Qu’est-ce qu’un pare-feu de nouvelle génération (NGFW) ?

Le pare-feu de nouvelle génération ( NGFW ) est la fusion de la technologie traditionnelle des pare-feux avec d’autres fonctions de filtrage des périphériques réseau, telles que le contrôle des applications inline, un système intégré de prévention des intrusions (IPS), des mécanismes de prévention des menaces et une protection antivirus, destinés à améliorer la sécurité des réseaux d’entreprise.

Caractéristiques des NGFW

Contrôle des applications : les NGFW surveillent activement les applications (et les utilisateurs) qui acheminent du trafic vers le réseau. Ils possèdent une capacité innée à analyser le trafic réseau pour détecter le trafic applicatif, quel que soit le port ou le protocole, ce qui augmente la visibilité globale. IPS : à la base, un IPS est conçu pour surveiller en permanence un réseau, y rechercher des événements malveillants, et prendre ensuite des mesures judicieuses pour les prévenir. L'IPS peut envoyer une alarme à un administrateur, supprimer les paquets, bloquer le trafic ou réinitialiser complètement la connexion. Renseignements sur les menaces : il s’agit des données ou des informations recueillies par divers n&oelig;uds d’un réseau ou d’un écosystème informatique qui aident les équipes à comprendre les menaces qui ciblent ou ont déjà ciblé une entreprise. Il s’agit d’une ressource essentielle en matière de cybersécurité. Antivirus : comme son nom l’indique, un logiciel antivirus détecte les virus, y répond et met à jour les fonctionnalités de détection pour répondre à l’évolution constante du paysage des menaces. Lire la suite .

Lorsqu’il s’agit de sécuriser des réseaux d’entreprise, les NGFW sont bien plus efficaces que les pare-feux traditionnels. Ils analysent en profondeur le trafic réseau pour comprendre d’où il vient. Ils sont ainsi en mesure de collecter un plus grand nombre de renseignements sur le trafic malveillant et ses menaces intégrées qui tentent constamment d’infiltrer le périmètre du réseau, d’accéder aux données de l’entreprise et de ruiner sa réputation. Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de remédiation. Lire la suite .

Pourquoi ai-je besoin d’un pare-feu de nouvelle génération (NGFW) ?

Les NGFW offrent une défense plus avancée contre les menaces sophistiquées que les pare-feux traditionnels, notamment une inspection approfondie des paquets, une prévention des intrusions, l’inspection TLS/SSL, et une journalisation et des rapports plus robustes. Les NGFW peuvent appréhender la destination du trafic des applications, ce qui leur permet de détecter et d’atténuer les malwares, les attaques de type « zero day », etc. Avec beaucoup plus de contexte, les NGFW peuvent appliquer des contrôles de politique granulaires sur le trafic réseau, l’activité des utilisateurs et l’utilisation des applications, au lieu de se limiter aux ports, protocoles et adresses IP.

Quelle est la différence entre un pare-feu et un NGFW ?

La principale différence entre un pare-feu traditionnel à « inspection dynamique » et un pare-feu de nouvelle génération réside dans la manière dont ils traitent le trafic réseau. Les pare-feux à inspection dynamique reposent principalement sur des règles statiques d’autorisation/refus basées sur les ports de connexion, les protocoles et les adresses IP. Les NGFW, quant à eux, peuvent comprendre des applications spécifiques et leur trafic, inspecter le contenu des paquets réseau et du trafic chiffré, appliquer des politiques basées sur l’identité, etc., ce qui permet d’appliquer des contrôles de trafic contextuels plus granulaires.

Sur quelle couche opère un NGFW ?

Les pare-feux de nouvelle génération (NGFW) fonctionnent principalement au niveau de la couche 7 (couche application) du modèle OSI. Grâce à une inspection approfondie des paquets et à une connaissance avancée des applications, un NGFW peut identifier des applications et des services spécifiques, inspecter leur contenu et évaluer le contexte afin d’éclairer l’application des politiques. En allant au-delà de l’inspection de base des ports et des protocoles des pare-feux d’inspection dynamique traditionnels, les NGFW offrent une défense plus efficace contre les menaces sophistiquées qui se cachent dans le trafic légitime.

Où utilise-t-on un NGFW ?

Les pare-feux de nouvelle génération (NGFW) se trouvent généralement au périmètre du réseau, entre le réseau interne et les environnements externes tels qu’Internet. Ils peuvent également être déployés entre des segments de réseau internes pour appliquer des politiques de sécurité et segmenter les ressources sensibles. Ils continuent de jouer un rôle dans la sécurisation de l’ accès à distance via les VPN en protégeant les périmètres des data centers traditionnels, et se retrouvent dans les piles matérielles des sites distants et des filiales de nombreuses entreprises, bien que l’efficacité de cette approche faiblisse à mesure qu’un volume croissant de ressources et de données se déplacent vers le cloud, brouillant la définition du « périmètre sécurisé ».

