Qu’est-ce qu’un pare-feu de nouvelle génération ?

Pare-feu de nouvelle génération vs. pare-feu traditionnel

Les pare-feu traditionnels ne fonctionnent que sur les couches 3 et 4 du modèle Open Systems Interconnection (OSI) pour guider leurs actions, gérant le trafic réseau entre les hôtes et les systèmes finaux pour assurer des transferts complets de données. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, utilisent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies.

Lorsque des menaces avancées telles que les ransomwares ont fait leur apparition, ces pare-feu dynamiques ont été allègrement contournés, jour après jour. Inutile de dire que la demande d’une solution de sécurité améliorée et plus intelligente était pressante.

Apparaît alors le NGFW, introduit par Gartner il y a plus de dix ans, qui le définit comme un « pare-feu d’inspection approfondie des paquets qui va au-delà de l’inspection et du blocage des ports/protocoles pour ajouter l’inspection de la couche application, la prévention des intrusions et l’apport de renseignements depuis l’extérieur du pare-feu ». Il présentait toutes les caractéristiques que l’on peut attendre d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent des politiques encore plus strictes en matière d’identité, d’utilisateur, d’emplacement et d’application.

Caractéristiques des NGFW

Les pare-feu de nouvelle génération (NGFW) sont encore en activité aujourd’hui, et offrent une foule d’avantages qui les placent au-dessus de leurs prédécesseurs pour la sécurité des réseaux et des applications sur site.

• Contrôle des applications : les NGFW surveillent activement les applications (et les utilisateurs) qui acheminent du trafic vers le réseau. Ils possèdent une capacité innée à analyser le trafic réseau pour détecter le trafic applicatif, quel que soit le port ou le protocole, ce qui augmente la visibilité globale.
• IPS : à la base, un IPS est conçu pour surveiller en permanence un réseau, y rechercher des événements malveillants, et prendre ensuite des mesures judicieuses pour les prévenir. L'IPS peut envoyer une alarme à un administrateur, supprimer les paquets, bloquer le trafic ou réinitialiser complètement la connexion.
• Renseignements sur les menaces : il s’agit des données ou des informations recueillies par divers nœuds d’un réseau ou d’un écosystème informatique qui aident les équipes à comprendre les menaces qui ciblent ou ont déjà ciblé une entreprise. Il s’agit d’une ressource essentielle en matière de cybersécurité.
• Antivirus : comme son nom l’indique, un logiciel antivirus détecte les virus, y répond et met à jour les fonctionnalités de détection pour répondre à l’évolution constante du paysage des menaces.

Que fait un NGFW ?

Lorsqu’il s’agit de sécuriser des réseaux d’entreprise, les NGFW sont bien plus efficaces que les pare-feu traditionnels. Ils analysent en profondeur le trafic réseau pour comprendre d’où il vient. Ils sont ainsi en mesure de collecter un plus grand nombre de renseignements sur le trafic malveillant et ses menaces intégrées qui tentent constamment d’infiltrer le périmètre du réseau, d’accéder aux données de l’entreprise et de ruiner sa réputation.

Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de remédiation.

Pourquoi ai-je besoin d’un NGFW ?

Le paysage actuel des cybermenaces exige une protection robuste contre les menaces, et les pare-feu traditionnels ne sont pas à la hauteur de la tâche. Les NGFW peuvent bloquer les programmes malveillants et sont mieux équipés pour déjouer les menaces persistantes avancées (APT), telles que Cozy Bear, responsable de l’attaque de la chaîne d’approvisionnement SUNBURST de 2020, et Deep Panda, qui est célèbre pour avoir exploité la vulnérabilité Log4Shell.

De plus, grâce aux renseignements sur les menaces intégrés et aux options d’automatisation de la mise en réseau et de la sécurité, les NGFW ont permis aux entreprises non seulement de simplifier leurs opérations de sécurité, mais également de faire le premier pas vers un centre des opérations de sécurité (SOC) complet.

Tous ces avantages potentiels s’accompagnent toutefois d’une série d’inconvénients.

