Paloalto Firewall Nouvelle Generation MIEL

. Livre Blanc

Pare-feux de nouvelle générationRetrouver l’efficacité par la visibilité et le contrôle des applications

. Livre Blanc

feux de nouvelle génération. Retrouver l’efficacité par la visibilité et le contrôle des applications.

avec

Retrouver l’efficacité par la visibilité

MIEL . LIVRE BLANC

et

vous proposent le pare-feu de nouvelle génération

Pare-feux de nouvelle génération Retrouver l’efficacité par la visibilité et le contrôle des applications

Pourquoi une nouvelle génération de firewall ? ..................................................................................... 4

La professionnalisation des menaces .................................................................................................. 4

Ripostes positives contre Ripostes négatives ..................................................................................... 5

Le danger au coeur des applications ................................................................................................... 5

Les matériels actuels sont dépassés........................................................................................................ 7

Faible visibilité ..................................................................................................................................... 7

Mécanismes de réponse inadéquats ................................................................................................... 8

Performances insuffisantes ................................................................................................................. 9

Le nouveau firewall ............................................................................................................................... 10

L’inspection des applications au cœur du dispositif ......................................................................... 10

Identification et inspection puissantes ............................................................................................. 10

Une protection totalement intégrée contre les menaces ................................................................. 11

Une gestion des règles rationalisée .................................................................................................. 12

Un matériel pour rendre possible, sans freiner ................................................................................ 12

Fonctions essentielles pour une solution complète .............................................................................. 13

En résumé .............................................................................................................................................. 14

MIEL . LIVRE BLANC

et


Pare-feux de nouvelle génération Retrouver l’efficacité par la visibilité et le contrôle des applications

Les passerelles de sécurité réseau sont assiégées. De nouvelles menaces sont lancées plus

rapidement que jamais et ciblent de plus en plus des vulnérabilités à la couche applicative.

Dans le même temps les applications centrées sur l’utilisateur et les applications

d’entreprises profitent des ports et services communément autorisés pour assurer leur

passage à travers les périmètres de sécurité et pour faciliter leur fonctionnement dans la plus

large gamme possible de scenarii réseaux. Il en résulte aujourd’hui une érosion continue de

l’efficacité des firewalls et, par conséquent, la mise en lumière de défauts fondamentaux

dans leur conception initiale, tout comme la nécessité d’apporter des modifications

importantes dans le fondement même des stratégies de sécurité.

Ce document va d’abord explorer la combinaison des facteurs connus et émergents révélant les déficiences de

conception des firewalls actuels. Ces problèmes et défauts seront par la suite utilisés pour établir les critères qui

définissent la solution idéale : un firewall de nouvelle génération qui incorpore en son cœur l’inspection de

l’application.

MIEL . LIVRE BLANC

et


Pourquoi une nouvelle génération de firewall ? Plusieurs tendances nuisent à l’efficacité des produits firewalls conventionnels et appellent

finalement une solution de nouvelle génération. D’une manière générale, ces tendances sont

liées à deux évolutions : l’évolution des menaces d’une part, et l’évolution des applications

d’autre part.

La professionnalisation des menaces

Le changement net du paysage des menaces provient d’abord d’un glissement significatif de la motivation du

hacker. C’est simple : les hackers ne « hackent » plus pour bâtir leur réputation. Ils le font maintenant pour de

l’argent. En conséquence, il n’est plus dans leur intérêt d’inventer des menaces rapides et bruyantes, sans

conséquence sur le réseau. Le but du jeu est le vol d’informations. Ceci conduit à deux routes distinctes, que

nous appellerons la route haute et la route basse.

Sur la route haute, le but n’est pas seulement de commettre le crime, mais de le maintenir non détecté le plus

longtemps possible, préservant ainsi la valeur des données volées et permettant aussi des répéter les mêmes

mécanismes d’attaque. De tels objectifs ont fait bondir la sophistication des menaces qui sont générées. Les

« Rootkits » (outils de dissimulation d’activité) sont par exemple largement répandus. Ces éléments de

programme exploitent les failles au niveau du kernel pour masquer d’autres types de malware, leur permettant

d’accomplir de manière persistante les taches nuisibles pour les lesquelles ils ont été conçus. (e.g. interceptions

de frappes clavier).

