Administrateur Réseau

Guide NGFW : Que sont les pare-feu de nouvelle génération ?

Guide du pare-feu de nouvelle génération



« Le seul système véritablement sécurisé est celui qui est éteint, coulé dans un bloc de béton et scellé dans une pièce plombée avec des gardes armés – et même dans ce cas, j’ai des doutes. »

Dewdney, AK (mars 1989). Loisirs informatiques : vers, virus et guerre de base. Américain scientifique, p. 110



Dès qu’un appareil électronique est connecté, il devient vulnérable aux piratages et aux infections. Quel que soit le niveau de sécurité mis en place autour de celui-ci, il y aura toujours un point faible que les pirates détecteront et exploiteront. C’est une réalité dans un monde numérique hautement connecté.

Mais même si cela arrive même le meilleur parmi eux, cela ne signifie pas que vous devez rester les bras croisés et ne rien faire face aux attaques visant votre réseau. D'une part, vous pouvez radicalementaugmentez la sécurité autour de vos frontières à l’aide de pare-feu de nouvelle génération ou NGFW –aussi connu sous le nomSolutions de gestion unifiée des menaces ou UTMS.



Voici un diagramme composite qui montre toutes les tâches et processus effectués par un NGFW et que nous verrons en profondeur dans cet article :

Schéma de pare-feu de nouvelle génération

Image source

Définition des pare-feux de nouvelle génération (NGFW)

Fondamentalement, un pare-feu de nouvelle génération (NGFW) est une version avancée du pare-feu traditionnel.

Comme son homologue plus ancien,un NGFW est une solution de sécurité logicielle ou matérielle qui protège un réseauvia:

  • Inspection dynamique du trafic réseauoù il surveille l'état des connexions actives pour l'aider à déterminer par quels paquets peuvent passer
  • Détermination de l'accès (ou du refus) du traficen fonction de son état, de son port et de son protocole
  • Application des règles et politiques définies par l'administrateurqui déterminent quel type de trafic réseau est autorisé et ce qui ne l'est pas

Pare-feu traditionnel

Image source

Un NGFW va encore plus loin dans la protection du réseau avec des fonctionnalités supplémentaires telles que:

  • Un système intégré de détection et de prévention des intrusions (IDS, IPS)– il agit contre les menaces avant qu’elles n’accèdent au réseau.
  • Contrôle des applications– en fonction de la configuration définie, un NGFW bloquera l'exécution des applications sur le réseau.
  • Filtre de contenu Web– les utilisateurs du réseau peuvent être protégés contre les sites malveillants ou leur accès à certains contenus peut être restreint pendant les heures de bureau, par exemple.
  • Protection antivirus– un NGFW a également la capacité de contrecarrer les attaques de l'intérieur en arrêtant les paquets et les charges malveillants tout en garantissant que les attaques entrantes sont stoppées avant qu'elles n'entrent dans le réseau.
  • Défense basée sur la réputation– la distribution des logiciels malveillants étant de plus en plus sophistiquée, il est devenu nécessaire de modifier la manière dont ils sont détectés ; avec un NGFW, vous obtenez cette capacité de défense préemptive qui a été conçue pour la première fois par Norton Internet Sécurité 2010 .

Ces capacités supplémentaires sont rendues possibles grâce à unNGFW va plus en profondeur pour inspecter la charge utile de chaque paquet et faire correspondre les signatures des activités nuisiblescomme les vulnérabilités, les exploits, les virus et les logiciels malveillants.

Cette vidéo présente ces points de manière plus ludique :

[ct_yt_embed url='https://www.youtube.com/watch?v=W_rOYetDQUQ']

Pourquoi les NGFW ont-ils été créés ?

Le besoin de NGFW est né de la nécessité d'améliorer les capacités de protection des pare-feu traditionnels qui étaient en retard sur les avancées des menaces et de leurs méthodes de transmission. À mesure que les attaques devenaient plus sophistiquées, notamment en cachant des charges utiles malveillantes dans des paquets, il était nécessaire de créer une technologie défensive plus efficace, capable de les détecter.

