Zpedia 

/ Qu’est-ce qu’un pare-feu de nouvelle génération ?

Qu’est-ce qu’un pare-feu de nouvelle génération ?

Le pare-feu de nouvelle génération (NGFW) complète la technologie traditionnelle des pare-feux avec d’autres fonctions de filtrage des périphériques réseau, telles que le contrôle des applications inline, un système intégré de prévention des intrusions (IPS), des capacités de prévention des menaces et une protection avancée contre les malwares, afin d’améliorer la sécurité du réseau de l’entreprise.

NGF
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Protection contre les menaces en ligneSécurité réseau
  1. NGFW ou pare-feu traditionnel
  2. Fonctionnement
  3. Pourquoi elle est nécessaire
  4. Pare-feu cloud
  5. Principaux avantages des pare-feux cloud
  6. Comment Zscaler peut vous aider
  7. Ressources suggérées
  8. FAQ
  9. Autres thèmes similaires

Pare-feu de nouvelle génération ou pare-feu traditionnel

Les pare-feu traditionnels s’appuient sur les couches 3 et 4 du modèle OSI (Open Systems Interconnection) pour guider leurs actions, gérant ainsi le trafic réseau entre les hôtes et les systèmes finaux. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, exploitent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies.

L’émergence de menaces avancées telles que les ransomwares a permis aux hackers de contourner facilement les pare-feu dynamiques, créant ainsi une forte demande pour une solution de sécurité renforcée et plus intelligente.

Apparaît alors le NGFW, introduit par Gartner (vers 2007) qui le définit comme un « pare-feu d’inspection approfondie des paquets qui va au-delà de l’inspection et du blocage des ports/protocoles pour ajouter l’inspection de la couche applicative, la prévention des intrusions et l’apport de renseignements depuis l’extérieur du pare-feu ». Il présente toutes les fonctionnalités d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent d’appliquer des politiques basées sur l’identité, l’emplacement, l’application et le contenu.

Quote

Les fonctionnalités du pare-feu de nouvelle génération sont essentielles. C’est d’ailleurs l’une des principales raisons pour lesquelles nous avons porté notre choix sur Zscaler. Aucun autre service cloud ne possède des capacités complètes de nouvelle génération pour tous les protocoles.

Ken Athanasiou,, RSSI et vice-président, AutoNation

Comment fonctionnent les NGFW ?

Comparés aux pare-feu traditionnels, les NGFW analysent en profondeur le trafic réseau pour comprendre son origine. Ils sont en mesure de recueillir un plus grand nombre de renseignements sur le trafic malveillant et les menaces intégrées qui tentent d’infiltrer le périmètre du réseau et d’accéder aux données de l’entreprise.

Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches OSI 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de correction.

Quelles sont les capacités d’un NGFW ?

Les NGFW, comme leurs prédécesseurs à inspection dynamique, proposent des fonctions de pare-feu de base telles que le filtrage d’URL, l’antivirus et la prise en charge des VPN d’accès à distance, mais ils se démarquent des pare-feu à inspection dynamique par un certain nombre de fonctionnalités de sécurité avancées :

  • La connaissance des applications permet une application granulaire des politiques et un contrôle des applications basé sur des applications spécifiques, leur contenu, la source et la destination du trafic, etc., plutôt que d’être soumis à une limitation en fonction du port, du protocole et de l’adresse IP.
  • L’inspection approfondie des paquets (DPI) analyse le contenu des paquets réseau pour identifier les détails au niveau des applications et identifier les menaces cachées dans un trafic par ailleurs légitime.
  • Le système de prévention des intrusions (IPS) détecte et bloque les menaces connues et inconnues en inspectant le trafic à la recherche de modèles et de comportements suspects.
  • L’identification des utilisateurs permet au NGFW d’associer l’activité du réseau à des utilisateurs spécifiques, et pas seulement aux emplacements d’où ils se connectent, pour une utilisation dans les politiques et la surveillance basées sur l’utilisateur.
  • L’inspection TLS/SSL déchiffre et inspecte le trafic chiffré TLS/SSL (la grande majorité du trafic aujourd’hui) pour détecter les menaces cachées. (L’inspection est toutefois très gourmande en ressources processeur, ce qui entrave les performances des pare-feu limités par le matériel.)
  • L’intégration des renseignements sur les menaces permet à un NGFW de mettre à jour les protections en fonction des menaces nouvellement découvertes sur plusieurs sources, y compris les propres nœuds de réseau de l’entreprise, ainsi que des flux publics et tiers.

