont dépassés........................................................................................................ 7
Faible visibilité ..................................................................................................................................... 7
Mécanismes de réponse inadéquats ................................................................................................... 8
Performances insuffisantes ................................................................................................................. 9
Le nouveau firewall ............................................................................................................................... 10
L’inspection des applications au cœur du dispositif ......................................................................... 10
Identification et inspection puissantes ............................................................................................. 10
Une protection totalement intégrée contre les menaces ................................................................. 11
Une gestion des règles rationalisée .................................................................................................. 12
Un matériel pour rendre possible, sans freiner ................................................................................ 12
Fonctions essentielles pour une solution complète .............................................................................. 13
En résumé .............................................................................................................................................. 14
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Pare-feux de nouvelle génération Retrouver l’efficacité par la visibilité et le contrôle des applications
Les passerelles de sécurité réseau sont assiégées. De nouvelles menaces sont lancées plus
rapidement que jamais et ciblent de plus en plus des vulnérabilités à la couche applicative.
Dans le même temps les applications centrées sur l’utilisateur et les applications
d’entreprises profitent des ports et services communément autorisés pour assurer leur
passage à travers les périmètres de sécurité et pour faciliter leur fonctionnement dans la plus
large gamme possible de scenarii réseaux. Il en résulte aujourd’hui une érosion continue de
l’efficacité des firewalls et, par conséquent, la mise en lumière de défauts fondamentaux
dans leur conception initiale, tout comme la nécessité d’apporter des modifications
importantes dans le fondement même des stratégies de sécurité.
Ce document va d’abord explorer la combinaison des facteurs connus et émergents révélant les déficiences de
conception des firewalls actuels. Ces problèmes et défauts seront par la suite utilisés pour établir les critères qui
définissent la solution idéale : un firewall de nouvelle génération qui incorpore en son cœur l’inspection de
l’application.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Pourquoi une nouvelle génération de firewall ? Plusieurs tendances nuisent à l’efficacité des produits firewalls conventionnels et appellent
finalement une solution de nouvelle génération. D’une manière générale, ces tendances sont
liées à deux évolutions : l’évolution des menaces d’une part, et l’évolution des applications
d’autre part.
La professionnalisation des menaces
Le changement net du paysage des menaces provient d’abord d’un glissement significatif de la motivation du
hacker. C’est simple : les hackers ne « hackent » plus pour bâtir leur réputation. Ils le font maintenant pour de
l’argent. En conséquence, il n’est plus dans leur intérêt d’inventer des menaces rapides et bruyantes, sans
conséquence sur le réseau. Le but du jeu est le vol d’informations. Ceci conduit à deux routes distinctes, que
nous appellerons la route haute et la route basse.
Sur la route haute, le but n’est pas seulement de commettre le crime, mais de le maintenir non détecté le plus
longtemps possible, préservant ainsi la valeur des données volées et permettant aussi des répéter les mêmes
mécanismes d’attaque. De tels objectifs ont fait bondir la sophistication des menaces qui sont générées. Les
« Rootkits » (outils de dissimulation d’activité) sont par exemple largement répandus. Ces éléments de
programme exploitent les failles au niveau du kernel pour masquer d’autres types de malware, leur permettant
d’accomplir de manière persistante les taches nuisibles pour les lesquelles ils ont été conçus. (e.g. interceptions
de frappes clavier).
Dans le cas particulier d’une attaque ciblée, les hackers portent toute leur attention sur une organisation à la fois,
construisant des mécanismes d’attaque sur mesure pour tirer parti des équipements, systèmes, applications et
configurations spécifiques, voire du personnel dans un endroit précis.
La sophistication des attaques augmente pour attaquer la couche applicative car les hackers ont réalisés depuis
bien longtemps que la majorité des ripostes déployées se concentrent sur la protection de la couche réseau. Il
n’est dès lors pas surprenant que plus de 80% de tous les nouveaux malwares et tentatives d’intrusion exploitent
les faiblesses des applications et non celles des composants et services réseaux.