NGFW - services de sécurité

Image source (PDF)

Gestion du pare-feu CrowdStrike Falcon (ESSAI GRATUIT)

Gestion du pare-feu CrowdStrike Falcon - vue détections

Gestion du pare-feu CrowdStrike Falconest un bon exemple de cette approche de plateforme multitâche pour la sécurité du système. CrowdStrike a créé un système de protection des points de terminaison basé sur le cloud, implémenté sur l'appareil protégé via un programme d'agent.

Cette plate-forme de nouvelle génération combine toutes les tâches traditionnellement effectuées par des instances logicielles distinctes : antivirus, pare-feu, détection d'intrusion, filtre anti-spam, etc. Plutôt que de fonctionner comme un blocage du trafic au niveau de la passerelle du réseau, ou d'analyser le trafic, comme un système basé sur le réseau. système de détection d'intrusion, CrowdStrike Falcon concentre toutes les cyberdéfenses sur les données qui atteignent tous les points finaux du réseau. CrowdStrike propose un essai de 15 jours de la plate-forme Falcon à ceux qui souhaitent voir comment fonctionne ce système de nouvelle génération basé sur le cloud.

CrowdStrike Falcon Firewall Management Commencez un essai GRATUIT de 15 jours

Avantages d'avoir un NGFW sur votre réseau

Quiconque cherche à assurer la sécurité de son réseau a besoin d'un NGFW pour les raisons suivantes :

  • C'estune solution plusieurs-en-unqui exécute les tâches de plusieurs solutions de sécurité logicielles et matérielles – pourquoi s'embêter avec plusieurs solutions de sécurité alors qu'il vous suffit de configurer un seul NGFW ?
  • C'estrentable, encore une fois, parce que vous n’aurez pas besoin d’acheter plusieurs solutions de sécurité, de les administrer, de suivre les mises à jour, les mises à niveau et les licences – alors que vous ne pouvez vous soucier que d’une seule grande solution.
  • C'estun grand pas en avant par rapport au pare-feu traditionnel– si vous en utilisez un – et il est logique de passer à une méthode de protection réseau plus moderne.
  • Aussi, unNGFW ne mordrea pas votre bande passantetout comme un pare-feu traditionnel (et toutes les autres solutions de sécurité qui l'accompagnent généralement).

Le principal argument de vente ici est :avec un NGFW installé, vous obtenez une solution unique pour tous vos problèmes de sécurité réseau.

À quoi devez-vous faire attention dans un NGFW ?

Pour qu’un NGFW fonctionne efficacement, il devra disposer de quelques fonctionnalités. Les fonctionnalités importantes à surveiller dans votre nouvelle solution incluent :

Alertes et messages provenant de logiciels malveillants

Console de contrôle avancée

Comme toutes les consoles de commande modernes et efficaces, votre nouveau NGFW devrait en avoir une où :

  • Votre administrateur réseau peut le contrôler à distance.
  • Il permet une configuration avancée des actifs, des politiques, des règles, des rôles et de la sécurité des utilisateurs et des actifs.
  • L'administrateur est capable d'exécuter des tâches automatisées et de planifier des tâches.
  • Il capture les événements et enregistre les journaux pour un examen médico-légal futur en cas de panne de réseau ou d'attaque.
  • Des rapports avancés peuvent être extraits, aussi complets que faciles à comprendre.

Inspection approfondie des paquets

Ceci, bien sûr, est une évidence ; s'il existe une fonctionnalité qui différencie un NGFW des pare-feu traditionnels,c'est la capacité de supprimer les paquets et d'examiner leur contenu.

C'estinspection approfondie des paquets qui protège le réseau contre les logiciels malveillants, les virus, les chevaux de Troie, le spam, la non-conformité du protocole et les tentatives de piratage. C'est également ainsi qu'un NGFW sait quels rôles et autorisations s'appliquent à un paquet particulier.

