Vasiliy Koval - Fotolia
Fortinet joue l’ouverture pour une approche plus intégrée de la défense
L’équipementier a développé des interfaces permettant d’intégrer ses produits à une architecture de sécurité hétérogène, de manière multilatérale. Première concrétisation : un partenariat avec Carbon Black.
Fortinet vient de présenter Security Fabric, une série d’interfaces, en fait, permettant de multiplier les intégrations de manière multilatérale. Dans un communiqué de presse, Ken Xie, président du conseil d’administration et Pdg de l’équipementier, revendique ainsi l’exclusivité d’une approche permettant d’envisager « une protection sans couture à l’échelle d’une surface d’attaque qui ne cesse de s’étendre ». Car pour Fortinet, à l’heure de la mobilité et surtout des objets connectés, « les organisations ont besoin d’implémenter une stratégie de sécurité étroitement coordonnée ». Et c’est justement cette coordination qu’ambitionnent de permettre les API Security Fabric. De quoi rappeler l’approche de Sophos, avec son projet Galileo, ou encore celle d’un Phantom Cyber, à plus haut niveau.
Dans un livre blanc, Fortinet explique vouloir, avec Security Fabric, proposer une approche distribuée et élastique de la sécurité à l’échelle de l’infrastructure. Mais Security Fabric doit s’appréhender comme une entité unique « d’un point de vue des règles et de la gestion des logs ». Ces deux premiers piliers permettent d’envisager de mettre en place des segmentations de l’infrastructure avec une granularité très élevée.
Mais Security Fabric doit aussi se nourrir de et alimenter le renseignement sur les menaces, à partir d’informations collectées en interne, mais également de flux externes. Là, les services cloud d’analyse Big Data de Fortinet doivent fournir les ressources d’analyse et de corrélation requises, « en temps réel ». L’ensemble s’appuie sur le framework de protection contre les menaces avancées de l’équipementier qui vient justement de profiter de quelques améliorations : chronologies visuelles d’attaques, renseignement sur les menaces généré dynamiquement, ou encore analyse approfondie, en bac à sable, des paquets applicatifs Android.
Surtout, Security Fabric doit être ouvert à des tiers, via des points d’intégration vaste : hyperviseur, orchestration SDN, services Cloud, systèmes de mise en bac à sable (sandbox), systèmes de gestion de logs, ou encore systèmes de gestion des politiques. Et Fortinet de préciser : « les solutions qui s’intègrent avec Security Fabric sont capables de collecter et partager activement des informations sur les menaces et des instructions de remédiation » afin d’améliorer la réponse et la gestion de la défense de bout en bout.
Et le premier a avoir signé n’est autre que Carbon Black, l’un des spécialistes de la détection et de la remédiation sur les points de terminaison (Endpoint Detection and Remediation, EDR). De quoi compléter ce que propose Fortinet avec son agent FortiClient de protection des points de terminaison, qui assure notamment le blocage en local de l’accès aux fichiers suspects avant la fin de leur analyse en sandbox.
La Security Fabric de Fortinet repose de toute évidence sur une forte composante logicielle, mais elle doit aussi profiter de la neuvième génération de processeur dédié au traitement des contenus de l’équipementier. Référencé CP9, ce processeur est notamment conçu pour fournir « le déchiffrement SSL le plus rapide et le nombre de connexions SSL par seconde le plus élevé de l’industrie ». Fortinet souligne ce qui est désormais bien connu : le déchiffrement SSL se traduit par d’importantes pertes de débit et du nombre de connexions par seconde sur les systèmes de sécurité réseau. Mais l’équipementier ne s’avance pas plus. Seule information disponible : son prédécesseur ne faisait pas de miracles. Sur le FortiGate 5001D, le débit en inspection SSL n’est que 9 Gbps, contre un débit nominal de 80 Gbps. Le CP9 assure également l’inspection des paquets en profondeur et la corrélation de signatures d’IPS.