Dans le cas particulier d’une attaque ciblée, les hackers portent toute leur attention sur une organisation à la fois,

construisant des mécanismes d’attaque sur mesure pour tirer parti des équipements, systèmes, applications et

configurations spécifiques, voire du personnel dans un endroit précis.

La sophistication des attaques augmente pour attaquer la couche applicative car les hackers ont réalisés depuis

bien longtemps que la majorité des ripostes déployées se concentrent sur la protection de la couche réseau. Il

n’est dès lors pas surprenant que plus de 80% de tous les nouveaux malwares et tentatives d’intrusion exploitent

les faiblesses des applications et non celles des composants et services réseaux.

A contrario, les aventuriers de la route basse délaissent la sophistication pour la vitesse- vitesse dans la

génération de la menace, vitesse de modification, et vitesse de propagation. Le but est de développer, lancer et

rapidement répandre de nouvelles menaces dès la connaissance d’une nouvelle vulnérabilité. Les attaques de

type “zero-day” ou “near-zero day” qui en résultent connaissent ainsi un certain succès car les mesures de

ripostes comme les patches et les outils basés sur les signatures (ex. logiciels antivirus et systèmes de détection

d’intrusion), sont réactives et incapables de suivre – au moins dans les premières phases d’une nouvelle attaque.

Cette approche basée sur la vitesse est largement facilitées par la prolifération de sites web de développement

de menaces, de kit de développement et autres « frameworks ». Pire, un effet multiplicateur de ces ressources

MIEL . LIVRE BLANC

et


est la capacité de facilement transformer une menace connue en une menace inconnue, au moins du point de

vue des outils basés signatures. Cette transformation peut être accomplie soit en faisant une petite modification

du code, soit en ajoutant des mécanismes complets de nouvelle propagation ou d’entrée. On se réfère alors à

une attaque dite combinée.

A chaque occasion, la sophistication et la vitesse croissantes des menaces soulignent le besoin de ripostes

proactives sur un modèle positif, avec un contrôle et une visibilité étendue aux couches supérieures du réseau.

Ripostes positives contre Ripostes négatives

Les ripostes sur le modèle négatif fonctionnent sur la

base de l’énumération de toutes les communications

et de tout le contenu réputés mauvais en vertu de

leur potentiel de nuisance. Les logiciels antivirus et

les systèmes de détection d’intrusion (IPS) sont des

exemples classiques de ce type d’outils. Mais les

nouvelles menaces ne peuvent être stoppées tant

qu’elles ne sont pas identifiées et tant que les outils ne sont pas mis à jour par des moyens spécifiques pour les

détecter (e.g. une signature).

A l’inverse, les ripostes sur le modèle positif fonctionnent sur la base d’autorisation de communications reconnues

comme appropriées ou nécessaires dans une situation donnée, excluant ainsi tout le reste. L’avantage est que de

telles communications peuvent être définies à l’avance, permettant ainsi aux outils associés comme les firewalls,

de bloquer automatiquement une large gamme de menaces connues et inconnues.

Le danger au coeur des applications

Le besoin de ripostes ayant une meilleure connaissance des applications est amené par les changements

continuels du paysage applicatif. En premier lieu, les applications dites « centrées sur l’utilisateur » (‘user-centric’)

englobant les communications personnelles comme la messagerie instantanée, le partage de fichiers poste-à-

poste (P2P), la messagerie web, et la collaboration voix/vidéo sur IP., lancent plusieurs défis d’un point de vue

informatique et sécurité :

• Leur forte popularité impose la présence de ces applications sur le poste de travail, même si les règles

générales en décident autrement. Cette prégnance est rendue possible par la capacité de ces applications à

ajuster dynamiquement leurs moyens de communications. Pour être plus précis : nombre de ces applications

échappent aux mécanismes traditionnels de sécurité en changeant aléatoirement les ports et protocoles de

Contrôle Positif

Contrôle Négatif

Technologies de sécurité

Firewall Conventionnel « stateful »

IPS/DPI Antivirus Antispyware

MIEL . LIVRE BLANC

et


communication, ou en se masquant derrière des services communément utilisés (ex. : http, https). On parle

alors, respectivement, de techniques d’évasion et de « tunneling ».