Gestion de la qualité de service

Votre nouveau NGFW devrait être capable de gérer la qualité de service ( QoS ) sur un réseau. Quoi que ce soitprioriser les paquets ou gérer l'allocation de bande passante, il attribue leurs séquences et les renvoie une fois qu'elles atteignent sa périphérie (trafic entrant). Il les met en file d'attente dans le bon ordre (trafic sortant) au fur et à mesure de leur transmission. Cela permet de maintenir le réseau à des vitesses de performances optimales tout en évitant la perte de paquets.

Au minimum, vous devriez pouvoirimplémentez des clusters afin que vous puissiez utiliser votre NGFW pour l'équilibrage de charge et comme sécurité intégrée en cas de pannes ou de congestions du réseau..

Capacités antivirus et de décryptage de paquets

Même si votre réseau disposera presque certainement d'une solution antivirus autonome, celle-ci doit également faire partie de la fonctionnalité de votre nouveau NGFW.. Il devrait être capable de stopper les attaques avant qu'elles n'entrent dans le réseau, augmentant ainsi les capacités de la principale solution antivirus..

En plus de pouvoir contrecarrer les tentatives de transmission de paquets malveillantsà traversdéfenses périphériques du réseau, un NGFW devrait être capable d'analyser tous les paquets transportésdansle réseau. Puisqu’ils sont déjà derrière les défenses, ces paquets pourraient être tout aussi exploiteurs que leurs homologues « étrangers » – voire plus – et de manière encore plus sournoise.

Contrôle d'identité

Un élément essentiel de la sécurité du réseau consiste à garder la trace des utilisateurs. Toute personne accédant au réseau (de l’intérieur ou de l’extérieur) doit le faire conformément à l’autorité qui lui a été accordée. Chaque rôle et autorisation qui leur sont attribués est défini par l'administrateur qui doit également être en mesure d'appliquer ces politiques d'accès via le NGFW ou une solution de surveillance tierce.

Cela signifie,un NGFW devrait toujours être capable de fonctionner avec d'autres applications de contrôle d'identité existantes– Active Directory, par exemple – qui existe sur le réseau. Cela nous amène à…

Intégration transparente

Un NGFW, malgré ses multiples capacités, restedoit fonctionner avec d’autres systèmesqui sont installés sur le réseau même qu’il est censé protéger. Il devrait donc pouvoir s'intégrer de manière transparente aux autres systèmes de sécurité du réseau.

Par exemple,le réseau pourrait avoir un système placé pour aider à protéger le NGFW lui-mêmeLogiciel de gestion de la sécurité du pare-feu réseau SolarWindsvient à l’esprit ici – et qui doit interagir avec lui.

Un autre exemple pourrait être que la détection de paquets malveillants par le NGFW devrait être en mesure de déclencher un examen plus approfondi de la part du NGFW.Gestion des informations et des événements de sécurité ( SIEM )Solutions logicielles.

De cette façon, la défense du réseau et du défenseur lui-même devient une affaire astucieuse.

Étiquette de prix

Toutes les solutions NGFW ne sont pas égales et elles ont toutes des prix différents. Même s'il ne fait aucun doute qu'investir dans cette solution de sécurité réseau particulière est une bonne idée,une analyse coûts-avantages reste à faire lorsqu'il s'agit de choisir les marques, la qualité de leurs produits et leur coût.

Une fois la sélection effectuée, des négociations doivent alors être envisagées pour voir si une remise peut être accordée en fonction du nombre d'utilisateurs ou de la taille du réseau à protéger. Bien entendu, il ne faut pas oublier les prix des outils supplémentaires de surveillance et de reporting à distance.