Qu’est-ce qu’un (NGFW) Next Generation Firewall ?

Q: Pare-feu de nouvelle génération vs. pare-feu traditionnel

Les pare-feu traditionnels ne fonctionnent que sur les couches 3 et 4 du modèle Open Systems Interconnection (OSI) pour guider leurs actions, gérant le trafic réseau entre les hôtes et les systèmes finaux pour assurer des transferts complets de données. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, utilisent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies. Le NGFW a été présenté à l’époque de son lancement comme la prochaine évolution de la sécurité réseau. Il présentait toutes les caractéristiques que l’on peut attendre d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent des politiques encore plus strictes en matière d’identité, d’utilisateur, de localisation et d’application. Lire la suite .

Pare-feu de nouvelle génération vs. pare-feu traditionnel

Les pare-feux traditionnels s’appuient sur les couches 3 et 4 du modèle OSI (Open Systems Interconnection) pour guider leurs actions, gérant ainsi le trafic réseau entre les hôtes et les systèmes finaux. Ils autorisent ou bloquent le trafic en fonction du port et du protocole, exploitent une inspection dynamique et prennent des décisions en fonction de politiques de sécurité définies.

L’émergence de menaces avancées telles que les ransomwares, a permis aux hackers de contourner facilement les pare-feux dynamiques, créant ainsi une forte demande pour une solution de sécurité renforcée et plus intelligente.

Apparaît alors le NGFW, introduit par Gartner (vers 2007) qui le définit comme un « pare-feu d’inspection approfondie des paquets qui va au-delà de l’inspection et du blocage des ports/protocoles pour ajouter l’inspection de la couche applicative, la prévention des intrusions et l’apport de renseignements depuis l’extérieur du pare-feu ». Il présente toutes les fonctionnalités d’un pare-feu traditionnel, mais avec des capacités plus granulaires qui permettent d’appliquer des politiques basées sur l’identité, l’emplacement, l’application et le contenu.

Les fonctionnalités du pare-feu de nouvelle génération sont essentielles. C’est d’ailleurs l’une des principales raisons pour lesquelles nous avons porté notre choix sur Zscaler. Aucun autre service cloud ne possède des capacités complètes de nouvelle génération pour tous les protocoles.

Ken Athanasiou,, RSSI et vice-président, AutoNation

Comment fonctionnent les NGFW ?

Comparés aux pare-feu traditionnels, les NGFW analysent en profondeur le trafic réseau pour comprendre d’où il vient. Ils sont en mesure de recueillir un plus grand nombre de renseignements sur le trafic malveillant et les menaces intégrées qui tentent d’infiltrer le périmètre du réseau et d’accéder aux données de l’entreprise.

Alors qu’un pare-feu traditionnel ne fonctionne qu’aux couches OSI 3 et 4, les NGFW peuvent fonctionner jusqu’à la couche 7, celle des applications. Cela signifie que les menaces au niveau de l’application, qui sont parmi les plus dangereuses et les plus intrusives, sont arrêtées avant qu’elles n’ouvrent une faille, ce qui permet de gagner du temps et de réduire les coûts de correction.

Quelles sont les capacités d’un NGFW ?

Les NGFW, comme leurs prédécesseurs à inspection dynamique, fournissent des fonctions de pare-feu de base telles que le filtrage d’URL, l’antivirus et la prise en charge des VPN d’accès à distance, mais ils se démarquent des pare-feux à inspection dynamique par un certain nombre de fonctionnalités de sécurité avancées :

La connaissance des applications permet une application granulaire des politiques et un contrôle des applications basé sur des applications spécifiques, leur contenu, la source et la destination du trafic, etc., plutôt que d’être limitée par le port, le protocole et l’adresse IP.
L’inspection approfondie des paquets (DPI) analyse le contenu des paquets réseau pour identifier les détails au niveau de l’application et identifier les menaces qui se cachent dans un trafic par ailleurs légitime.
Le système de prévention des intrusions (IPS) détecte et bloque les menaces connues et inconnues en inspectant le trafic à la recherche de modèles et de comportements suspects.
L’identification des utilisateurs permet au NGFW d’associer l’activité du réseau à des utilisateurs spécifiques, et pas seulement aux emplacements d’où ils se connectent, pour une utilisation dans les politiques et la surveillance basées sur l’utilisateur.
L’inspection TLS/SSL déchiffre et inspecte le trafic chiffré TLS/SSL (la grande majorité du trafic aujourd’hui) pour détecter les menaces cachées. (L’inspection est toutefois très gourmande en ressources processeur, ce qui entrave les performances des pare-feux limités par le matériel.)
L’intégration des renseignements sur les menaces permet à un NGFW de mettre à jour les protections en fonction des menaces nouvellement découvertes sur plusieurs sources, y compris les propres nœuds de réseau de l’entreprise, ainsi que des flux publics et tiers.