A contrario, les aventuriers de la route basse délaissent la sophistication pour la vitesse- vitesse dans la
génération de la menace, vitesse de modification, et vitesse de propagation. Le but est de développer, lancer et
rapidement répandre de nouvelles menaces dès la connaissance d’une nouvelle vulnérabilité. Les attaques de
type “zero-day” ou “near-zero day” qui en résultent connaissent ainsi un certain succès car les mesures de
ripostes comme les patches et les outils basés sur les signatures (ex. logiciels antivirus et systèmes de détection
d’intrusion), sont réactives et incapables de suivre – au moins dans les premières phases d’une nouvelle attaque.
Cette approche basée sur la vitesse est largement facilitées par la prolifération de sites web de développement
de menaces, de kit de développement et autres « frameworks ». Pire, un effet multiplicateur de ces ressources
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
est la capacité de facilement transformer une menace connue en une menace inconnue, au moins du point de
vue des outils basés signatures. Cette transformation peut être accomplie soit en faisant une petite modification
du code, soit en ajoutant des mécanismes complets de nouvelle propagation ou d’entrée. On se réfère alors à
une attaque dite combinée.
A chaque occasion, la sophistication et la vitesse croissantes des menaces soulignent le besoin de ripostes
proactives sur un modèle positif, avec un contrôle et une visibilité étendue aux couches supérieures du réseau.
Ripostes positives contre Ripostes négatives
Les ripostes sur le modèle négatif fonctionnent sur la
base de l’énumération de toutes les communications
et de tout le contenu réputés mauvais en vertu de
leur potentiel de nuisance. Les logiciels antivirus et
les systèmes de détection d’intrusion (IPS) sont des
exemples classiques de ce type d’outils. Mais les
nouvelles menaces ne peuvent être stoppées tant
qu’elles ne sont pas identifiées et tant que les outils ne sont pas mis à jour par des moyens spécifiques pour les
détecter (e.g. une signature).
A l’inverse, les ripostes sur le modèle positif fonctionnent sur la base d’autorisation de communications reconnues
comme appropriées ou nécessaires dans une situation donnée, excluant ainsi tout le reste. L’avantage est que de
telles communications peuvent être définies à l’avance, permettant ainsi aux outils associés comme les firewalls,
de bloquer automatiquement une large gamme de menaces connues et inconnues.
Le danger au coeur des applications
Le besoin de ripostes ayant une meilleure connaissance des applications est amené par les changements
continuels du paysage applicatif. En premier lieu, les applications dites « centrées sur l’utilisateur » (‘user-centric’)
englobant les communications personnelles comme la messagerie instantanée, le partage de fichiers poste-à-
poste (P2P), la messagerie web, et la collaboration voix/vidéo sur IP., lancent plusieurs défis d’un point de vue
informatique et sécurité :
• Leur forte popularité impose la présence de ces applications sur le poste de travail, même si les règles
générales en décident autrement. Cette prégnance est rendue possible par la capacité de ces applications à
ajuster dynamiquement leurs moyens de communications. Pour être plus précis : nombre de ces applications
échappent aux mécanismes traditionnels de sécurité en changeant aléatoirement les ports et protocoles de
Contrôle Positif
Contrôle Négatif
Technologies de sécurité
Firewall Conventionnel « stateful »
IPS/DPI Antivirus Antispyware
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
communication, ou en se masquant derrière des services communément utilisés (ex. : http, https). On parle
alors, respectivement, de techniques d’évasion et de « tunneling ».
• Elles attirent de plus en plus l’attention des hackers, à la fois en tant que moyen de transport des malwares
mais aussi en tant que cible en elles-mêmes. Ainsi, le classement SANS TOP 20 des attaques de sécurité
Internet a classé les applications P2P et de messageries instantanées respectivement 10e et 11e.
• Dans de nombreux cas, elles servent maintenant des objectifs métiers légitimes, pas uniquement récréatifs.
Mais si les outils réseau et sécurité ne sont pas capables de faire une distinction suffisamment granulaire, on en
vient au choix du tout ou rien : soit les deux types d’utilisation sont supportées, soit aucune.