• Elles attirent de plus en plus l’attention des hackers, à la fois en tant que moyen de transport des malwares

mais aussi en tant que cible en elles-mêmes. Ainsi, le classement SANS TOP 20 des attaques de sécurité

Internet a classé les applications P2P et de messageries instantanées respectivement 10e et 11e.

• Dans de nombreux cas, elles servent maintenant des objectifs métiers légitimes, pas uniquement récréatifs.

Mais si les outils réseau et sécurité ne sont pas capables de faire une distinction suffisamment granulaire, on en

vient au choix du tout ou rien : soit les deux types d’utilisation sont supportées, soit aucune.

Les applications métiers présentent, elles, un autre problème inhérent à leur nature. Pour des questions de

productivité et d’organisation, comme un déploiement et un développement plus simple, d’économies potentielles,

ou une meilleure accessibilité, de nombreuses applications client-serveur sont migrées vers des technologies

web. Certaines de ces applications sont même remplacées maintenant par des services web hébergés (SaaS –

‘Software as a Service’), comme Salesforce.com ou la suite d’applications bureautiques de Google. Le problème

est que ces applications essentielles à l’entreprise ne sont plus différentiables de la pléthore d’applications

beaucoup moins importantes qui utilisent HTTP pour les communications réseaux. Elles ne peuvent alors plus

être contrôlées par des règles distinctes, ni être traitées à différents niveaux de service.

Ces nouveaux aspects du paysage applicatif renforcent par conséquent le besoin pour des solutions de sécurité

ayant une connaissance et un contrôle approfondis de chaque application. Sans de telles capacités, une quantité

significative de trafic non désiré et potentiellement vecteur de menaces envahit les réseaux d’entreprise.

MIEL . LIVRE BLANC

et


Les matériels actuels sont dépassés

Qu’ils soient autonomes ou composant de base des solutions de gestion unifiée des

menaces (UTM), les firewalls sont de loin la solution de sécurité réseau la plus

communément déployée. Parce que les firewalls fondent leurs contrôles sur le modèle

positif, on peut raisonnablement penser qu’ils seront capables d’adresser les problèmes

évoqués ci-dessus. En pratique, la plupart des firewalls déçoivent rapidement, en premier

lieu à cause de la combinaison de trois facteurs : une visibilité faible, des mécanismes de

réponse inadéquats et des performances insuffisantes.

Faible visibilité

La plupart des firewalls sont “hypermétropes”. Ils peuvent discerner les formes générales des choses, mais les

détails les plus fins de ce qui se passe vraiment leur échappent. En d’autres termes, la plupart des firewalls

peuvent distinguer des services à la couche applicative sur la base de numéros de port établis (ex. port TCP 80

= HTTP), mais ils sont incapables d’observer et, a fortiori, de contrôler les applications individuelles qui utilisent

ces services.

En effet, de nombreux firewalls filtrent en inspectant l’état du paquet (on parle d’inspection « stateful »). Ils

présentent 2 défauts : (1) ils estiment qu’un service applicatif donné est en cours d’utilisation en se basant sur le

numéro de port TCP/UDP apparaissant dans l’en-tête du paquet, et (2) ils ne regardent que le premier paquet

d’une session pour déterminer le type de trafic actuellement en traitement. En général, ces tactiques sont

utilisées pour améliorer les performances. Elles sont cependant trompeuses. La relation entre le numéro de port

et l’application n’est qu’une convention ; l’adhésion à cette convention n’est pas nécessaire pour établir les

communications de bout en bout. De plus, le premier paquet contient en général une quantité limitée

d’informations. Seul l’examen des paquets suivants permettrait d’établir avec fiabilité l’application, les fonctions

spécifiques ou les commandes en cours d’utilisation. En pratique, les firewalls qui présentent ces défauts ne

peuvent pas :

• Prendre correctement en compte les applications qui utilisent des ports non-standard, comme les serveurs web

fonctionnant sur un port autre que ceux associés à HTTP (i.e., 80 et 443), ou quand par exemple Yahoo!

Messenger fonctionne sur le port TCP 80 au lieu du port TCP 5050.

• Prendre correctement en compte le “tunneling” comme quand le P2P est vu comme un partage de fichier

autorisé, ou quand un client de messagerie instantanée comme Meebo fonctionne dans HTTP.