Pourquoi ai-je besoin d’un NGFW ?

Le paysage actuel des cybermenaces exige une protection robuste contre les menaces, et les pare-feux traditionnels ne sont pas à la hauteur de la tâche. Les NGFW peuvent bloquer les malwares avancés et sont mieux équipés pour déjouer les menaces persistantes avancées (APT), telles que Cozy Bear, responsable de l’attaque de la chaîne d’approvisionnement SUNBURST de 2020, et Deep Panda, qui est connu pour avoir exploité la vulnérabilité Log4Shell.

De plus, grâce aux renseignements sur les menaces intégrés et aux options d’automatisation de la mise en réseau et de la sécurité, les NGFW ont permis aux entreprises non seulement de simplifier leurs opérations de sécurité, mais également de faire le premier pas vers un centre des opérations de sécurité (SOC) à part entière.

Tous ces avantages potentiels s’accompagnent toutefois de certains défis.

Défis pour les NGFW

Limitées par leur matériel, les appliances NGFW physiques ne peuvent souvent pas répondre efficacement aux besoins des environnements modernes, ce qui pose de nombreux problèmes.

Backhauling du trafic pour la sécurité

Le backhauling vers un NGFW avait du sens lorsque les data centers, les terminaux et les ressources étaient essentiellement sur site. Mais aujourd’hui, alors que la mobilité des utilisateurs et l’adoption du cloud continuent de progresser, le matériel NGFW d’un data center traditionnel ne peut tout simplement pas suivre.

Les applications cloud telles que Microsoft 365 sont conçues pour être accessibles directement via Internet. Mais pour que les VPN et les NGFW du data center d’une entreprise puissent assurer l’accès et la sécurité, tout le trafic doit passer par ce data center, ce qui provoque un ralentissement généralisé. Pour offrir une expérience utilisateur rapide, les entreprises doivent acheminer le trafic Internet localement.

Sécuriser les points d’accès locaux à Internet

Vous pouvez sécuriser les points d’accès locaux à Internet avec du matériel NGFW, mais pour ce faire, vous avez besoin d’une pile de sécurité distincte dans chaque emplacement : des NGFW et potentiellement davantage d’appliances dans chaque filiale qui doivent toutes être déployées, entretenues et éventuellement remplacées manuellement, ce qui peut rapidement devenir d’une complexité et d’un coût prohibitifs.

Inspecter le trafic chiffré TLS/SSL

La quasi-totalité du trafic Web actuel est chiffrée. Pour effectuer une inspection SSL, la plupart des NGFW utilisent des fonctionnalités proxy intégrées qui exécutent l’inspection dans le logiciel, plutôt qu’au niveau de la puce. Cela a un impact considérable sur les performances, et nuit à l’expérience utilisateur, mais sans inspection, vous manquez plus de 85 % des attaques.

Types de NGFW

Par définition, les NGFW sont des pare-feux d’inspection approfondie des paquets qui fonctionnent au niveau des applications et englobent la prévention des intrusions ainsi que l’intégration des renseignements sur les menaces. Outre les fonctionnalités de base, les NGFW se présentent sous trois formes distinctes :

Les NGFW matériels sont des appliances physiques conçues pour un déploiement sur site. En tant que matériel de sécurité dédié, ces NGFW sont principalement utilisés dans les data centers ou pour d’autres cas d’utilisation qui nécessitent des appareils physiques.
Les NGFW virtuels sont basés sur des logiciels et s’exécutent sur des machines virtuelles (VM). Ils sont suffisamment flexibles et évolutifs pour mieux convenir aux applications et services virtualisés et basés sur le cloud que les NGFW purement matériels, mais ils dépendent toujours de l’infrastructure de leur entreprise et sont limités par la puissance de traitement du matériel à partir duquel ils sont partitionnés.
Les NGFW basés sur le cloud fournissent des services de pare-feu tiers à partir du cloud, ce qui leur permet de sécuriser le trafic qui ne passe pas par un data center. Ils sont conçus pour sécuriser les environnements cloud natifs, les réseaux distribués et les utilisateurs distants, offrant une plus grande évolutivité et une gestion centralisée de la sécurité.