Les applications métiers présentent, elles, un autre problème inhérent à leur nature. Pour des questions de
productivité et d’organisation, comme un déploiement et un développement plus simple, d’économies potentielles,
ou une meilleure accessibilité, de nombreuses applications client-serveur sont migrées vers des technologies
web. Certaines de ces applications sont même remplacées maintenant par des services web hébergés (SaaS –
‘Software as a Service’), comme Salesforce.com ou la suite d’applications bureautiques de Google. Le problème
est que ces applications essentielles à l’entreprise ne sont plus différentiables de la pléthore d’applications
beaucoup moins importantes qui utilisent HTTP pour les communications réseaux. Elles ne peuvent alors plus
être contrôlées par des règles distinctes, ni être traitées à différents niveaux de service.
Ces nouveaux aspects du paysage applicatif renforcent par conséquent le besoin pour des solutions de sécurité
ayant une connaissance et un contrôle approfondis de chaque application. Sans de telles capacités, une quantité
significative de trafic non désiré et potentiellement vecteur de menaces envahit les réseaux d’entreprise.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Les matériels actuels sont dépassés
Qu’ils soient autonomes ou composant de base des solutions de gestion unifiée des
menaces (UTM), les firewalls sont de loin la solution de sécurité réseau la plus
communément déployée. Parce que les firewalls fondent leurs contrôles sur le modèle
positif, on peut raisonnablement penser qu’ils seront capables d’adresser les problèmes
évoqués ci-dessus. En pratique, la plupart des firewalls déçoivent rapidement, en premier
lieu à cause de la combinaison de trois facteurs : une visibilité faible, des mécanismes de
réponse inadéquats et des performances insuffisantes.
Faible visibilité
La plupart des firewalls sont “hypermétropes”. Ils peuvent discerner les formes générales des choses, mais les
détails les plus fins de ce qui se passe vraiment leur échappent. En d’autres termes, la plupart des firewalls
peuvent distinguer des services à la couche applicative sur la base de numéros de port établis (ex. port TCP 80
= HTTP), mais ils sont incapables d’observer et, a fortiori, de contrôler les applications individuelles qui utilisent
ces services.
En effet, de nombreux firewalls filtrent en inspectant l’état du paquet (on parle d’inspection « stateful »). Ils
présentent 2 défauts : (1) ils estiment qu’un service applicatif donné est en cours d’utilisation en se basant sur le
numéro de port TCP/UDP apparaissant dans l’en-tête du paquet, et (2) ils ne regardent que le premier paquet
d’une session pour déterminer le type de trafic actuellement en traitement. En général, ces tactiques sont
utilisées pour améliorer les performances. Elles sont cependant trompeuses. La relation entre le numéro de port
et l’application n’est qu’une convention ; l’adhésion à cette convention n’est pas nécessaire pour établir les
communications de bout en bout. De plus, le premier paquet contient en général une quantité limitée
d’informations. Seul l’examen des paquets suivants permettrait d’établir avec fiabilité l’application, les fonctions
spécifiques ou les commandes en cours d’utilisation. En pratique, les firewalls qui présentent ces défauts ne
peuvent pas :
• Prendre correctement en compte les applications qui utilisent des ports non-standard, comme les serveurs web
fonctionnant sur un port autre que ceux associés à HTTP (i.e., 80 et 443), ou quand par exemple Yahoo!
Messenger fonctionne sur le port TCP 80 au lieu du port TCP 5050.
• Prendre correctement en compte le “tunneling” comme quand le P2P est vu comme un partage de fichier
autorisé, ou quand un client de messagerie instantanée comme Meebo fonctionne dans HTTP.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
• Fournir un contrôle granulaire de chaque fonction,
comme être capable de bloquer un transfert de fichier
effectué à l’intérieur d’une application de messagerie
instantanée qui, elle, est autorisée.
Finalement, le problème ne se situe pas dans le filtrage
par inspection de l’état du paquet, mais dans
l’implémentation de cette technologie. Etre “stateful”
signifie simplement que les sessions sortantes sont
suivies de manière à ce que les ports de communication
pour le trafic retour soient dynamiquement ouverts à la
demande au lieu d’être ouverts en permanence. Les
déficiences décrites précédemment viennent de la façon
dont ces sessions/applications sont initialement
classifiées, ce qui est une fonctionnalité séparée bien
qu’étroitement liée.
