NGFW de nouvelle génération – ce qui différencie le pare-feu de Palo Alto des solutions réseau classiques

Le terme « pare-feu de nouvelle génération » (NGFW) apparaît dans le marketing de nombreux fournisseurs, mais tous n’ont pas la même signification. La définition classique du NGFW (Gartner, 2009) inclut l’inspection de l’état, l’identification des applications et des utilisateurs et l’intégration avec les systèmes IPS. Dès le début, Palo Alto Networks a eu sa propre vision, plus ambitieuse, de ce que devrait être un pare-feu de nouvelle génération – et cette vision a façonné ce qui différencie Palo Alto Networks des solutions de réseau classiques aujourd’hui.

Table des matières

1. Quel était le pare-feu classique et quelles étaient ses limites ?
2. Comment Palo Alto Networks redéfinit-il le NGFW ?
3. App-ID – identification des applications au lieu des ports
4. User-ID – politiques basées sur l’utilisateur
5. Content-ID – inspection du contenu et des risques
6. Accès au réseau sans confiance par Palo Alto
7. Intégration avec l’écosystème Palo Alto (Prisma, Cortex)
8. Principales conclusions
9. FAQ
10. Résumé

Quel était le pare-feu classique et quelles étaient ses limites ?

Le pare-feu classique (inspection dynamique) contrôlait l’accès au réseau sur la base des adresses IP, des ports et des protocoles de transport. La règle « autoriser le port TCP 80 du réseau local vers l’internet » semblait judicieuse à une époque où le port 80 signifiait HTTP et HTTP signifiait navigation. Cette époque est révolue depuis longtemps.

Aujourd’hui, absolument tout passe par le port 443 (HTTPS) : Netflix, Dropbox, Salesforce, webmail, applications malveillantes, tunnels C2 de logiciels malveillants, données volées. Un pare-feu classique voit : « Trafic HTTPS vers l’internet – autorisé ». Le NGFW Palo Alto voit : « application X, utilisateur Y, contenant le fichier Z, avec le profil de risque W – autoriser/bloquer/restreindre ».

Cette différence de visibilité se traduit directement par la capacité d’appliquer des politiques de sécurité significatives. La combinaison avec les solutions NAC crée une protection complète de la couche réseau au point d’extrémité.

Comment Palo Alto Networks redéfinit-il le NGFW ?

Palo Alto Networks a construit son NGFW autour de trois moteurs d’identification : App-ID (identification des applications), User-ID (identification des utilisateurs) et Content-ID (inspection du contenu). Ces trois moteurs fonctionnent simultanément, sur chaque paquet, sans qu’il soit nécessaire de configurer des modules distincts. Il s’agit d’une architecture à « passage unique » – chaque paquet est analysé par tous les moteurs en une seule fois, au lieu de passer par une chaîne d’unités distinctes.

Dans la pratique, cela signifie qu’une politique de sécurité peut être formulée comme suit : « Autoriser Salesforce pour le groupe Salesforce, uniquement pendant les heures de travail : « autoriser Salesforce pour le groupe Salesforce, uniquement pendant les heures de travail, analyser le contenu pour DLP, bloquer les téléchargements de PDF ». Aucun pare-feu classique ni aucune combinaison pare-feu + proxy + IPS ne permettra de définir une telle règle en un seul endroit et de l’appliquer en une seule fois.

App-ID – identification des applications au lieu des ports

App-ID est une technologie de Palo Alto qui identifie une application en analysant son comportement plutôt que son numéro de port ou son protocole. App-ID dispose d’une base de données de plus de 3 000 signatures d’applications – des entreprises (Salesforce, SAP, Teams) aux médias sociaux (Facebook, TikTok) en passant par les applications potentiellement malveillantes (outils de tunneling, anonymisateurs, applications P2P).

L’identification se fait à plusieurs niveaux : le port et le protocole de transport comme indices, le décodage du protocole de l’application, l’analyse de la signature de l’application et, lorsqu’elle est insuffisante, l’analyse heuristique du comportement. App-ID fonctionne même pour le trafic HTTPS crypté en analysant SNI, les certificats TLS et les modèles de comportement.

Il en résulte la possibilité de rédiger des politiques orientées vers les applications : « bloquer BitTorrent quel que soit le port » au lieu de « bloquer le port 6881-6889 » (que BitTorrent peut de toute façon contourner). Les politiques orientées vers les applications sont plus sémantiques et plus permanentes – elles n’ont pas besoin d’être mises à jour lorsqu’une application change de port.

User-ID – politiques basées sur l’utilisateur

User-ID associe des adresses IP à des identités d’utilisateurs provenant d’Active Directory, de LDAP, de systèmes SSO et d’autres sources d’identité. Il en résulte la possibilité de rédiger des politiques basées sur l’utilisateur et le groupe plutôt que sur l’adresse IP.

« Autoriser YouTube pour le groupe Marketing, bloquer pour tous les autres ». – est une règle qu’un pare-feu classique ne peut pas exécuter correctement lorsque les adresses IP des utilisateurs sont dynamiques (DHCP) ou lorsque plusieurs utilisateurs partagent un même appareil. User-ID résout ce problème en mappant continuellement l’identité-IP à partir des logs AD, des agents sur les stations et de l’intégration avec les systèmes de Portail Captif.

