Zpedia 

/ Qu’est-ce qu’un pare-feu de nouvelle génération ?

Qu’est-ce qu’un pare-feu de nouvelle génération ?

Le pare-feu de nouvelle génération (NGFW) complète la technologie traditionnelle des pare-feux avec d’autres fonctions de filtrage des périphériques réseau, telles que le contrôle des applications inline, un système intégré de prévention des intrusions (IPS), des capacités de prévention des menaces et une protection avancée contre les malwares, afin d’améliorer la sécurité du réseau de l’entreprise.
NGF

Pare-feu de nouvelle génération ou pare-feu traditionnel

Les pare-feux traditionnels s’appuient sur les couches 3 et 4 du modèle OSI (Open Systems Interconnection) pour guider leurs actions, gérant ainsi le trafic réseau entre les hôtes et les systèmes finaux. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, exploitent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies.

L’émergence de menaces avancées telles que les ransomwares, a permis aux hackers de contourner facilement les pare-feux dynamiques, créant ainsi une forte demande pour une solution de sécurité renforcée et plus intelligente.

Apparaît alors le NGFW, introduit par Gartner (vers 2007) qui le définit comme un « pare-feu d’inspection approfondie des paquets qui va au-delà de l’inspection et du blocage des ports/protocoles pour ajouter l’inspection de la couche applicative, la prévention des intrusions et l’apport de renseignements depuis l’extérieur du pare-feu ». Il présente toutes les fonctionnalités d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent d’appliquer des politiques basées sur l’identité, l’emplacement, l’application et le contenu.

Citation

Les fonctionnalités du pare-feu de nouvelle génération sont essentielles. C’est d’ailleurs l’une des principales raisons pour lesquelles nous avons porté notre choix sur Zscaler. Aucun autre service cloud ne possède des capacités complètes de nouvelle génération pour tous les protocoles.

Ken Athanasiou,, RSSI et vice-président, AutoNation

Comment fonctionnent les NGFW ?

Comparés aux pare-feu traditionnels, les NGFW analysent en profondeur le trafic réseau pour comprendre d’où il vient. Ils sont en mesure de recueillir un plus grand nombre de renseignements sur le trafic malveillant et les menaces intégrées qui tentent d’infiltrer le périmètre du réseau et d’accéder aux données de l’entreprise.

Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches OSI 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de correction.

Quelles sont les capacités d’un NGFW ?

Les NGFW, comme leurs prédécesseurs à inspection dynamique, fournissent des fonctions de pare-feu de base telles que le filtrage d’URL, l’antivirus et la prise en charge des VPN d’accès à distance, mais ils se démarquent des pare-feux à inspection dynamique par un certain nombre de fonctionnalités de sécurité avancées :

  • La connaissance des applications permet une application granulaire des politiques et un contrôle des applications basé sur des applications spécifiques, leur contenu, la source et la destination du trafic, etc., plutôt que d’être limitée par le port, le protocole et l’adresse IP.
  • L’inspection approfondie des paquets (DPI) analyse le contenu des paquets réseau pour identifier les détails au niveau de l’application et identifier les menaces qui se cachent dans un trafic par ailleurs légitime.
  • Le système de prévention des intrusions (IPS) détecte et bloque les menaces connues et inconnues en inspectant le trafic à la recherche de modèles et de comportements suspects.
  • L’identification des utilisateurs permet au NGFW d’associer l’activité du réseau à des utilisateurs spécifiques, et pas seulement aux emplacements d’où ils se connectent, pour une utilisation dans les politiques et la surveillance basées sur l’utilisateur.
  • L’inspection TLS/SSL déchiffre et inspecte le trafic chiffré TLS/SSL (la grande majorité du trafic aujourd’hui) pour détecter les menaces cachées. (L’inspection est toutefois très gourmande en ressources processeur, ce qui entrave les performances des pare-feux limités par le matériel.)
  • L’intégration des renseignements sur les menaces permet à un NGFW de mettre à jour les protections en fonction des menaces nouvellement découvertes sur plusieurs sources, y compris les propres nœuds de réseau de l’entreprise, ainsi que des flux publics et tiers.

