mer, 02/05/2012 - 15:11
Nous sommes entrés dans l’ère des applications qui, bien qu’elles apportent beaucoup de gains de productivité à la plupart des entreprises, entraînent aussi des risques. En plus de l'utilisation accrue des applications, une main-d'œuvre plus mobile et des menaces plus sophistiquées font évoluer la façon dont les passerelles doivent être sécurisées. Par Marc-Henri Guy, Directeur Régional d’AlgoSec.
C'est là que la nouvelle génération de pare-feu (NGFWs) entre en jeu. Cependant, alors que les NGFWs vous fournissent une plus grande granularité de contrôle, ils peuvent, aussi, à leur tour, accroître la complexité de vos politiques et exiger une planification et des considérations supplémentaires.
L'avènement des pare-feu de nouvelle génération
Les pare-feu traditionnels, qui bloquent les IP sources, IP destinations et les ports, ont été positionnés sur les passerelles depuis qu’elles existent. Bien qu'ils continuent à jouer un rôle important dans la sécurité de votre réseau, les attaquants ciblent les données et utilisent la couche applicative afin de les obtenir. La nouvelle génération de pare-feu va au delà du filtrage des ports 80 ou 443 et vous permet un plus grand contrôle en vous fournissant la possibilité d’effectuer un filtrage en fonction du type d'application et de l'identité de l'utilisateur. Avec cette plus grande granularité, vous pouvez définir ce que certains groupes d'utilisateurs peuvent faire avec une application particulière, permettant ainsi d’obtenir une meilleure sécurité et, en conséquence, un avantage concurrentiel (par exemple, l'équipe de marketing doit être capable de poster sur Facebook, mais pas un développeur).
Considérations concernant les politiques de pare-feu
Une plus grande granularité de contrôle apporte plus de complexité. Plus vos politiques de réseau sont complexes, plus grande est la possibilité d’avoir des pare-feu mal configurés. Et selon Gartner, 95% des violations de pare-feu sont causées par des erreurs de configuration – et non par des défauts de ces pare-feu. Si vous définissez des politiques au niveau des applications, vous devez comprendre chaque application, sa valeur ajoutée pour les différents utilisateurs et les risques potentiels qui y sont associés.
Les décisions politiques en matière de pare-feu ne sont plus entièrement noires ou entièrement blanches. Comme les ensembles de règles et les nombres de caractéristiques augmentent, la complexité augmente également. Voici quelques questions que vous devez vous poser (et auxquelles il faut que vous apportiez des réponses !) avant d’exploiter des politiques par type d'application et par type d’identité des utilisateurs que permettent les pare-feu de nouvelle génération :
- Combien de demandes de changement de plus par semaine devez-vous vous attendre à avoir à traiter ?
- Votre équipe existante peut-elle absorber la charge supplémentaire sans dégradation des délais d'exécution ?
- Aurez-vous besoin d’effectifs supplémentaires ?
- Quel est l'impact si vous définissez la politique par des règles telles que «bloquer les réseaux sociaux, le partage de fichiers et le streaming vidéo, et autoriser tout le trafic Web restant » ?
Votre IT doit comprendre quelles sont les applications nécessaires pour quels utilisateurs et doit fournir un accès - sans ralentir la productivité et sans ouvrir des failles de sécurité qui provoqueraient des fuites de données ou des intrusions de logiciels malveillants.
Voici quelques recommandations à garder à l'esprit lors du déploiement de politiques de pare-feu de nouvelle génération à granularité plus fine :
- Exécutez vos NGFWs dans un « mode d'apprentissage » de sorte que vous puissiez voir ce pourquoi les applications sont utilisées dans votre environnement et par qui. Cela peut, pour commencer, vous fournir des informations essentielles pour définir des politiques plus granulaires.
- Simplifiez et automatisez la gestion de vos politiques de pare-feu de nouvelle génération en tandem avec vos politiques traditionnelles. Alors que les NGFWs fournissent plus de détails et plus de contrôle, vous voulez vous assurer que vous pouvez ajouter, mettre à jour, modifier, supprimer les politiques à travers tout votre domaine protégé par les pare-feu de manière normalisée pour garantir la productivité et l'efficacité opérationnelle.
- Exécutez des requêtes à risque contre des applications spécifiques, comme autre contrôle de sécurité, et démultipliez les risques tiers dans vos bases de données pour obtenir des informations précises.
La nouvelle génération de pare-feu apporte, sans nul doute, des avantages supplémentaires par rapport aux pare-feu traditionnels. Mais pour vraiment tirer profit de ces avantages sans ajouter de la complexité et donc des éléments de risque, vous devez, à l'avance, élaborer un plan de mise en œuvre et un processus vous permettant de gérer ces politiques dans le temps et dans le cadre de votre environnement réseau au sens large.
Marc-Henri Guy, Directeur Régional d’AlgoSec
A propos de l'auteur