MIEL . LIVRE BLANC

et


• Fournir un contrôle granulaire de chaque fonction,

comme être capable de bloquer un transfert de fichier

effectué à l’intérieur d’une application de messagerie

instantanée qui, elle, est autorisée.

Finalement, le problème ne se situe pas dans le filtrage

par inspection de l’état du paquet, mais dans

l’implémentation de cette technologie. Etre “stateful”

signifie simplement que les sessions sortantes sont

suivies de manière à ce que les ports de communication

pour le trafic retour soient dynamiquement ouverts à la

demande au lieu d’être ouverts en permanence. Les

déficiences décrites précédemment viennent de la façon

dont ces sessions/applications sont initialement

classifiées, ce qui est une fonctionnalité séparée bien

qu’étroitement liée.

Mécanismes de réponse inadéquats

A leur crédit, les constructeurs de firewalls ont reconnu la nécessité d’améliorer leurs produits quand le problème

de la migration des menaces vers des couches supérieures a émergé, il y a maintenant plusieurs années. C’est

ainsi que sont nés le concept et la fonction largement connus sous le nom d’inspection approfondie des paquets

(DPI pour ‘Deep Packet Inspection’). Malheureusement, en dépit de ce que laisse entendre cette dénomination,

cette approche n’implique pas une correction de la vision du firewall. La DPI compense la faible visibilité en

ajoutant au produit un ou plusieurs moteurs de sécurité sur le modèle négatif. Ces moteurs ont certes l’avantage

d’avoir une couverture assez significative de la couche applicative : ce sont les logiciels antivirus et autres

systèmes de prévention d’intrusion (IPS).

En général, apporter du renfort dans la cohue du champ de bataille est une stratégie qui s’entend. Cependant,

dans ce cas, la situation s’apparente plutôt à la construction d’une maison sur des fondations de sable. Tout

semble bien au premier regard. Mais rapidement l’erreur critique se révèle quand la structure commence à ne pas

résister aux éléments auxquels elle est exposée. De manière similaire, ajouter une solution DPI à un firewall va

d’abord donner un coup d’accélérateur à l’efficacité de la sécurité, mais le degré d‘amélioration sera limité dans la

plupart des cas parce que d’une part, la fonction additionnelle est effectivement rajouté “par-dessus”, et d’autre

part, les fondations sur lesquelles elle s’appuie sont trop faibles pour construire.

En effet, si l’on regarde de plus près les problèmes et les limitations communes aux passerelles de sécurité qui

s’appuie sur une solution DPI au dessus de firewalls pauvres en visibilité applicative, l’on s’aperçoit que :

Figure 1: le filtrage “stateful” est incapable d’identifier

certaines applications qui utilise des techniques d’évasion

pour communiquer

MIEL . LIVRE BLANC

et


• Tout ce qui doit être inspecté n’est pas nécessairement inspecté. Le trafic réseau est présenté au moteur DPI

seulement s’il correspond à une règle du firewall et si cette règle à un attribut associé qui active l’inspection des

menaces. A cet égard, les DPI peuvent donner un faux sentiment de sécurité, dans la mesure où des applications

dangereuses peuvent ne pas être vérifiées lorsqu’elles passent en « tunnel » de services généralement

considérés comme sûrs.

• Tout autre moteur de sécurité faisant partie du système global (e.g. antivirus, anti-spyware) est soumis à des

situations similaires. Encore une fois, le moteur de classification de base reste le firewall. Ainsi, même si le

moteur DPI a une visibilité intéressante sur les applications, l’information qui déclenche une inspection plus

approfondie des données n’est pas forcément fiable.

• La gestion des règles peut vite devenir complexe. Idéalement, les outils de sécurité ont une table de règles

pour contrôler les flux et une autre qui spécifie ce qui est fait quand une menace est détectée. Dans ce cas,

fournir un contrôle plus granulaire impliquerait d’imbriquer les règles de contrôle d’accès avec la partie de gestion

des menaces du produit – qui n’est elle-même qu’une partie d’une règle encore plus globale de contrôle d’accès.

• Les ressources systèmes sont souvent inefficacement utilisées. Ce problème apparait d’abord quand la solution

firewall incorpore des moteurs multiples de détection de menaces qui s’appuient fondamentalement sur des

techniques d’inspection similaires. (e.g. antivirus, anti-spyware, et DPI). Dans de tels cas, la quantité de

traitements redondants peut être considérable.