Mécanismes de réponse inadéquats
A leur crédit, les constructeurs de firewalls ont reconnu la nécessité d’améliorer leurs produits quand le problème
de la migration des menaces vers des couches supérieures a émergé, il y a maintenant plusieurs années. C’est
ainsi que sont nés le concept et la fonction largement connus sous le nom d’inspection approfondie des paquets
(DPI pour ‘Deep Packet Inspection’). Malheureusement, en dépit de ce que laisse entendre cette dénomination,
cette approche n’implique pas une correction de la vision du firewall. La DPI compense la faible visibilité en
ajoutant au produit un ou plusieurs moteurs de sécurité sur le modèle négatif. Ces moteurs ont certes l’avantage
d’avoir une couverture assez significative de la couche applicative : ce sont les logiciels antivirus et autres
systèmes de prévention d’intrusion (IPS).
En général, apporter du renfort dans la cohue du champ de bataille est une stratégie qui s’entend. Cependant,
dans ce cas, la situation s’apparente plutôt à la construction d’une maison sur des fondations de sable. Tout
semble bien au premier regard. Mais rapidement l’erreur critique se révèle quand la structure commence à ne pas
résister aux éléments auxquels elle est exposée. De manière similaire, ajouter une solution DPI à un firewall va
d’abord donner un coup d’accélérateur à l’efficacité de la sécurité, mais le degré d‘amélioration sera limité dans la
plupart des cas parce que d’une part, la fonction additionnelle est effectivement rajouté “par-dessus”, et d’autre
part, les fondations sur lesquelles elle s’appuie sont trop faibles pour construire.
En effet, si l’on regarde de plus près les problèmes et les limitations communes aux passerelles de sécurité qui
s’appuie sur une solution DPI au dessus de firewalls pauvres en visibilité applicative, l’on s’aperçoit que :
Figure 1: le filtrage “stateful” est incapable d’identifier
certaines applications qui utilise des techniques d’évasion
pour communiquer
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
• Tout ce qui doit être inspecté n’est pas nécessairement inspecté. Le trafic réseau est présenté au moteur DPI
seulement s’il correspond à une règle du firewall et si cette règle à un attribut associé qui active l’inspection des
menaces. A cet égard, les DPI peuvent donner un faux sentiment de sécurité, dans la mesure où des applications
dangereuses peuvent ne pas être vérifiées lorsqu’elles passent en « tunnel » de services généralement
considérés comme sûrs.
• Tout autre moteur de sécurité faisant partie du système global (e.g. antivirus, anti-spyware) est soumis à des
situations similaires. Encore une fois, le moteur de classification de base reste le firewall. Ainsi, même si le
moteur DPI a une visibilité intéressante sur les applications, l’information qui déclenche une inspection plus
approfondie des données n’est pas forcément fiable.
• La gestion des règles peut vite devenir complexe. Idéalement, les outils de sécurité ont une table de règles
pour contrôler les flux et une autre qui spécifie ce qui est fait quand une menace est détectée. Dans ce cas,
fournir un contrôle plus granulaire impliquerait d’imbriquer les règles de contrôle d’accès avec la partie de gestion
des menaces du produit – qui n’est elle-même qu’une partie d’une règle encore plus globale de contrôle d’accès.
• Les ressources systèmes sont souvent inefficacement utilisées. Ce problème apparait d’abord quand la solution
firewall incorpore des moteurs multiples de détection de menaces qui s’appuient fondamentalement sur des
techniques d’inspection similaires. (e.g. antivirus, anti-spyware, et DPI). Dans de tels cas, la quantité de
traitements redondants peut être considérable.
Et bien sûr, les traitements redondants ne font qu’exacerber le troisième facteur qui impacte l’efficacité des
firewalls actuels : l’incapacité à obtenir les performances adéquates.