Pourquoi ai-je besoin d’un NGFW ?

Le paysage actuel des cybermenaces exige une protection robuste contre les menaces, et les pare-feux traditionnels ne sont pas à la hauteur de la tâche. Les NGFW peuvent bloquer les malwares avancés et sont mieux équipés pour déjouer les menaces persistantes avancées (APT), telles que Cozy Bear, responsable de l’attaque de la chaîne d’approvisionnement SUNBURST de 2020, et Deep Panda, qui est connu pour avoir exploité la vulnérabilité Log4Shell.

De plus, grâce aux renseignements sur les menaces intégrés et aux options d’automatisation de la mise en réseau et de la sécurité, les NGFW ont permis aux entreprises non seulement de simplifier leurs opérations de sécurité, mais également de faire le premier pas vers un centre des opérations de sécurité (SOC) à part entière.

Tous ces avantages potentiels s’accompagnent toutefois de certains défis.

Défis pour les NGFW

Limitées par leur matériel, les appliances NGFW physiques ne peuvent souvent pas répondre efficacement aux besoins des environnements modernes, ce qui pose de nombreux problèmes.

Backhauling du trafic pour la sécurité

Le backhauling vers un NGFW avait du sens lorsque les data centers, les terminaux et les ressources étaient essentiellement sur site. Mais aujourd’hui, alors que la mobilité des utilisateurs et l’adoption du cloud continuent de progresser, le matériel NGFW d’un data center traditionnel ne peut tout simplement pas suivre.

Les applications cloud telles que Microsoft 365 sont conçues pour être accessibles directement via Internet. Mais pour que les VPN et les NGFW du data center d’une entreprise puissent assurer l’accès et la sécurité, tout le trafic doit passer par ce data center, ce qui provoque un ralentissement généralisé. Pour offrir une expérience utilisateur rapide, les entreprises doivent acheminer le trafic Internet localement.

Sécuriser les points d’accès locaux à Internet

Vous pouvez sécuriser les points d’accès locaux à Internet avec du matériel NGFW, mais pour ce faire, vous avez besoin d’une pile de sécurité distincte dans chaque emplacement : des NGFW et potentiellement davantage d’appliances dans chaque filiale qui doivent toutes être déployées, entretenues et éventuellement remplacées manuellement, ce qui peut rapidement devenir d’une complexité et d’un coût prohibitifs.

Inspecter le trafic chiffré TLS/SSL

La quasi-totalité du trafic Web actuel est chiffrée. Pour effectuer une inspection SSL, la plupart des NGFW utilisent des fonctionnalités proxy intégrées qui exécutent l’inspection dans le logiciel, plutôt qu’au niveau de la puce. Cela a un impact considérable sur les performances, et nuit à l’expérience utilisateur, mais sans inspection, vous manquez plus de 85 % des attaques.

Types de NGFW

Par définition, les NGFW sont des pare-feux d’inspection approfondie des paquets qui fonctionnent au niveau des applications et englobent la prévention des intrusions ainsi que l’intégration des renseignements sur les menaces. Outre les fonctionnalités de base, les NGFW se présentent sous trois formes distinctes :

  • Les NGFW matériels sont des appliances physiques conçues pour un déploiement sur site. En tant que matériel de sécurité dédié, ces NGFW sont principalement utilisés dans les data centers ou pour d’autres cas d’utilisation qui nécessitent des appareils physiques.
  • Les NGFW virtuels sont basés sur des logiciels et s’exécutent sur des machines virtuelles (VM). Ils sont suffisamment flexibles et évolutifs pour mieux convenir aux applications et services virtualisés et basés sur le cloud que les NGFW purement matériels, mais ils dépendent toujours de l’infrastructure de leur entreprise et sont limités par la puissance de traitement du matériel à partir duquel ils sont partitionnés.
  • Les NGFW basés sur le cloud fournissent des services de pare-feu tiers à partir du cloud, ce qui leur permet de sécuriser le trafic qui ne passe pas par un data center. Ils sont conçus pour sécuriser les environnements cloud natifs, les réseaux distribués et les utilisateurs distants, offrant une plus grande évolutivité et une gestion centralisée de la sécurité.