Défis associés aux NGFW

Si les NGFW peuvent offrir de nombreux avantages, ils ne disposent pas des fonctionnalités requises pour répondre aux besoins des personnels disséminés d’aujourd’hui.

Par exemple, le backhauling du trafic vers un NGFW avait du sens lorsque les applications résidaient dans le data center et lorsque la plupart d’entre elles, et donc la plupart des terminaux, se trouvaient dans les sièges des entreprises ou des filiales. Mais les applications ont désormais migré vers le cloud pour prendre en charge le télétravail, une tendance qui a fait ressortir l’inadéquation des outils traditionnels de mise en réseau et de sécurité, y compris les NGFW et les VPN, en raison de leur manque d’évolutivité.

Les applications cloud les plus utilisées, telles que Microsoft 365, ont été conçues pour être accessibles directement via Internet. Pour établir de telles connexions, les entreprises doivent acheminer le trafic Internet localement pour garantir une expérience utilisateur rapide, ce qui signifie qu’acheminer le trafic vers les NGFW des data centers d’entreprise pour le diriger vers Internet n’a plus de sens.

Si vous vouliez sécuriser les points d’accès Internet locaux avec des NGFW, vous devriez répliquer la pile de sécurité de l’entreprise sur chaque site. En d’autres termes, vous devriez déployer des NGFW ou des piles d’appliances de sécurité dans chaque filiale, ce qui n’est pas viable en raison du coût et de la complexité du déploiement et de la gestion d’un si grand nombre de pare-feu.

En outre, les NGFW n’ont jamais été conçus pour prendre en charge des applications cloud. Ils sont facilement submergés par les applications cloud parce qu’ils ne peuvent pas s’adapter au volume élevé de connexions de longue durée que ces applications génèrent, ce qui les prive par défaut de la connaissance des applications cloud.

De plus, ils ne peuvent pas gérer nativement le trafic chiffré SSL, ce qui est devenu de plus en plus important dans la mesure où la quasi-totalité du trafic Web actuel est chiffré. Pour procéder à l’inspection SSL, les NGFW doivent intégrer des capacités de proxy qui exécutent l’inspection SSL dans le logiciel, plutôt qu’au niveau de la puce. Cela a non seulement un impact sur les performances et nuit à l’expérience utilisateur, mais cela ouvre également la porte à de nouvelles menaces de sécurité telles que les programmes malveillants avancés.

Why Do I Need an NGFW?

Today’s cyberthreat landscape demands robust threat protection, and traditional firewalls aren’t up to the task. NGFWs can block advanced malware, and they’re better equipped to thwart advanced persistent threats (APTs), such as Cozy Bear, responsible for the SUNBURST supply chain attack of 2020, and Deep Panda, who are notorious for exploiting the Log4Shell vulnerability.

Plus, with integrated threat intelligence and options for networking and security automation, NGFWs have given organizations the opportunity to not only simplify security operations, but also take the first step toward a fully realized security operations center (SOC).

All of this potential upside, however, comes with some challenges.

Challenges for NGFWs

Limited by their hardware, there are many cases where physical NGFW appliances can’t effectively perform to meet the needs of today’s modern environments, introducing multiple issues.

Backhauling Traffic for Security

Backhauling to an NGFW made sense when data centers, endpoints, and resources were mostly on-premises. But now, as user mobility and cloud adoption continue to trend upward, NGFW hardware in a traditional data center just can’t keep up.

Cloud apps like Microsoft 365 are designed to be accessed directly via the internet. But for VPNs and NGFWs in an organization’s data center to provide access and security, all traffic needs to go through that data center, slowing everything down. To deliver a fast user experience, organizations need to route internet traffic locally.

Securing Local Internet Breakouts

You can secure local internet breakouts with NGFW hardware, but to do so, you need a separate security stack in each location—NGFWs and potentially more appliances in every branch office, all of which need to be manually deployed, maintained, and eventually replaced, which can quickly get prohibitively complex and expensive.