Performances insuffisantes
Quelle que soit la technique utilisée, fournir une connaissance granulaire des applications est un processus très
intense pour la CPU et la mémoire. Ainsi, à moins qu’un firewall soit conçu à la base avec l’inspection de la
couche applicative comme pré-requis, il rencontrera des problèmes de performance. Par conséquent, des choix-
ou plutôt des compromis – devront être faits. Pour assurer les niveaux de performances adéquats, les fonctions
d’inspection à la couche applicative devront être implémentées sélectivement, et ce sera le cas de toute autre
fonction avancée de filtrage de ce type. Ainsi, l’impact sur les performances est une des raisons premières pour
lesquelles les fonctions des solutions DPI simplement rajoutées au-dessus du firewall ne peuvent pas être
activées pour toutes les règles.
Clairement, avoir juste l’objectif d’inspecter la couche applicative ne suffit pas. Pour répondre à ce problème,
certains fabricants essaieront d’avoir un matériel identique mais beaucoup plus gros et rapide. Cela finira
probablement par fonctionner tant bien que mal, mais d’une manière très peu optimale et assurément onéreuse.
En revanche, une architecture matérielle sur mesure, qui répartit les ressources entre les tâches prédéfinies
assurera que les niveaux de performances seront atteints.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Le nouveau firewall
Le paragraphe précédent a commencé à mettre en lumière des propriétés et fonctions qui
caractériseraient une solution pour venir à bout des défauts des firewalls actuellement
disponibles. Allons plus loin dans cette section. Globalement, pour être efficace, un firewall
de nouvelle génération doit inclure la gestion de l’application au cœur de sa conception, tout
en possédant la gamme complète de fonctions généralement associées aux robustes
plateformes de sécurité.
L’inspection des applications au cœur du dispositif
Malgré la combinaison prometteuse entre des ripostes sur le modèle négatif et positif, rajouter une solution DPI
au dessus d’un firewall à moitié aveugle est clairement loin d’être idéal. Démarrer avec un firewall qui possède
une meilleure vision à la base est une approche largement plus efficace. Des techniques puissantes basées sur
le modèle positif peuvent alors être appliquées dans une mesure beaucoup plus large, ne nécessitant plus de
faire appel aux fonctions d’inspection sur le modèle négatif pour s’assurer que les sessions sont effectivement
libres de menaces. Mais comme toujours, le diable est dans les détails.
Identification et inspection puissantes
Le but est de contrôler le flux de sessions de façon plus granulaire sur la base des applications spécifiquement
utilisées plutôt que de pointer une gamme de services réseaux souvent indifférenciés. Cet objectif repose sur une
approche multi-facteurs de l’inspection et de l’identification de l’application. Comme nous l’avons vu
précédemment, établir un port et un protocole est un premier pas, mais insuffisant. La présence et la bonne mise
en valeur d’une bibliothèque étendue de signatures d’applications sont beaucoup plus importantes.
Une signature est une suite d’indicateurs qui caractérisent une application et, par extension, la distingue
définitivement de toutes les autres. Détecter les signatures signifie notamment disposer des ressources
nécessaires pour conduire des inspections avancées comme : regarder au-delà de l’en-tête et dans le ‘payload’
de chaque paquet ; regarder au-delà du premier paquet d’une session donnée ; et même, parfois, reconstruire
des portions de session pour permettre des analyses de plus haut niveau. Pour les sessions réputées autorisées
notamment, un décodage de l’application et des inspections avancées devront être réalisées en continu : d’une
part pour permettre la mise en œuvre de règles spécifiques à l’application (ex. empêcher les transferts de fichiers
réalisés à l’intérieur d’une application de messagerie instantanées autorisée), et d’autre part pour faciliter la
précision et l’efficacité de l’utilisation des signatures de menaces (discuté dans la prochaine section).
