Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Pourquoi les pare-feu de nouvelle génération ne pourront jamais être des proxys : l’importance d’une architecture adaptée

image

En de rares occasions, une société a la vision, la ténacité, l’exécution, et une bonne dose de chance, pour envisager différemment un défi important et opérer un changement à l’échelle d’un secteur. Il fut un temps où l’essor des applications d’entreprise a conduit à l’introduction du pare-feu de nouvelle génération, indispensable à une époque où le modèle de sécurité traditionnel cloisonné avait encore du sens. C’était la bonne idée au bon moment et elle a changé le visage de la sécurité des réseaux.

Aujourd’hui, nous nous trouvons à un point d’inflexion similaire : l’accélération brutale de l’adoption du cloud et de la transformation digitale au cours de l’année écoulée a oblitéré le périmètre, avec des applications, des utilisateurs et des charges de travail partout. Dans le monde actuel axé sur le cloud et la mobilité, les approches traditionnelles de la sécurité des réseaux ne sont plus pertinentes, les entreprises recherchant un changement révolutionnaire pour améliorer la protection des données et contre les cybermenaces, et pas simplement des avancées progressives. Contrairement à la transition évolutive des pare-feu traditionnels vers les NGFW, il est temps d’adopter une architecture qui redéfinit la structure du WAN et reconnaît qu’Internet est en train de devenir le nouveau réseau d’entreprise, et que le centre de gravité s’est déplacé du data center vers le cloud. Nous ne pouvons pas appliquer au monde d’aujourd’hui des approches qui fonctionnaient autrefois pour le périmètre.

Et tout comme ceux qui les ont précédés, les fournisseurs classiques tentent de maintenir leur pertinence en déplaçant leurs produits traditionnels vers le cloud, sans apporter aucun changement fondamental à l’architecture, hormis supprimer des ventilateurs et des ports réseau physiques. Il est réjouissant de voir des fournisseurs de pare-feu reconnaître l’importance d’une architecture proxy, certains commençant à les intégrer pour rediriger le trafic vers leurs « pare-feu dans le cloud », au détriment des avantages fondamentaux en termes de performances et de sécurité d’une architecture proxy hautement évolutive, cloud native et à la périphérie.

Lorsque nous avons commencé à redéfinir les réseaux et la sécurité il y a plus de dix ans, notre principale vision était la nécessité d’une architecture cloud native complète construite autour d’un véritable proxy, agissant comme un échange entre les employés, les cloud, les clients et les partenaires. Si vous le faites correctement, vous pouvez inspecter toutes les transactions sur tout le trafic, y compris SSL, à la vitesse du câble. Créer une porte solide à la limite de votre périmètre ou de votre data center ne fonctionne plus. Dans cette série d’articles, je partagerai mon point de vue sur les raisons pour lesquelles l’architecture est importante dans le monde moderne, cloud-first et axé sur la transformation digitale :

  1. Sans inspection appropriée, il n’y a pas de sécurité. Les véritables proxys comme Zero Trust Exchange de Zscaler offrent une protection complète contre les menaces et la perte de données en mettant fin à chaque connexion pour une inspection inline complète, y compris sur l’ensemble du trafic SSL/TLS. Contrairement aux approches qui utilisent des proxys comme simples redirecteurs de trafic vers des architectures passthrough basées sur un pare-feu, notre plateforme applique des analyses optimisées par l’IA, ainsi que des signatures de menaces et de fuites de données paquet par paquet jusqu’à ce qu’un verdict concluant puisse être déterminé, le tout au débit de la ligne.

    Comme tous les pare-feu sont basés sur des flux, il faut un certain nombre de paquets pour appliquer une politique, ce qui permet aux commandes et contrôles, aux données ou même aux payloads malveillants de passer comme à travers une passoire avant qu’une action ne puisse être entreprise. Notre véritable architecture proxy ne laisse passer aucun paquet et permet à notre plateforme de retenir et de mettre en quarantaine les fichiers inconnus à des fins d’inspection, stoppant ainsi le barrage de malwares inconnus que publient chaque jour les hackers. Sans inspection appropriée, des hackers sophistiqués peuvent utiliser cette fuite de paquets « faible et lente » ou l’absence de protection contre le patient zéro pour infliger des effets dévastateurs.
     
  2. Une véritable architecture cloud native, pas une architecture simplement déplacée. Contrairement aux architectures basées sur des appliances virtuelles à entité unique déployés dans le cloud public, la plateforme cloud native et multi-entité de Zscaler a été spécialement conçue pour gérer des milliards de transactions, traiter des milliards de signaux avec l’IA/AA, inspecter un volume illimité de trafic chiffré et soutenir les plus grandes entreprises du monde avec une évolutivité, des performances et des SLA transparents éprouvés auxquels vous pouvez vous fier. Avec les approches de pare-feu virtuel, une fois la capacité limitée d’inspection SSL atteinte, les clients doivent choisir entre faire l’impasse sur la sécurité ou sur la connexion, ce qui ne pourrait jamais se produire avec une véritable architecture proxy.

    Alignée sur les fondements du cadre SASE (Secure Access Service Edge) de Gartner, notre plateforme traite tout le trafic en un seul passage à travers toutes les fonctionnalités, et non une chaîne de proxys pour le transfert du trafic, des appliances de pare-feu virtuels traditionnels pour la politique et encore un autre proxy pour la prévention de la perte de données. La complexité est l’ennemie d’une bonne sécurité, et un manque d’intégration native entre les différentes piles technologiques entraîne inévitablement une baisse des performances, de la sécurité et de la fiabilité.

Alors que la transformation digitale fait perdre toute pertinence à la sécurité traditionnelle des réseaux, nous continuerons d’accélérer notre rythme d’innovation en matière de sécurité du cloud, le tout basé sur une véritable architecture proxy cloud native. Nous accueillons les nouveaux venus dans la révolution du proxy comme une confirmation supplémentaire que le cloud, et non le réseau, est l’avenir de l’entreprise numérique. Nous sommes établis depuis un certain temps et nous savons qu’une concurrence saine est toujours bénéfique pour ceux qui nous tiennent le plus à cœur, nos clients. Nous vous encourageons à vous renseigner sur notre Zero Trust Exchange et sur les raisons pour lesquelles il a permis à Zscaler de devenir le seul leader du Magic Quadrant 2020 de Gartner pour les passerelles Web sécurisées.

Dans mes prochains articles, je traiterai des raisons pour lesquelles les NGFW, même ceux dans le cloud, ne peuvent jamais mettre en œuvre une architecture Zero Trust, pourquoi il faut six à neuf mois aux pare-feu virtuels hébergés dans le cloud pour être mis à jour avec les dernières fonctionnalités, et à quoi devrait ressembler un Service Edge robuste et cloud natif.

La bonne architecture fait toute la différence.

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.