Zpedia / Qu’est-ce qu’un pare-feu en tant que service ?

Qu’est-ce qu’un pare-feu en tant que service ? Le pare-feu en tant que service (FWaaS) désigne une technologie de sécurité réseau faisant référence à un pare-feu cloud qui offre des capacités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès tels que le filtrage des URL, la protection contre les menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

FS
Regarder

Pourquoi le FWaaS est-il important ?

Le concept de FWaaS ne consiste pas simplement à virtualiser une appliance de pare-feu réseau. Le FWaaS permet aux entreprises de supprimer les appliances de pare-feu, de simplifier leur infrastructure informatique et d’améliorer la cybersécurité dans son ensemble. Avec le FWaaS, la gestion est centralisée à partir d’une console unique, supprimant les difficultés liées au contrôle des changements, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques associées aux appliances NGFW, tout en aidant les entreprises à appliquer des politiques cohérentes, quel que soit l’endroit où les utilisateurs se connectent.

En quoi un FWaaS est-il différent d’un pare-feu ordinaire ?

Les pare-feu traditionnels sur site ont été conçus et programmés pour inspecter le trafic réseau des bureaux de l’entreprise. Comme son nom l’indique, le FWaaS est fourni via le cloud. La principale différence entre les deux est que les pare-feu sur site ont du mal à évoluer et à s’adapter aux demandes changeantes du réseau et à l’évolution du paysage des menaces. Parce que le FWaaS est cloud native, il peut faire les deux, dotant les entreprises d’un outil beaucoup plus efficace pour sécuriser les données, assurer la sécurité des terminaux et effectuer des inspections de sécurité minutieuses.

À l’époque où les activités se déroulaient au bureau, les pare-feu traditionnels offraient une sécurité réseau tout à fait adéquate. La portée des menaces étant limitée aux bureaux de l’entreprise, où les employés se trouvaient 99 % du temps, les équipes de sécurité et d’informatique ne devaient pas étendre les services d’un pare-feu au-delà du site où il était installé.

Aujourd’hui, de plus en plus d’entreprises ont recours à des services cloud tels que les SaaS, leurs terminaux sont disséminés et de nouvelles menaces voient le jour, les pare-feu ne peuvent tout simplement plus rester dans le data center. Ils doivent vivre dans le cloud et évoluer pour protéger les ressources et les employés où qu’ils soient.

L’essor du FWaaS

Le backhauling du trafic vers un NGFW dans un data center d’entreprise ou régional était parfaitement logique lorsque les applications résidaient dans ces data centers et que la plupart des employés travaillaient au bureau. Mais lorsque les applications ont commencé à migrer du data center vers le cloud et que les filiales et le télétravail se sont développés, ces NGFW ont perdu de leur efficacité.

Ensuite, lorsque la pandémie de COVID-19 a obligé les travailleurs à quitter le réseau de l’entreprise et à se connecter de n’importe où, les approches traditionnelles de la mise en réseau et de la sécurité, y compris le NGFW, n’ont plus suffi. Cela tient au fait que les NGFW, tout comme les autres appliances, n’ont jamais été conçus dans la perspective de l’arrivée du cloud.

Vous ne pouvez pas juste transférer vos outils et fonctionnalités de sécurité traditionnels et les faire tourner dans le cloud. Vous devez vous assurer que vous avez en place la technologie adéquate.

Frederik Janssen, Vice-président du portefeuille d’infrastructures informatiques mondiales, Siemens

FWaaS par rapport à NGFW

Les applications cloud, telles que Salesforce et Microsoft 365, ont été conçues pour être accessibles directement via Internet. Par conséquent, le trafic Internet doit être acheminé localement pour garantir une expérience utilisateur rapide. Acheminer le trafic vers les NGFW des data centers d’entreprise pour le diriger vers Internet n’a plus de sens.

Cependant, appliquer les approches de sécurité traditionnelles aux points d’accès locaux à Internet signifie que les entreprises doivent répliquer la pile de sécurité de l’entreprise sur chaque site. Cela exigerait de déployer des NGFW ou des piles d’appliances de sécurité dans chaque filiale, ce qui n’est tout simplement pas viable en termes de coût et de complexité de déploiement et de gestion.

Répétons-le : les NGFW n’ont jamais été conçus pour prendre en charge des applications cloud. Ils sont facilement submergés par les applications cloud, car ils ne peuvent pas évoluer de manière à prendre en charge le volume élevé de connexions de longue durée que ces applications génèrent. Ils ne peuvent pas non plus gérer nativement le trafic chiffré SSL, ce qui est de plus en plus important étant donné la croissance exponentielle du trafic chiffré ces dernières années.

Pour procéder à l’inspection SSL, les NGFW doivent ajouter des capacités de proxy qui exécutent l’inspection SSL dans le logiciel plutôt qu’au niveau de la puce, ce qui a un impact significatif sur les performances et se traduit par une expérience négative pour l’utilisateur.