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Une dernière considération dans ce domaine
concerne la capacité à gérer le trafic crypté,
un problème particulièrement pertinent étant
donné la prévalence d’applications
protégées par SSL. Or les firewalls
conventionnels ne peuvent inspecter un tel
trafic. Ils sont limités à appliquer des règles
sur la base de petites informations situés
dans les en-têtes de paquets (ex. adresse IP
source et destination). Pour passer outre
cette cécité, le firewall de prochaine
génération doit être idéalement équipé d’une
option de déchiffrement et re-chiffrement du
trafic SSL, permettant ainsi un contrôle
d’accès granulaire et une inspection plus
précise des menaces
encapsulées.
Une protection totalement intégrée contre les menaces
Qu’une session soit autorisée par une règle ne signifie pas qu’elle est libre de menaces. Ceci est vraie quelle que
soit la granularité avec laquelle la règle est appliquée, et c’est pourquoi il est tout à fait pertinent d’apporter des
fonctions d’inspection détaillées dans le cœur de l’application. Cependant, ajouter simplement à un firewall une
série de moteurs de protection séparés est la bonne recette pour avoir des problèmes. Bien que cette approche
doive améliorer la sécurité, le système se grippe forcément d’un point de vue performance, forçant les sociétés à
faire un compromis entre les deux.
Par contraste, avoir une protection totalement intégrée contre les menaces réduit significativement le fardeau
pesant sur les performances, sans plus faire de compromis sur la sécurité. Cette approche prévoit en effet un
unique moteur de protection, au lieu d’en dédier un à l’antivirus, un à l’antispyware, un à la détection/prévention
d’intrusion, etc. Il en résulte moins d’allers-retours entre les processus internes, et plus significativement, les
paquets ne sont plus traités de manière redondante. Bien-sûr, le pré-requis pour un moteur unique est d’avoir un
format de signature standard. Les sociétés bénéficient ainsi d’une réduction du nombre de compétences diverses
nécessaires pour administrer les solutions autant que pour le développement de signatures sur mesure.
Figure 2: la classification centrée sur l’application identifie spécifiquement chaque
application traversant le réseau, quel que soit le port et le protocole utilisé.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Une gestion des règles rationalisée
Concentrer l’inspection de l’application au cœur du firewall conduit à un modèle beaucoup plus intuitif de règles.
Les règles de contrôle d’accès peuvent être implémentées beaucoup plus efficacement et avec moins de chance
d’introduire des erreurs dans la mesure où elles peuvent maintenant être contenues dans un seul endroit de
l’interface d’administration. Dans un souci de rationalisation, une autre fonction pertinente est la capacité à définir,
en un seul paramètre, une suite de réponses par défaut pour un groupe de signatures de détection correspondant
à une même menace.
Un matériel pour rendre possible, sans freiner
On a déjà largement insisté sur le fait que le firewall ne devait pas être un frein à la productivité. D’une manière
générale, il ne devrait pas être nécessaire de faire des compromis, en restreignant les fonctions de sécurité à
implémenter, pour maintenir les niveaux adéquats de performance. Un bon débit et des latences raisonnables
devraient être maintenus y compris lorsque toutes les fonctions d’inspection des menaces et des applications
sont engagées simultanément. D’un point de vue sécurité, c’est la configuration idéale. A cet égard, ce n‘est
typiquement pas un bon signe de voir un firewall implémenté dans un matériel basé sur un simple serveur. Ceci
étant dit l’intention n’est pas d’exiger un « silicone » spécialisé (i.e., ASICs). En fait, le point critique est vraiment
d’avoir une architecture matérielle conçue pour l’objectif. Par exemple, maintenir deux plateformes séparées pour
le contrôle et la donnée ainsi qu’utiliser des silicones étudiés (i.e. des puces dédiées pour accélérer des
processus spécifiques) sont deux signes clairs que le fabricant a fait un effort concerté pour bâtir une solution
disposant de ressources suffisantes.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Fonctions essentielles pour une solution complète
Bien sûr, éliminer les défauts et les manques des firewalls actuels avec le design n’est que le point de départ de
la solution de prochaine génération. Mais l’impact de la connaissance des applications, de la protection intégrée
et de la gestion des règles à la volée sera diminué sans la conception de plateformes spécifiquement destinées à
recevoir ces fonctions. Au-delà d’avoir un matériel hautes performances, les fonctions et caractéristiques
essentielles d’une telle plateforme comprennent :
• La flexibilité réseau permet d’assurer la compatibilité avec n’importe quel environnement. Implémenter une
solution sans avoir à reconcevoir ou reconfigurer dépend de sa capacité à supporter une large gamme d’option et
de fonctions réseaux comme 802.1Q, les VLANs basé ports, les ports ‘trunk’, le mode transparent et de
nombreuses interfaces haute capacité.