Pourquoi ai-je besoin d’un NGFW ?

Le paysage actuel des cybermenaces exige une protection robuste contre les menaces, et les pare-feu traditionnels ne sont pas à la hauteur de la tâche. Les NGFW peuvent bloquer des malwares avancés et sont mieux équipés pour déjouer les menaces persistantes avancées (APT), telles que Cozy Bear, responsable de l’attaque de la chaîne d’approvisionnement SUNBURST de 2020, et Deep Panda, qui est connu pour avoir exploité la vulnérabilité Log4Shell.

De plus, grâce aux renseignements sur les menaces intégrés et aux options d’automatisation de la mise en réseau et de la sécurité, les NGFW ont permis aux entreprises de non seulement simplifier leurs opérations de sécurité, mais également de faire le premier pas vers un centre des opérations de sécurité (SOC) à part entière.

Tous ces avantages potentiels s’accompagnent toutefois de certains défis.

Défis des NGFW

Limitées par leur matériel, les appliances NGFW physiques ne peuvent souvent pas répondre efficacement aux besoins des environnements modernes, ce qui pose de nombreux problèmes.

Backhauling du trafic pour des raisons de sécurité

Le backhauling vers un NGFW avait du sens lorsque les data centers, les terminaux et les ressources étaient essentiellement sur site. Mais aujourd’hui, alors que la mobilité des utilisateurs et l’adoption du cloud continuent de progresser, le matériel NGFW d’un data center traditionnel ne peut tout simplement pas suivre.

Les applications cloud telles que Microsoft 365 sont conçues pour être accessibles directement via Internet. Mais pour que les VPN et les NGFW du data center d’une entreprise puissent assurer l’accès et la sécurité, tout le trafic doit passer par ce data center, ce qui provoque un ralentissement généralisé. Pour offrir une expérience utilisateur rapide, les entreprises doivent acheminer le trafic Internet localement.

Sécurisation des points d’accès locaux à Internet

Vous pouvez sécuriser les points d’accès locaux à Internet avec du matériel NGFW, mais pour ce faire, vous avez besoin d’une pile de sécurité distincte dans chaque emplacement : des NGFW et potentiellement davantage d’appliances dans chaque filiale qui doivent toutes être déployées, entretenues et éventuellement remplacées manuellement, ce qui peut rapidement devenir d’une complexité et d’un coût prohibitifs.

Inspection du trafic chiffré TLS/SSL

La quasi-totalité du trafic Web actuel est chiffrée. Pour effectuer une inspection SSL, la plupart des NGFW utilisent des fonctionnalités proxy intégrées qui exécutent l’inspection dans le logiciel, plutôt qu’au niveau de la puce. Cela a un impact considérable sur les performances, et nuit à l’expérience utilisateur, mais sans inspection, vous manquez plus de 85 % des attaques.

Types de NGFW

Par définition, les NGFW sont des pare-feu d’inspection approfondie des paquets qui fonctionnent au niveau des applications et incluent la prévention des intrusions, ainsi que l’intégration des renseignements sur les menaces. Outre les fonctionnalités de base, les NGFW se présentent sous trois formes distinctes :