Inspecting TLS/SSL-Encrypted Traffic

Almost all of today’s web traffic is encrypted. To perform SSL inspection, most NGFWs use bolt-on proxy capabilities that execute the inspection in software, rather than at the chip level. This heavily impacts performance, which hurts the user experience—but without inspection, you’re blind to more than 85% of attacks.

Types of NGFW

By definition, NGFWs are deep-packet inspection firewalls that operate at the application level and include intrusion prevention as well as threat intelligence integration. Core functionality aside, NGFWs come in three distinct form factors:

• Hardware NGFWs are physical appliances built for on-premises deployment. As dedicated security hardware, these NGFWs are used mostly in data centers or for other use cases that call for physical appliances.
• Virtual NGFWs are software-based and run on virtual machines (VMs). They're flexible and scalable enough to be better suited for virtualized and cloud-based apps and services than hardware-only NGFWs, but they still rely on their organization’s own infrastructure, and are constrained by the processing power of the hardware from which they’re partitioned.
• Cloud-based NGFWs deliver third-party firewall services from the cloud, enabling them to secure traffic that doesn't pass through a traditional data center. They're designed for securing cloud native environments, distributed networks, and remote users, offering increased scalability and centralized security management.

Pourquoi les pare-feu cloud sont l’avenir

Les pare-feu de nouvelle génération (NGFW) que nous utilisons aujourd’hui ont été conçus il y a plus de dix ans. Les entreprises actuelles privilégient le cloud et requièrent des capacités plus dynamiques et modernes afin d’établir des contrôles de sécurité et d’accès destinés à protéger leurs données, des capacités pour lesquelles les NGFW n’ont pas été conçus.

Les organisations ont toujours besoin de capacités de pare-feu d’entreprise sur leurs points d’accès à Internet locaux, d’autant qu’elles continuent à faire appel à des fournisseurs de services cloud tels qu’AWS et Azure. Les NGFW n’ont pas été conçus pour prendre en charge les applications et les infrastructures cloud, et leurs équivalents sous forme de pare-feu virtuels sont tout aussi limités et présentent les mêmes inconvénients que les appliances NGFW traditionnelles.

Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu suivent le mouvement.

Les 4 principaux avantages de Cloud Firewalls

• Architecture basée sur un proxy : cette conception inspecte dynamiquement le trafic réseau de tous les utilisateurs, applications, appareils et emplacements. Elle inspecte en mode natif le trafic SSL/TLS à grande échelle pour détecter les logiciels malveillants cachés dans le trafic chiffré. De plus, elle permet d’appliquer des politiques de pare-feu réseau granulaires couvrant plusieurs couches en fonction de l’application réseau, de l’application cloud, du nom de domaine complet (FQDN) et de l’URL.
• IPS cloud : un IPS basé sur le cloud assure une protection et une surveillance permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
• Sécurité et contrôle DNS : agissant en tant que première ligne de défense, un pare-feu cloud empêche les utilisateurs d’accéder à des domaines malveillants. Il optimise la résolution DNS pour offrir une meilleure expérience utilisateur et de meilleures performances des applications cloud, ce qui est particulièrement critique pour les applications basées sur CDN. Il fournit des contrôles granulaires pour détecter et empêcher le tunneling DNS.
• Visibilité et gestion simplifiée : un pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques de sécurité sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications, des API et des sites via une console unique.

Peu de fournisseurs peuvent mettre en œuvre une suite complète de fonctionnalités de pare-feu cloud, et un seul peut l’offrir dans le cadre d’une plateforme de sécurité cloud complète et ayant fait ses preuves.

Zscaler Cloud Firewall

Zscaler Cloud Firewall offre davantage de puissance que les appliances NGFW sans le coût ni la complexité. Composante de la solution intégrée Zscaler Zero Trust Exchange™, il fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Cloud Firewall vous permet de :

• Définit et applique immédiatement des politiques de firewall granulaires
• Passez d’une visibilité globale à des informations exploitables en temps réel
• Protégez en permanence tous vos utilisateurs contre les intrusions