Et bien sûr, les traitements redondants ne font qu’exacerber le troisième facteur qui impacte l’efficacité des

firewalls actuels : l’incapacité à obtenir les performances adéquates.

Performances insuffisantes

Quelle que soit la technique utilisée, fournir une connaissance granulaire des applications est un processus très

intense pour la CPU et la mémoire. Ainsi, à moins qu’un firewall soit conçu à la base avec l’inspection de la

couche applicative comme pré-requis, il rencontrera des problèmes de performance. Par conséquent, des choix-

ou plutôt des compromis – devront être faits. Pour assurer les niveaux de performances adéquats, les fonctions

d’inspection à la couche applicative devront être implémentées sélectivement, et ce sera le cas de toute autre

fonction avancée de filtrage de ce type. Ainsi, l’impact sur les performances est une des raisons premières pour

lesquelles les fonctions des solutions DPI simplement rajoutées au-dessus du firewall ne peuvent pas être

activées pour toutes les règles.

Clairement, avoir juste l’objectif d’inspecter la couche applicative ne suffit pas. Pour répondre à ce problème,

certains fabricants essaieront d’avoir un matériel identique mais beaucoup plus gros et rapide. Cela finira

probablement par fonctionner tant bien que mal, mais d’une manière très peu optimale et assurément onéreuse.

En revanche, une architecture matérielle sur mesure, qui répartit les ressources entre les tâches prédéfinies

assurera que les niveaux de performances seront atteints.

MIEL . LIVRE BLANC

et


Le nouveau firewall

Le paragraphe précédent a commencé à mettre en lumière des propriétés et fonctions qui

caractériseraient une solution pour venir à bout des défauts des firewalls actuellement

disponibles. Allons plus loin dans cette section. Globalement, pour être efficace, un firewall

de nouvelle génération doit inclure la gestion de l’application au cœur de sa conception, tout

en possédant la gamme complète de fonctions généralement associées aux robustes

plateformes de sécurité.

L’inspection des applications au cœur du dispositif

Malgré la combinaison prometteuse entre des ripostes sur le modèle négatif et positif, rajouter une solution DPI

au dessus d’un firewall à moitié aveugle est clairement loin d’être idéal. Démarrer avec un firewall qui possède

une meilleure vision à la base est une approche largement plus efficace. Des techniques puissantes basées sur

le modèle positif peuvent alors être appliquées dans une mesure beaucoup plus large, ne nécessitant plus de

faire appel aux fonctions d’inspection sur le modèle négatif pour s’assurer que les sessions sont effectivement

libres de menaces. Mais comme toujours, le diable est dans les détails.

Identification et inspection puissantes

Le but est de contrôler le flux de sessions de façon plus granulaire sur la base des applications spécifiquement

utilisées plutôt que de pointer une gamme de services réseaux souvent indifférenciés. Cet objectif repose sur une

approche multi-facteurs de l’inspection et de l’identification de l’application. Comme nous l’avons vu

précédemment, établir un port et un protocole est un premier pas, mais insuffisant. La présence et la bonne mise

en valeur d’une bibliothèque étendue de signatures d’applications sont beaucoup plus importantes.

Une signature est une suite d’indicateurs qui caractérisent une application et, par extension, la distingue

définitivement de toutes les autres. Détecter les signatures signifie notamment disposer des ressources

nécessaires pour conduire des inspections avancées comme : regarder au-delà de l’en-tête et dans le ‘payload’

de chaque paquet ; regarder au-delà du premier paquet d’une session donnée ; et même, parfois, reconstruire

des portions de session pour permettre des analyses de plus haut niveau. Pour les sessions réputées autorisées

notamment, un décodage de l’application et des inspections avancées devront être réalisées en continu : d’une

part pour permettre la mise en œuvre de règles spécifiques à l’application (ex. empêcher les transferts de fichiers

réalisés à l’intérieur d’une application de messagerie instantanées autorisée), et d’autre part pour faciliter la

précision et l’efficacité de l’utilisation des signatures de menaces (discuté dans la prochaine section).