Les solutions de FWaaS sont parfaitement capables d’exécuter des fonctions telles que l’inspection approfondie des paquets et sont bien plus adaptées à la protection contre la perte de données, du fait qu’elles sont cloud natives. En étant natives du cloud, les FWaaS permettent aux entreprises de faire évoluer leur sécurité d’une manière impossible pour les NGFW, même si les fournisseurs de pare-feu de nouvelle génération prétendront le contraire. Dans la plupart des cas, leurs solutions de sécurité ne sont rien de plus que des appliances de pare-feu virtualisées, qui peuvent faire office de tampons acceptables, mais ne sont pas conçues pour la sécurité à long terme du cloud et des effectifs hybrides.

Pourquoi les entreprises ont-elles besoin de FWaaS ?

Alors que les entreprises utilisent des fournisseurs d’infrastructure cloud tels qu’AWS pour augmenter leur évolutivité, elles doivent néanmoins toujours proposer des capacités de pare-feu d’entreprise à tous les utilisateurs et tous les sites de l’entreprise. Malheureusement, les NGFW ont été conçus il y a plus de dix ans et n’ont pas été pensés pour prendre en charge les applications cloud ou les besoins en termes d'évolution du cloud computing en général.

Leurs homologues pare-feu virtuels connaissent bon nombre des mêmes limites et défis que les appareils NGFW traditionnels, qui diminuent leur efficacité face aux cyberattaques modernes. Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu doivent les suivre.

Comment fonctionne un FWaaS ?

Un FWaaS permet aux entreprises d’établir des points d’accès locaux sécurisés pour toutes les applications, sans avoir à acheter, déployer ou gérer des appliances de sécurité. Les capacités de sécurité, y compris le pare-feu complet de couche 7, sont fournies sous forme de service cloud qui évolue de manière élastique pour gérer l’inspection SSL, l’accroissement de la bande passante et des demandes des utilisateurs, ainsi que le trafic des applications cloud avec des connexions de longue durée.

La gestion centralisée à partir d’une console unique permet aux entreprises d’offrir une protection identique à tous les utilisateurs, sur tous les appareils, où qu’ils se connectent, qu’ils soient au siège de l’entreprise, en déplacement dans une filiale locale ou qu’ils travaillent à domicile.

Avantages du FWaaS

Le FWaaS présente de multiples avantages par rapport aux NGFW, notamment :

  • Une architecture basée sur un proxy : cette conception inspecte dynamiquement le trafic de tous les utilisateurs, applications, appareils et emplacements. Elle inspecte en mode natif le trafic SSL/TLS, à grande échelle, pour détecter les logiciels malveillants cachés dans le trafic chiffré et permet d’appliquer des politiques de pare-feu granulaires couvrant plusieurs couches en fonction de l’application réseau, de l’application cloud, du nom de domaine (FQDN) et de l’URL.
  • Cloud IPS : un système de prévention des intrusions (IPS) basé sur le cloud assure une protection et une surveillance permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
  • Sécurité et contrôle DNS : agissant en tant que première ligne de défense, un pare-feu basé sur le cloud empêche les utilisateurs d’accéder à des domaines malveillants. Il optimise la résolution DNS pour offrir une meilleure expérience utilisateur et de meilleures performances des applications cloud, ce qui est particulièrement critique pour les applications basées sur CDN. Il fournit également des contrôles granulaires pour détecter et empêcher le tunneling DNS.
  • Visibilité et gestion simplifiée : un service de pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications et des sites via une console unique.
  • Prêt pour le Zero Trust : en matière de sécurité du cloud, rien ne vaut un cadre Zero Trust. En adoptant le FWaaS en tant qu’élément de Zero Trust, vous pouvez appliquer des politiques de sécurité aux terminaux de vos utilisateurs, conformément à la structure SASE (Secure Access Service Edge), indispensable à l’ère du télétravail. Qui plus est, Zero Trust réduit la latence en supprimant le besoin d’accéder au réseau.

Maintenant que vous savez comment un FWaaS peut améliorer votre posture de sécurité, votre prochaine question pourrait bien être : « Comment puis-je commencer mon parcours FWaaS ? » Soyez prudents. S’agissant du FWaaS, vous trouverez une foule de fournisseurs de services offrant une protection améliorée pour les données, les terminaux, le cloud et l’IoT, mais un seul fournisseur a construit son pare-feu dans le cloud, pour le cloud : Zscaler.

Comment Zscaler Cloud Firewall peut vous aider

Zscaler Cloud Firewall, qui fait partie de la solution intégrée Zscaler Zero Trust Exchange™, apporte des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Cloud Firewall vous permet de :

  • Définit et applique immédiatement des politiques de firewall granulaires
  • Passez d’une visibilité globale à des informations exploitables en temps réel
  • Protégez en permanence tous vos utilisateurs contre les intrusions

Le moment est venu de migrer votre sécurité vers le cloud.

Demandez une démo pour découvrir comment le pare-feu cloud en tant que service de Zscaler peut contribuer à renforcer l’agilité et la sécurité de votre entreprise.

Ressources complémentaires

  • Fournir Zero Trust avec les pare-feu Cloud-Gen

    Watch the webinar

  • Simplifiez la transformation réseau avec Zscaler Cloud Firewall

    Read the ebook

  • Pare-feu cloud nouvelle génération de Zscaler

    Regarder la vidéo

  • Zscaler Cloud Firewall – Les clés d’une migration sécurisée vers le cloud

    Get the white paper

  • SD-WAN sans pare-feu cloud ? N’y pensez même pas !

    Read the blog