• La fiabilité assure un fonctionnement continu et passe par des fonctions comme la redondance active-passive
et/ou active-active, la synchronisation des états et des configurations, et des composants redondants (e.g, double
alimentation).
• L’évolutivité dépend d’abord de fonctions d’administration évoluées et de matériel hautes performances, mais
peut aussi être facilitée par le support de systèmes virtuels où un seul firewall peut être configuré pour agir
comme plusieurs firewalls indépendants.
• Enfin l’ergonomie ne se résume pas à la facilité d’utilisation. Elle implique des fonctions comme l’administration
locale et centralisée, une administration déléguée, des mises à jour de signatures automatiques, une supervision
temps réel à la fois pour le matériel et les événements de sécurité, ainsi qu’un reporting et un enregistrement de
logs robustes.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
En résumé
Le firewall est la pierre angulaire de la stratégie de sécurité du système d’information.
Cependant, l’efficacité de ce soldat de la sécurité diminue ostensiblement en même temps
que les menaces continuent à migrer vers les couches supérieures et que les applications de
tous types profitent des technologies web et des services habituellement autorisés par les
règles de l’entreprise. Contrecarrer ces tendances en rajoutant au firewall conventionnel des
couches de fonctionnalités comme l’inspection en profondeur des paquets n’est pas
suffisant. Trop de trafic non voulu, dont une partie transporte potentiellement des menaces,
peut encore passer. Les sociétés ont plutôt besoin d’un système firewall de prochaine
génération – des modèles qui incorporent la connaissance de l’application au cœur de leur
design, qui possèdent une protection intégrée contre les menaces, et proposent une
architecture matérielle sur-mesure qui évite de choisir entre la performance et la sécurité.
MIEL . LIVRE BLANC
et
vous proposent le pare-feu de nouvelle génération
Traduit de l’anglais. Septembre 2010.
A propos de Palo Alto
Palo Alto Networks a été fondée en 2005 par le visionnaire de la
sécurité, Nir Zuk, avec pour mission de ré-inventer le pare-feu afin qu¹il
soit de nouveau l’équipement le plus stratégique dans le dispositif de
sécurité d’un réseau d'entreprise.
Son conseil d'administration et son équipe de direction sont constitués
d‘anciens dirigeants et/ou fondateurs parmi les plus importantes
sociétés de sécurité réseau et technologies connexes, incluant
l'invention du Stateful Inspection, les matériels de sécurité et de
prévention d'intrusion.
Quant à son équipe de recherche et développement, elle a fait la
preuve de ses compétences dans des fonctions similaires dans des
entreprises telles que Check Point, Cisco, NetScreen, McAfee, Juniper
Networks et d'autres.
La société a commencé à distribuer sa famille de Nouvelle génération
de pare-feu en 2007 et a installé cette solution dans des centaines
d'entreprises et organisations du monde entier, y compris de
nombreuses entreprises classées Fortune 500 et compte à ce jour plus
de 1200 clients actifs dans le Monde.
Palo Alto Networks a ouvert des bureaux de vente répartis en
Amérique du Nord, Europe, Asie-Pacifique, et au Japon, et
commercialise ses pare-feu par l'intermédiaire d'un réseau mondial de
distributeurs et de revendeurs.
A propos de Miel
Depuis 1985, Miel découvre et distribue en France les nouvelles
technologies pour l'informatique des entreprises dans les domaines
des réseaux, des systèmes, de la sécurité et de l'informatique
industrielle. Ses ingénieurs s'appuient sur un réseau de partenaires
intégrateurs pour diffuser ces produits sur le marché.
APPELEZ LE 01 60 19 34 52