Ce qui fait un véritable pare-feu de nouvelle génération
Pour se revendiquer de nouvelle génération, un pare-feu doit embarquer certaines capacités avancées. Les voici.
Originellement, le terme de pare-feu de nouvelle génération se réfère à une combinaison de pare-feu conventionnel, de pare-feu applicatif, et de technologies de prévention/détection d’intrusion (IPS/IDS). Mais cela remonte si loin que cela peut désormais s’appliquer à la plupart des pare-feu du marché. Dès lors, dire que l’on souhaite quelque chose de « nouvelle génération » lorsque l’on veut renouveler son pare-feu n’aide pas particulièrement à affiner la recherche.
Compte tenu de tous les autres changements survenant dans l’informatique d’entreprise – de l’adoption des architectures scale-out aux conteneurs en passant par les environnements intégrés de fourniture hybride de services – ceux qui cherchent à acquérir un pare-feu feraient bien de chercher des fonctionnalités particulièrement avancées : administration centralisée, application distribuée des règles, élasticité, intégration avec les systèmes de gestion des menaces, des risques, et de la conformité.
La combinaison de l’administration centralisée avec l’application distribuée des règles est une évolution naturelle des pare-feu à l’heure des architectures orientées micro-services et des systèmes scale-out. En positionnant de multiples points d’application des règles dans l’environnement, sous la forme d’appliances virtuelles, de conteneurs ou d’agents embarqués, un tel système distribue le travail de filtrage du trafic. Des ressources de calcul et de réseau peuvent être assignées à chaque point d’application des règles, en fonction du trafic, depuis et vers les parties de l’environnement qu’ils protègent. De nouvelles instances peuvent être activées lorsque les besoins augmentent, sous la forme de conteneur applicatifs ou de machines virtuelles supplémentaires.
De telles technologies de pare-feu avancées permettent à l’application des règles de suivre les traitements virtualisés ou conteneurisés au fil de leurs mouvements. Elles s’avèrent critiques dans les environnements de cloud privé, mais également de cloud public.
La distribution des points de terminaison consiste en un environnement microsegmenté, centré sur le contrôle étroit de quels utilisateurs et services peuvent communiquer avec quels composants applicatifs – ainsi que quand et dans quelles circonstances. Tout ce qui ne relève pas de la couche frontale à l’utilisateur de la fonction est pour l’essentiel fermé à tout sauf à un petit ensemble prédéfini de partenaires de communication autorisés. Ce type de liste blanche hautement granulaire améliore considérablement la protection de l’infrastructure contre les tentatives de mouvement latéral engagées par les attaquants, à partir de systèmes compromis.
Qu’est-ce qu’un pare-feu véritablement avancé ?
La question de l’élasticité est critique. Un véritable pare-feu de nouvelle génération devrait être capable de monter en capacité à mesure qu’évoluent les besoins pour ses services, avec en option des pare-feu distribués. Même s’il reste des points de l’infrastructure où il est inévitable de positionner des pare-feu, à l’âge des appliances virtuelles et des fonctions réseau virtualisées en conteneurs, personne ne devrait avoir à sur-dimensionner à la commande pour l’achat d’un pare-feu, afin de tenir compte de ses besoins à trois ans. Chacun devrait pouvoir dimensionner selon ses besoins actuels et compter sur les capacités d’élasticité de sa solution, en misant sur des conteneurs supplémentaires, sur des machines virtuelles assurant l’équilibrage de charge, etc.
Bien sûr, il reste des échelles où des matériels et composants spécifiques sont nécessaires pour obtenir les performances souhaitées, mais elles sont de moins en moins nombreuses. Toutefois, pour ces situations, le sur-dimensionnement à long terme peut-être une stratégie payante.
Les pare-feu en mode Cloud seront en tout cas de plus en plus importants comme première ligne de filtrage pour toutes les entreprises. Ils n’éliminent pas le besoin pour des protections en local, mais ils réduisent la charge et change le rôle et l’échelle de cette technologie.
Le Cloud sera également crucial à la mise en place de défenses robuste d’une autre manière : il va permettre de tirer profit des menaces affectant d’autres organisations comparables. Un pare-feu véritablement avancé devrait pouvoir s’appuyer sur des flux de renseignements sur les menaces. Ceux-ci l’aident à identifier les menaces clés dès qu’elles émergent et peuvent également faciliter le maintien en conformité réglementaire.
Adapté de l’anglais.