Pourquoi les pare-feux cloud sont l’avenir

Les entreprises actuelles privilégient le cloud et requièrent des capacités plus dynamiques et modernes afin d’établir des contrôles de sécurité et d’accès destinés à protéger leurs données, des capacités pour lesquelles les NGFW n’ont pas été conçus.

Les organisations ont toujours besoin de capacités de pare-feu d’entreprise sur leurs points d’accès à Internet locaux, d’autant qu’elles continuent à faire appel à des fournisseurs de services cloud tels qu’AWS et Azure. Les NGFW n’ont pas été conçus pour prendre en charge les applications et les infrastructures cloud, et leurs équivalents sous forme de pare-feu virtuels sont tout aussi limités et présentent les mêmes inconvénients que les appliances NGFW traditionnelles.

Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu suivent le mouvement.

Les 4 principaux avantages de Cloud Firewalls

Architecture basée sur un proxy : cette conception inspecte dynamiquement le trafic réseau de tous les utilisateurs, applications, appareils et emplacements. Elle inspecte en mode natif le trafic SSL/TLS à grande échelle pour détecter les logiciels malveillants cachés dans le trafic chiffré. De plus, elle permet d’appliquer des politiques de pare-feu réseau granulaires couvrant plusieurs couches en fonction de l’application réseau, de l’application cloud, du nom de domaine pleinement qualifié (FQDN) et de l’URL.
IPS cloud : un IPS basé sur le cloud assure une protection et une surveillance permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
Sécurité et contrôle DNS : en tant que première ligne de défense, un pare-feu cloud protège les utilisateurs contre l’accès aux domaines malveillants. Il optimise la résolution DNS afin d’améliorer l’expérience utilisateur et les performances des applications cloud, ce qui est particulièrement important pour les applications basées sur le CDN. Il fournit également des contrôles granulaires pour détecter et empêcher le tunneling DNS.
Visibilité et gestion simplifiée : un pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques de sécurité sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications, des API et des sites via une console unique.

Peu de fournisseurs peuvent mettre en œuvre une suite complète de fonctionnalités de pare-feu cloud, et un seul peut l’offrir dans le cadre d’une plateforme de sécurité cloud complète et ayant fait ses preuves.

Zscaler Cloud Firewall

Zscaler Firewall offre davantage de puissance que les appliances NGFW sans le coût ni la complexité. Composante de la solution intégrée Zscaler Zero Trust Exchange™, ce service fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Firewall vous permet de :

Définir et appliquer immédiatement des politiques de pare-feu granulaires
Passer d’une visibilité globale à des informations exploitables en temps réel
Protéger en permanence tous vos utilisateurs contre les intrusions

Vous vous en remettez toujours aux traditionnels NGFW ? Votre entreprise est-elle aussi sécurisée qu’elle le devrait ? Demandez une démo pour découvrir comment un pare-feu basé sur le cloud peut fournir une sécurité supérieure à celle d’un NGFW.

Ressources suggérées

Le parcours d’AutoNation vers le cloud
Regarder la vidéo
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Consulter l'e-Book
Pare-feu cloud nouvelle génération de Zscaler
Regarder la vidéo
Zscaler Cloud Firewall : les clés d’une migration sécurisée vers le cloud
Lire le livre blanc
SD-WAN sans pare-feu cloud ? N’y pensez même pas !
Lire le blog
Gartner | Le futur de la sécurité des réseaux se trouve dans le cloud
Lire le rapport

Votre monde, sécurisé

Zscaler : Un leader du Gartner® Magic Quadrant™ 2023 pour le Security Service Edge (SSE)

La différence Zscaler

Principes de base du Zero Trust

Sécuriser vos utilisateurs

Sécuriser vos charges de travail

Sécuriser votre IoT et OT

Produits

Domaines des solutions

Plateforme Zero Trust Exchange

Votre transformation avec une architecture Zero Trust

Sécurisez vos objectifs commerciaux

Apprenez, connectez-vous et obtenez de l’aide.

Amplifier les voix des pionniers du monde numérique réel et du Zero Trust

Centre de ressources

Événements et formations

Recherche et services de sécurité

Outils

Communauté et assistance

Solutions pour l’industrie et le marché

À propos de Zscaler

Partenaires

Nouveautés et annonces

Équipe de direction

Intégrations du partenaire

Relations avec les investisseurs

Environnement, social et gouvernance

Carrières

Centre de presse

Conformité

Zenith Ventures

Qu’est-ce qu’un pare-feu de nouvelle génération ?