MIEL . LIVRE BLANC

et


Une dernière considération dans ce domaine

concerne la capacité à gérer le trafic crypté,

un problème particulièrement pertinent étant

donné la prévalence d’applications

protégées par SSL. Or les firewalls

conventionnels ne peuvent inspecter un tel

trafic. Ils sont limités à appliquer des règles

sur la base de petites informations situés

dans les en-têtes de paquets (ex. adresse IP

source et destination). Pour passer outre

cette cécité, le firewall de prochaine

génération doit être idéalement équipé d’une

option de déchiffrement et re-chiffrement du

trafic SSL, permettant ainsi un contrôle

d’accès granulaire et une inspection plus

précise des menaces

encapsulées.

Une protection totalement intégrée contre les menaces

Qu’une session soit autorisée par une règle ne signifie pas qu’elle est libre de menaces. Ceci est vraie quelle que

soit la granularité avec laquelle la règle est appliquée, et c’est pourquoi il est tout à fait pertinent d’apporter des

fonctions d’inspection détaillées dans le cœur de l’application. Cependant, ajouter simplement à un firewall une

série de moteurs de protection séparés est la bonne recette pour avoir des problèmes. Bien que cette approche

doive améliorer la sécurité, le système se grippe forcément d’un point de vue performance, forçant les sociétés à

faire un compromis entre les deux.

Par contraste, avoir une protection totalement intégrée contre les menaces réduit significativement le fardeau

pesant sur les performances, sans plus faire de compromis sur la sécurité. Cette approche prévoit en effet un

unique moteur de protection, au lieu d’en dédier un à l’antivirus, un à l’antispyware, un à la détection/prévention

d’intrusion, etc. Il en résulte moins d’allers-retours entre les processus internes, et plus significativement, les

paquets ne sont plus traités de manière redondante. Bien-sûr, le pré-requis pour un moteur unique est d’avoir un

format de signature standard. Les sociétés bénéficient ainsi d’une réduction du nombre de compétences diverses

nécessaires pour administrer les solutions autant que pour le développement de signatures sur mesure.

Figure 2: la classification centrée sur l’application identifie spécifiquement chaque

application traversant le réseau, quel que soit le port et le protocole utilisé.

MIEL . LIVRE BLANC

et


Une gestion des règles rationalisée

Concentrer l’inspection de l’application au cœur du firewall conduit à un modèle beaucoup plus intuitif de règles.

Les règles de contrôle d’accès peuvent être implémentées beaucoup plus efficacement et avec moins de chance

d’introduire des erreurs dans la mesure où elles peuvent maintenant être contenues dans un seul endroit de

l’interface d’administration. Dans un souci de rationalisation, une autre fonction pertinente est la capacité à définir,

en un seul paramètre, une suite de réponses par défaut pour un groupe de signatures de détection correspondant

à une même menace.

Un matériel pour rendre possible, sans freiner

On a déjà largement insisté sur le fait que le firewall ne devait pas être un frein à la productivité. D’une manière

générale, il ne devrait pas être nécessaire de faire des compromis, en restreignant les fonctions de sécurité à

implémenter, pour maintenir les niveaux adéquats de performance. Un bon débit et des latences raisonnables

devraient être maintenus y compris lorsque toutes les fonctions d’inspection des menaces et des applications

sont engagées simultanément. D’un point de vue sécurité, c’est la configuration idéale. A cet égard, ce n‘est

typiquement pas un bon signe de voir un firewall implémenté dans un matériel basé sur un simple serveur. Ceci

étant dit l’intention n’est pas d’exiger un « silicone » spécialisé (i.e., ASICs). En fait, le point critique est vraiment

d’avoir une architecture matérielle conçue pour l’objectif. Par exemple, maintenir deux plateformes séparées pour

le contrôle et la donnée ainsi qu’utiliser des silicones étudiés (i.e. des puces dédiées pour accélérer des

processus spécifiques) sont deux signes clairs que le fabricant a fait un effort concerté pour bâtir une solution

disposant de ressources suffisantes.

