Vous vous en remettez toujours aux traditionnels NGFW ? Votre entreprise est-elle aussi sécurisée qu’elle le devrait ? Demandez une démo et découvrez comment un pare-feu cloud peut apporter une sécurité supérieure à celle d’un NGFW.
Les pare-feu traditionnels ne fonctionnent que sur les couches 3 et 4 du modèle Open Systems Interconnection (OSI) pour guider leurs actions, gérant le trafic réseau entre les hôtes et les systèmes finaux pour assurer des transferts complets de données. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, utilisent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies.
Lorsque des menaces avancées telles que les ransomwares ont fait leur apparition, ces pare-feu dynamiques ont été allègrement contournés, jour après jour. Inutile de dire que la demande d’une solution de sécurité améliorée et plus intelligente était pressante.
Apparaît alors le NGFW, introduit par Gartner il y a plus de dix ans, qui le définit comme un « pare-feu d’inspection approfondie des paquets qui va au-delà de l’inspection et du blocage des ports/protocoles pour ajouter l’inspection de la couche application, la prévention des intrusions et l’apport de renseignements depuis l’extérieur du pare-feu ». Il présentait toutes les caractéristiques que l’on peut attendre d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent des politiques encore plus strictes en matière d’identité, d’utilisateur, d’emplacement et d’application.
Ken Athanasiou,, RSSI et vice-président, AutoNation
Les pare-feu de nouvelle génération (NGFW) sont encore en activité aujourd’hui, et offrent une foule d’avantages qui les placent au-dessus de leurs prédécesseurs pour la sécurité des réseaux et des applications sur site.
Lorsqu’il s’agit de sécuriser des réseaux d’entreprise, les NGFW sont bien plus efficaces que les pare-feu traditionnels. Ils analysent en profondeur le trafic réseau pour comprendre d’où il vient. Ils sont ainsi en mesure de collecter un plus grand nombre de renseignements sur le trafic malveillant et ses menaces intégrées qui tentent constamment d’infiltrer le périmètre du réseau, d’accéder aux données de l’entreprise et de ruiner sa réputation.
Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de remédiation.
Le paysage actuel des cybermenaces exige une protection robuste contre les menaces, et les pare-feu traditionnels ne sont pas à la hauteur de la tâche. Les NGFW peuvent bloquer les programmes malveillants et sont mieux équipés pour déjouer les menaces persistantes avancées (APT), telles que Cozy Bear, responsable de l’attaque de la chaîne d’approvisionnement SUNBURST de 2020, et Deep Panda, qui est célèbre pour avoir exploité la vulnérabilité Log4Shell.
De plus, grâce aux renseignements sur les menaces intégrés et aux options d’automatisation de la mise en réseau et de la sécurité, les NGFW ont permis aux entreprises non seulement de simplifier leurs opérations de sécurité, mais également de faire le premier pas vers un centre des opérations de sécurité (SOC) complet.
Tous ces avantages potentiels s’accompagnent toutefois d’une série d’inconvénients.
Si les NGFW peuvent offrir de nombreux avantages, ils ne disposent pas des fonctionnalités requises pour répondre aux besoins des personnels disséminés d’aujourd’hui.
Par exemple, le backhauling du trafic vers un NGFW avait du sens lorsque les applications résidaient dans le data center et lorsque la plupart d’entre elles, et donc la plupart des terminaux, se trouvaient dans les sièges des entreprises ou des filiales. Mais les applications ont désormais migré vers le cloud pour prendre en charge le télétravail, une tendance qui a fait ressortir l’inadéquation des outils traditionnels de mise en réseau et de sécurité, y compris les NGFW et les VPN, en raison de leur manque d’évolutivité.
Les applications cloud les plus utilisées, telles que Microsoft 365, ont été conçues pour être accessibles directement via Internet. Pour établir de telles connexions, les entreprises doivent acheminer le trafic Internet localement pour garantir une expérience utilisateur rapide, ce qui signifie qu’acheminer le trafic vers les NGFW des data centers d’entreprise pour le diriger vers Internet n’a plus de sens.
Si vous vouliez sécuriser les points d’accès Internet locaux avec des NGFW, vous devriez répliquer la pile de sécurité de l’entreprise sur chaque site. En d’autres termes, vous devriez déployer des NGFW ou des piles d’appliances de sécurité dans chaque filiale, ce qui n’est pas viable en raison du coût et de la complexité du déploiement et de la gestion d’un si grand nombre de pare-feu.
En outre, les NGFW n’ont jamais été conçus pour prendre en charge des applications cloud. Ils sont facilement submergés par les applications cloud parce qu’ils ne peuvent pas s’adapter au volume élevé de connexions de longue durée que ces applications génèrent, ce qui les prive par défaut de la connaissance des applications cloud.
De plus, ils ne peuvent pas gérer nativement le trafic chiffré SSL, ce qui est devenu de plus en plus important dans la mesure où la quasi-totalité du trafic Web actuel est chiffré. Pour procéder à l’inspection SSL, les NGFW doivent intégrer des capacités de proxy qui exécutent l’inspection SSL dans le logiciel, plutôt qu’au niveau de la puce. Cela a non seulement un impact sur les performances et nuit à l’expérience utilisateur, mais cela ouvre également la porte à de nouvelles menaces de sécurité telles que les programmes malveillants avancés.
Les pare-feu de nouvelle génération (NGFW) que nous utilisons aujourd’hui ont été conçus il y a plus de dix ans. Les entreprises actuelles privilégient le cloud et requièrent des capacités plus dynamiques et modernes afin d’établir des contrôles de sécurité et d’accès destinés à protéger leurs données, des capacités pour lesquelles les NGFW n’ont pas été conçus.
Les organisations ont toujours besoin de capacités de pare-feu d’entreprise sur leurs points d’accès à Internet locaux, d’autant qu’elles continuent à faire appel à des fournisseurs de services cloud tels qu’AWS et Azure. Les NGFW n’ont pas été conçus pour prendre en charge les applications et les infrastructures cloud, et leurs équivalents sous forme de pare-feu virtuels sont tout aussi limités et présentent les mêmes inconvénients que les appliances NGFW traditionnelles.
Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu suivent le mouvement.
Peu de fournisseurs peuvent mettre en œuvre une suite complète de fonctionnalités de pare-feu cloud, et un seul peut l’offrir dans le cadre d’une plateforme de sécurité cloud complète et ayant fait ses preuves.
Zscaler Cloud Firewall offre davantage de puissance que les appliances NGFW sans le coût ni la complexité. Composante de la solution intégrée Zscaler Zero Trust Exchange™, il fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.
Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Cloud Firewall vous permet de :
Vous vous en remettez toujours aux traditionnels NGFW ? Votre entreprise est-elle aussi sécurisée qu’elle le devrait ? Demandez une démo et découvrez comment un pare-feu cloud peut apporter une sécurité supérieure à celle d’un NGFW.
Le parcours d’AutoNation vers le cloud
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Consulter l'e-BookPare-feu cloud nouvelle génération de Zscaler
Zscaler Cloud Firewall : les clés d’une migration sécurisée vers le cloud
Lire le livre blancSD-WAN sans pare-feu cloud ? N’y pensez même pas !
Lire le blogGartner | Le futur de la sécurité des réseaux se trouve dans le cloud
Lire le rapport