La conséquence est également un meilleur audit : les journaux du pare-feu indiquent « John Smith s’est connecté à Dropbox et a téléchargé 500 Mo » au lieu de « Adresse IP 192.168.1.45 connectée à IP 1.2.3.4 via le port 443 ».

Content-ID – inspection du contenu et des risques

Content-ID est un moteur d’inspection approfondie des paquets (DPI) comprenant : IPS (Intrusion Prevention System) avec une base de données de signatures d’exploits et d’attaques, analyse antivirus/antimalware des fichiers dans le trafic réseau, filtrage URL avec catégorisation de milliards d’URL, blocage de fichiers par type (pas seulement l’extension, mais le contenu réel) et détection de données sensibles (DLP de base dans le trafic réseau).

Toutes ces fonctions fonctionnent « en ligne » – en temps réel, sur le trafic en cours. Contrairement à une architecture multi-box (IPS séparé, proxy séparé, anti-virus séparé), l’architecture unifiée de Palo Alto élimine les « trous » entre les produits à travers lesquels les menaces peuvent passer inaperçues.

L’intégration avec la sécurité web de nouvelle génération complète la protection avec un filtrage avancé du contenu web.

Accès au réseau sans confiance par Palo Alto

La confiance zéro est un modèle de sécurité qui consiste à « ne jamais faire confiance, toujours vérifier ». – Tous les accès doivent être autorisés, quel que soit l’endroit où se trouve l’utilisateur. Palo Alto Networks met en œuvre le Zero Trust à travers plusieurs produits : Prisma Access (ZTNA pour les utilisateurs distants), NGFW en tant que micro-périmètre segmentant le réseau interne et Prisma Cloud pour les environnements en nuage.

Le NGFW de Palo Alto dans un environnement Zero Trust sert à appliquer les politiques d’accès entre les segments du réseau – remplaçant le modèle traditionnel de réseau plat avec un trafic est-ouest libre limité par des politiques App-ID + User-ID.

Intégration avec l’écosystème Palo Alto (Prisma, Cortex)

Le NGFW de Palo Alto n’est pas un produit autonome, mais fait partie d’un écosystème plus large. Cortex XDR collecte les données télémétriques du NGFW à des fins d’analyse de corrélation et de détection des menaces avancées (APT). Cortex XSOAR utilise les données du NGFW pour automatiser la réponse aux incidents. Panorama est la gestion centralisée de plusieurs dispositifs NGFW à partir d’une seule console.

Partage de renseignements sur les menaces : tous les dispositifs Palo Alto dans le monde contribuent à la base de données sur les menaces WildFire – les fichiers inconnus sont analysés dans un bac à sable et les signatures des nouvelles menaces sont distribuées à l’ensemble de la flotte en l’espace de quelques minutes.

Principales conclusions

• Le NGFW de Palo Alto va au-delà de la définition classique – il combine l’App-ID, l’User-ID et le Content-ID dans une architecture à passage unique.
• App-ID identifie les applications en fonction de leur comportement et non de leur port, ce qui évite de cacher des applications sur des ports non standard.
• User-ID fait correspondre l’IP à l’identité AD – les politiques sont basées sur l’utilisateur et le groupe, et non sur l’adresse IP.
• Content-ID est un IPS, un antivirus, un filtrage d’URL et un DLP en un seul moteur, fonctionnant en ligne.
• L’intégration avec Cortex et Prisma crée un écosystème dans lequel le NGFW est le point de collecte de la télémétrie et de l’exécution des politiques.

FAQ

Le NGFW de Palo Alto remplace-t-il un IPS et un proxy dédiés ? Dans de nombreux cas, oui – App-ID, Content-ID et l’inspection SSL éliminent le besoin de dispositifs distincts. Pour les applications spécialisées (par exemple, proxy web complet avec authentification Kerberos), des solutions dédiées peuvent être un complément.

Comment Palo Alto NGFW gère-t-il le trafic crypté TLS 1.3 ? Palo Alto prend en charge le décryptage SSL/TLS pour l’inspection du trafic crypté, y compris TLS 1.3 avec Perfect Forward Secrecy. La gestion des certificats et les exceptions sont nécessaires pour les catégories (par exemple, banque, santé) qui ne doivent pas être décryptées.

Comment gérer plusieurs équipements Palo Alto dans une grande entreprise ? Panorama est la console de gestion centrale pour plusieurs NGFW, vous permettant d’appliquer des politiques à l’ensemble du parc, de collecter des journaux et d’établir des rapports.

Palo Alto NGFW est-il disponible sous forme de VM dans le cloud ? Oui – VM-Series est une version virtualisée de NGFW disponible pour AWS, Azure, GCP et les environnements de virtualisation (VMware, KVM).

Résumé

Le pare-feu NGFW de Palo Alto est une catégorie de produits qui redéfinit ce que devrait être un pare-feu moderne – non pas en ajoutant des fonctionnalités à une ancienne architecture, mais en le concevant dès le départ en gardant à l’esprit la visibilité des applications, des identités et des contenus. Pour les organisations qui basent encore la sécurité de leur réseau sur des règles de port et d’IP, la migration vers le NGFW est l’une des étapes les plus importantes vers une sécurité mature. Contactez Ramsdata pour découvrir comment Palo Alto Networks peut renforcer la sécurité du réseau de votre organisation.