MIEL . LIVRE BLANC

et


Fonctions essentielles pour une solution complète

Bien sûr, éliminer les défauts et les manques des firewalls actuels avec le design n’est que le point de départ de

la solution de prochaine génération. Mais l’impact de la connaissance des applications, de la protection intégrée

et de la gestion des règles à la volée sera diminué sans la conception de plateformes spécifiquement destinées à

recevoir ces fonctions. Au-delà d’avoir un matériel hautes performances, les fonctions et caractéristiques

essentielles d’une telle plateforme comprennent :

• La flexibilité réseau permet d’assurer la compatibilité avec n’importe quel environnement. Implémenter une

solution sans avoir à reconcevoir ou reconfigurer dépend de sa capacité à supporter une large gamme d’option et

de fonctions réseaux comme 802.1Q, les VLANs basé ports, les ports ‘trunk’, le mode transparent et de

nombreuses interfaces haute capacité.

• La fiabilité assure un fonctionnement continu et passe par des fonctions comme la redondance active-passive

et/ou active-active, la synchronisation des états et des configurations, et des composants redondants (e.g, double

alimentation).

• L’évolutivité dépend d’abord de fonctions d’administration évoluées et de matériel hautes performances, mais

peut aussi être facilitée par le support de systèmes virtuels où un seul firewall peut être configuré pour agir

comme plusieurs firewalls indépendants.

• Enfin l’ergonomie ne se résume pas à la facilité d’utilisation. Elle implique des fonctions comme l’administration

locale et centralisée, une administration déléguée, des mises à jour de signatures automatiques, une supervision

temps réel à la fois pour le matériel et les événements de sécurité, ainsi qu’un reporting et un enregistrement de

logs robustes.

MIEL . LIVRE BLANC

et


En résumé

Le firewall est la pierre angulaire de la stratégie de sécurité du système d’information.

Cependant, l’efficacité de ce soldat de la sécurité diminue ostensiblement en même temps

que les menaces continuent à migrer vers les couches supérieures et que les applications de

tous types profitent des technologies web et des services habituellement autorisés par les

règles de l’entreprise. Contrecarrer ces tendances en rajoutant au firewall conventionnel des

couches de fonctionnalités comme l’inspection en profondeur des paquets n’est pas

suffisant. Trop de trafic non voulu, dont une partie transporte potentiellement des menaces,

peut encore passer. Les sociétés ont plutôt besoin d’un système firewall de prochaine

génération – des modèles qui incorporent la connaissance de l’application au cœur de leur

design, qui possèdent une protection intégrée contre les menaces, et proposent une

architecture matérielle sur-mesure qui évite de choisir entre la performance et la sécurité.

MIEL . LIVRE BLANC

et


Traduit de l’anglais. Septembre 2010.

A propos de Palo Alto

Palo Alto Networks a été fondée en 2005 par le visionnaire de la

sécurité, Nir Zuk, avec pour mission de ré-inventer le pare-feu afin qu¹il

soit de nouveau l’équipement le plus stratégique dans le dispositif de

sécurité d’un réseau d'entreprise.

Son conseil d'administration et son équipe de direction sont constitués

d‘anciens dirigeants et/ou fondateurs parmi les plus importantes

sociétés de sécurité réseau et technologies connexes, incluant

l'invention du Stateful Inspection, les matériels de sécurité et de

prévention d'intrusion.

Quant à son équipe de recherche et développement, elle a fait la

preuve de ses compétences dans des fonctions similaires dans des

entreprises telles que Check Point, Cisco, NetScreen, McAfee, Juniper

Networks et d'autres.

La société a commencé à distribuer sa famille de Nouvelle génération

de pare-feu en 2007 et a installé cette solution dans des centaines

d'entreprises et organisations du monde entier, y compris de

nombreuses entreprises classées Fortune 500 et compte à ce jour plus

de 1200 clients actifs dans le Monde.

Palo Alto Networks a ouvert des bureaux de vente répartis en

Amérique du Nord, Europe, Asie-Pacifique, et au Japon, et

commercialise ses pare-feu par l'intermédiaire d'un réseau mondial de

distributeurs et de revendeurs.

A propos de Miel

Depuis 1985, Miel découvre et distribue en France les nouvelles

technologies pour l'informatique des entreprises dans les domaines

des réseaux, des systèmes, de la sécurité et de l'informatique

industrielle. Ses ingénieurs s'appuient sur un réseau de partenaires

intégrateurs pour diffuser ces produits sur le marché.

APPELEZ LE 01 60 19 34 52

Documents

Paloalto Firewall Nouvelle Generation MIEL