  • Les NGFW matériels sont des appliances physiques conçues pour un déploiement sur site. En tant que matériel de sécurité dédié, ces NGFW sont principalement utilisés dans les data centers ou pour d’autres cas d’utilisation qui nécessitent des appareils physiques.
  • Les NGFW virtuels sont basés sur des logiciels et s’exécutent sur des machines virtuelles (VM). Ils sont suffisamment flexibles et évolutifs pour mieux convenir aux applications et services virtualisés et basés sur le cloud que les NGFW purement matériels, mais ils dépendent toujours de l’infrastructure de leur entreprise et sont limités par la puissance de traitement du matériel à partir duquel ils sont partitionnés.
  • Les NGFW basés sur le cloud fournissent des services de pare-feu tiers à partir du cloud, ce qui leur permet de sécuriser le trafic qui ne passe pas par un data center. Ils sont conçus pour sécuriser les environnements cloud natifs, les réseaux distribués et les utilisateurs distants, offrant une plus grande évolutivité et une gestion centralisée de la sécurité.

Pourquoi les pare-feux cloud sont l’avenir

Les entreprises actuelles privilégient le cloud et requièrent des capacités plus dynamiques et modernes afin d’établir des contrôles de sécurité et d’accès destinés à protéger leurs données, des capacités pour lesquelles les NGFW n’ont pas été conçus.

Les sociétés ont toujours besoin de capacités de pare-feu d’entreprise sur leurs points d’accès locaux à Internet, d’autant qu’elles continuent à faire appel à des fournisseurs de services cloud tels qu’AWS et Azure. Les NGFW n’ont pas été conçus pour prendre en charge les applications et les infrastructures cloud, et leurs équivalents sous forme de pare-feu virtuels sont tout aussi limités et présentent les mêmes inconvénients que les appliances NGFW traditionnelles.

Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu suivent le mouvement.

Les 4 principaux avantages de Cloud Firewalls

  • Architecture basée sur un proxy : cette conception inspecte dynamiquement le trafic réseau de tous les utilisateurs, applications, appareils et emplacements. Elle inspecte nativement et à grande échelle le trafic SSL/TLS pour détecter les malwares dissimulés dans le trafic chiffré. De plus, elle permet d’appliquer des politiques de pare-feu réseau granulaires couvrant plusieurs couches en fonction de l’application réseau, l’application cloud, le nom de domaine complet (FQDN) et l’URL.
  • IPS Cloud : un IPS basé sur le cloud offre une protection et une couverture permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
  • Sécurité et contrôle du DNS : agissant en tant que première ligne de défense, un pare-feu basé sur le cloud empêche les utilisateurs d’accéder à des domaines malveillants. Il optimise la résolution DNS pour offrir une meilleure expérience utilisateur et de meilleures performances des applications cloud, ce qui est particulièrement critique pour les applications basées sur CDN. Il fournit également des contrôles granulaires pour détecter et empêcher le tunneling DNS.
  • Visibilité et gestion simplifiée : un pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications, des API et des sites via une console unique.

Peu de fournisseurs peuvent mettre en œuvre une suite complète de fonctionnalités de pare-feu cloud, et un seul peut l’offrir dans le cadre d’une plateforme de sécurité cloud complète et ayant fait ses preuves.

Zscaler Cloud Firewall

Zscaler Firewall offre davantage de puissance que les appliances NGFW sans le coût ni la complexité. Composante de la solution intégrée Zscaler Zero Trust Exchange™, ce service fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ni de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Firewall vous permet de :

  • Définir et appliquer immédiatement des politiques de pare-feu granulaires
  • Passer d’une visibilité globale à des informations exploitables en temps réel
  • Fournir un système de prévention des intrusions (IPS) permanent à tous vos utilisateurs
promotional background

Découvrez par vous-même comment le pare-feu Zscaler basé sur le cloud peut offrir une sécurité supérieure à celle d’un NGFW.

Solliciter une démo

Ressources suggérées

Le parcours d’AutoNation vers le cloud
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Consulter l'e-Book
Pare-feu cloud nouvelle génération de Zscaler
Zscaler Cloud Firewall : les clés d’une migration sécurisée vers le cloud
Lire le livre blanc
SD-WAN sans pare-feu cloud ? N’y pensez même pas !
Lire le blog
Gartner | Le futur de la sécurité des réseaux se trouve dans le cloud
Lire le rapport
01 / 04
Foire aux questions