Assistance disponible

Le dernier point à considérer est le support après-vente. Aussi parfait que puisse être son NGFW, le fournisseur devrait être en mesure de fournir une assistance 24 heures sur 24 (à un prix raisonnable) en raison de la tâche sensible que son produit est censé entreprendre.Ils doivent être en mesure de garantir des délais de réponse rapides aux situations de crise et l'expertise nécessairepour traiter des cas extrêmes et urgents.

Un point à souligner ici est que la quantité d’assistance dont vous aurez besoin sera inversement proportionnelle à la quantité de connaissances techniques internes dont vous disposez. Alors, calculez judicieusement.

Réflexions finales sur les NGFW et l'avenir

Pour conclure, il faut dire que les attaques contre les réseaux continuent d’être un phénomène en évolution rapide qui rend difficile pour toute solution de sécurité de garder une longueur d’avance.Pour l'instant, un NGFW est l'une des meilleures solutions disponibles pour assurer la sécurité d'un réseau..

Mais malheureusement,À mesure que de plus en plus d'entreprises adoptent la technologie cloud, les frontières de leurs réseaux commencent lentement à disparaître.. En outre, les fournisseurs de solutions cloud mettent généralement en œuvre leurs propres solutions de sécurité, ce qui rend redondante – voire dissuasive – l’utilisation de technologies non cloud protégeant le réseau et ses actifs. Et dans certains cas, il serait plus rentable d’investir dans des solutions SaaS que d’envisager la mise en œuvre d’un réseau, ce qui rend les entreprises réticentes à investir dans une sécurité qu’elles considèrent comme étant sur le point de disparaître.

Et enfin,avec de plus en plus d’employés travaillant à distance, les frontières ont (au moins dans leur cas) complètement disparu ; leur ordinateur portable individuel devient la frontière.Cela n’aurait aucun sens de mettre un NGFW entre eux et leurs sources de données.

Par conséquent, notre dernier conseil serait le suivant : à moins que vous ne disposiez d’un réseau étendu et bien établi,peut-être devriez-vous envisager de passer au cloud et de garder une longueur d'avance au lieu d'en chercher un nouveau, mais devenant rapidement obsolète , technologie.

FAQ sur les pare-feu de nouvelle génération

Quelle fonctionnalité NGFW permet à un administrateur réseau de restreindre le trafic généré par un jeu spécifique ?

La connaissance des applications est une caractéristique clé des NGFW et identifie l'application source du trafic, même jusqu'au logiciel, comme un jeu spécifique.

Quelles fonctionnalités distinguent un NGFW des pare-feu traditionnels ?

Les pare-feu dynamiques étaient autrefois considérés comme à la pointe du progrès. Cependant, les NGFW sont un rang au-dessus d'eux et donc les pare-feu dynamiques sont désormais considérés par beaucoup comme « traditionnels ». Un NGFW doit être au moins capable d'examiner les paquets d'actrices de trafic (ce qui est avec état). Ils doivent également être capables d’établir une base d’activité afin de pouvoir détecter un trafic anormal. Il s'agit d'une technique basée sur l'IA qui utilise l'apprentissage automatique et appelée analyse du comportement des utilisateurs et des entités (UEBA). Un NGFW devrait également être capable d'interagir avec d'autres services qui pourraient être fournis par différents producteurs. Cette capacité est appelée SOAR, qui signifie orchestration, automatisation et réponse de la sécurité.

Quel est un cas d’utilisation pour le déploiement du NGFW de Palo Alto Networks dans le cloud public ?

Palo Alto produit son NGFW avec un certain nombre d'options de déploiement. Le package CDSS (Cloud-delivered Security Services) est probablement la meilleure option pour protéger les actifs basés sur le cloud, tels que les comptes AWS et Azure. Il s'agit d'un pare-feu en tant que service (FWaaS), ce qui signifie qu'il est hébergé par Palo Alto. Cette position permet aux services de protéger n'importe quel actif n'importe où, de sorte qu'ils peuvent inclure à la fois les systèmes sur site et dans le cloud dans un seul plan de protection par pare-feu.

^