Le NGFW est entré dans l’histoire. Mais il n’est peut-être déjà plus d’actualité.

Détecter et stopper les menaces avancées d’aujourd’hui exige bien plus que des pare-feux dynamiques traditionnels ou de nouvelle génération.​​​​​​​

Les menaces se dissimulent dans le trafic chiffré

La grande majorité des menaces se cache désormais derrière le chiffrement, permettant aux acteurs malveillants d’infecter les utilisateurs, de masquer l’exfiltration de données et de dissimuler les communications C2. L’inspection du trafic TLS/SSL n’est tout simplement plus facultative : elle est indispensable pour protéger vos utilisateurs et vos données.

Source : Rapport ThreatLabz 2023 sur l’état des attaques chiffrées

threats-are-lurking-in-encrypted-traffic

Les pare-feux traditionnels n’ont pas été conçus pour inspecter le trafic chiffré

L’inspection SSL est gourmande en ressources processeur et la plupart des appliances de pare-feu ne peuvent tout simplement pas la prendre en charge, ce qui entraîne un arrêt des performances. En conséquence, la prise en charge de l’inspection TLS/SSL sur une appliance vous oblige souvent à provisionner entre 5 et 10 fois la quantité de matériel dont vous auriez autrement besoin.

traditional-firewalls-weren’t-built-to-inspect-encrypted-traffic

Une inspection complète requiert une architecture proxy basée sur le cloud

Zscaler Cloud Firewall repose sur une architecture proxy hautement évolutive qui gère l’inspection SSL à grande échelle. Notre empreinte nous permet de traiter un nombre croissant de sessions et de bandes passantes TLS/SSL, sans mises à niveau coûteuses ni réduction de l’inspection. Vous bénéficiez d’un déchiffrement illimité sur tous les ports à un coût forfaitaire par utilisateur.

Les pare-feux traditionnels ont des angles morts

Les pare-feux traditionnels s’appuient sur un système de prévention des intrusions (IPS) et un antivirus (AV) pour se protéger contre les menaces basées sur les signatures, qui ne représentent qu’une petite fraction du paysage global des menaces. Mais étant donné près de 90 % des signatures ont été écrites pour HTTP et DNS, la protection basée sur les signatures ne suffit plus. Pour inspecter complètement le trafic HTTP, HTTPS et DNS, vous devez disposer d’une architecture basée sur un proxy.

traditional-firewalls-have-blind-spots

Protéger vos protocoles les plus vulnérables

Zscaler Firewall utilise un moteur avancé d’inspection approfondie des paquets et une architecture basée sur un proxy afin d’acheminer via proxy tout ce qui semble être du trafic HTTP/HTTPS, DNS ou FTP, quel que soit le port. Cela signifie que vous découvrirez davantage de menaces dans vos protocoles les plus vulnérables, que vos utilisateurs soient au siège, dans un site distant ou en déplacement.