Pourquoi les pare-feux cloud sont l’avenir

Les entreprises actuelles privilégient le cloud et requièrent des capacités plus dynamiques et modernes afin d’établir des contrôles de sécurité et d’accès destinés à protéger leurs données, des capacités pour lesquelles les NGFW n’ont pas été conçus.

Les organisations ont toujours besoin de capacités de pare-feu d’entreprise sur leurs points d’accès à Internet locaux, d’autant qu’elles continuent à faire appel à des fournisseurs de services cloud tels qu’AWS et Azure. Les NGFW n’ont pas été conçus pour prendre en charge les applications et les infrastructures cloud, et leurs équivalents sous forme de pare-feu virtuels sont tout aussi limités et présentent les mêmes inconvénients que les appliances NGFW traditionnelles.

Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu suivent le mouvement.

Les 4 principaux avantages de Cloud Firewalls

  • Architecture basée sur un proxy : cette conception inspecte dynamiquement le trafic réseau de tous les utilisateurs, applications, appareils et emplacements. Elle inspecte en mode natif le trafic SSL/TLS à grande échelle pour détecter les logiciels malveillants cachés dans le trafic chiffré. De plus, elle permet d’appliquer des politiques de pare-feu réseau granulaires couvrant plusieurs couches en fonction de l’application réseau, de l’application cloud, du nom de domaine pleinement qualifié (FQDN) et de l’URL.
  • IPS cloud : un IPS basé sur le cloud assure une protection et une surveillance permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
  • Sécurité et contrôle DNS : en tant que première ligne de défense, un pare-feu cloud protège les utilisateurs contre l’accès aux domaines malveillants. Il optimise la résolution DNS afin d’améliorer l’expérience utilisateur et les performances des applications cloud, ce qui est particulièrement important pour les applications basées sur le CDN. Il fournit également des contrôles granulaires pour détecter et empêcher le tunneling DNS.
  • Visibilité et gestion simplifiée : un pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques de sécurité sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications, des API et des sites via une console unique.

Peu de fournisseurs peuvent mettre en œuvre une suite complète de fonctionnalités de pare-feu cloud, et un seul peut l’offrir dans le cadre d’une plateforme de sécurité cloud complète et ayant fait ses preuves.

Zscaler Cloud Firewall

Zscaler Firewall offre davantage de puissance que les appliances NGFW sans le coût ni la complexité. Composante de la solution intégrée Zscaler Zero Trust Exchange™, ce service fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Firewall vous permet de :

  • Définir et appliquer immédiatement des politiques de pare-feu granulaires
  • Passer d’une visibilité globale à des informations exploitables en temps réel
  • Protéger en permanence tous vos utilisateurs contre les intrusions

Découvrez par vous-même comment le pare-feu Zscaler basé sur le cloud peut offrir une sécurité supérieure à celle d’un NGFW.

Ressources suggérées

Le parcours d’AutoNation vers le cloud
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Consultez l'e-Book
Pare-feu cloud nouvelle génération de Zscaler
Zscaler Cloud Firewall : les clés d’une migration sécurisée vers le cloud
Lire le livre blanc
SD-WAN sans pare-feu cloud ? N’y pensez même pas !
Lire le blog
Gartner | Le futur de la sécurité des réseaux se trouve dans le cloud
Lire le rapport

01 / 04

Foire aux questions