Livre de Zscaler

Découvrez comment Zscaler facilite le télétravail.

Téléchargez l'e-book aujourd'hui

Livre de Zscaler

Découvrez comment Zscaler facilite le télétravail.

Téléchargez l'e-book aujourd'hui

Produits > Pare-feu traditionnel vs proxy

Le firewall nouvelle génération a changé
la face du monde.
Mais il n’est peut-être déjà plus d’actualité.

Détecter et stopper les menaces avancées d’aujourd’hui
nécessite bien plus que des pare-feux dynamiques traditionnels
ou de nouvelle génération.

Les menaces se cachent dans
le trafic crypté

L’explosion spectaculaire du trafic crypté au cours des dernières années a permis aux hackers de tirer parti du SSL pour infecter
les utilisateurs, camoufler l’exfiltration de données et cacher les communications C&C. Aujourd’hui, 54 pour cent des menaces avancées se cachent derrière le trafic SSL.
Ce n’est plus facultatif: vous devez effectuer une inspection SSL pour assurer la sécurité
et protéger vos utilisateurs.

Source : Google Transparency Report 2016

Les pare-feu traditionnels ont du mal à inspecter le trafic crypté

Malheureusement, les firewall traditionnels n’ont pas été conçus pour déchiffrer votre trafic. L’inspection SSL est exigeante vis-à-vis du processeur et la plupart des appliances de pare-feu ne peuvent tout simplement pas
la prendre en charge, les performances s’arrêtant lorsqu’elles essaient.
Par conséquent, l’inspection du trafic SSL
sur une appliance vous oblige souvent
à mettre à niveau votre matériel.

Pour détecter les programmes malveillants cryptés SSL
sur l’ensemble de votre trafic, vous avez besoin
d’une architecture proxy dans le cloud

Zscaler Cloud Firewall est construit sur une architecture de proxy hautement évolutive qui gère l’inspection SSL à grande échelle. Notre empreinte nous permet de traiter un nombre croissant de sessions et de bandes passantes SSL, sans mises à niveau coûteuses ni inspections réduites. En conséquence, vous bénéficiez d’un décryptage SSL illimité sur tous les ports à un coût forfaitaire par utilisateur.

S’appuyer sur les appliances UTM et NGFW pour sécuriser le trafic Internet est coûteux : cela se traduit par l’étalement des appliances, et compromet la sécurité de la filiale.

Les pare-feu traditionnels ont des angles morts

Les pare-feux traditionnels s’appuient sur IPS et AV pour se protéger contre les menaces basées sur les signatures, qui ne représentent qu’une petite fraction du paysage total des menaces. Cependant, près de 90 % des signatures ont été écrites pour HTTP et DNS2 . Pour inspecter complètement le trafic HTTP et DNS, vous devez disposer d’une architecture
basée sur un proxy. La protection basée sur la signature ne suffit plus.

Source : 2 Analyse ThreatLabZ du jeu de règles utilisateur enregistré Snort gratuit, instantané 2990 : sortant, actif, vulnérabilités

Protéger vos protocoles les plus vulnérables

Zscaler Cloud Firewall utilise un moteur avancé d’inspection des paquets profonds et une architecture basée sur des proxys pour connecter au serveur mandataire tout ce qui semble être un trafic HTTP/HTTPS, DNS ou FTP, quel que soit le port. Ainsi, vous avez la possibilité de trouver plus de menaces dans vos protocoles les plus vulnérables, que vos utilisateurs soient au siège, dans une succursale ou même hors de l’entreprise.

Ressources suggérées

Fiche technique

Zscaler Cloud Firewall

Lire la fiche technique 

Webinaire

Une filiale tout-Internet avec Zscaler Cloud Firewall

Regarder l’émission Web 

Rapport

Zscaler, leader du Carré Magique de Gartner

Lire le rapport