PARE-FEU DE NOUVELLE GÉNÉRATION
Les changements fondamentaux qui interviennent dans le domaine des applications informatiques et des menaces, ainsi que dans le comportement des utilisateurs et l’infrastructure des réseaux, conduisent à un affaiblissement progressif de la protection assurée auparavant par les pare-feu traditionnels, basés sur les ports. Dans leurs tâches quotidiennes, les utilisateurs interagissent avec une variété d’applications et d’appareils. Parallèlement, la croissance des centres de données et des technologies de virtualisation, de mobilité et d’informatique dématérialisée implique de repenser la manière de garantir l’utilisation des applications et la protection des réseaux en même temps.
Les méthodes traditionnelles consistent, par exemple, à tenter de bloquer tout le trafic des applications en utilisant une liste toujours plus longue de technologies de point qui sont des compléments au pare-feu. Un tel arrangement peut entraver le fonctionnement des entreprises. D’autre part, il est possible d’essayer d’autoriser l’accès à toutes les applications, ce qui est également inacceptable en raison des risques pour l’entreprise et pour la sécurité. Le problème est que les pare-feu traditionnels basés sur les ports, même ceux qui permettent de bloquer complètement les applications, n’offrent pas d’alternative à ces méthodes. Afin de trouver un équilibre entre une approche de verrouillage total et une approche permettant un accès totalement libre, vous devez utiliser des fonctions d’utilisation sécurisée des applications basées sur des éléments pertinents pour l’entreprise, tels que l’identité de l’application, les données de l’utilisateur de l’application ou le type de contenu, en tant que critères clés pour les politiques de sécurité du pare-feu.
exigences essentielles pour une utilisation sûre de l'application
Identification des applications, et non des ports. Classifier le trafic réseau dès son arrivée au pare-feu afin de déterminer l’identité de l’application, quels que soient le protocole, le cryptage ou les tactiques d’évasion. Cette identité sert ensuite de base à toutes les politiques de sécurité.
Lier l’utilisation de l’application à l’identité de l’utilisateur, plutôt qu’à une adresse IP, indépendamment du lieu ou de l’appareil. Utiliser les données relatives aux utilisateurs et aux groupes provenant des services d’annuaire et d’autres ressources d’information sur les utilisateurs pour mettre en œuvre des politiques d’utilisation des applications cohérentes pour tous les utilisateurs, indépendamment de leur localisation ou de leur appareil.
Protection contre toutes les menaces, connues et inconnues. Prévenir les techniques connues d’exploitation des vulnérabilités et le fonctionnement des logiciels malveillants, des logiciels espions et des URL malveillantes, tout en analysant le trafic pour détecter la présence de logiciels malveillants très ciblés et inconnus jusqu’alors, et en s’en protégeant automatiquement.
Simplifier la gestion des politiques de sécurité. Accès sécurisé aux applications et réduction des tâches administratives grâce à des outils graphiques conviviaux, un éditeur de règles uniforme, des modèles et des groupes d’appareils.
Les politiques visant à garantir l’utilisation sécurisée des applications contribuent à renforcer la sécurité, quel que soit le lieu de déploiement. À la périphérie du réseau, les menaces peuvent être réduites en bloquant un certain nombre d’applications indésirables, puis en autorisant les applications à rechercher les menaces connues et inconnues. En ce qui concerne le centre de données – qu’il soit traditionnel ou virtualisé – la technologie basée sur les applications signifie que les applications du centre de données ne peuvent être utilisées que par des utilisateurs autorisés, protégeant ainsi le contenu du centre contre les menaces et répondant aux problèmes de sécurité liés à la nature dynamique de l’infrastructure virtuelle. Les succursales et les utilisateurs distants peuvent être protégés par le même ensemble de règles d’utilisation des applications déployées au siège, ce qui garantit la cohérence des règles.
Utiliser l'application pour faire avancer l'entreprise
L’utilisation sécurisée des applications offerte par les pare-feu innovants de Palo Alto Networks aide à gérer les opérations et à faire face aux risques de sécurité associés au nombre croissant d’applications sur le réseau de l’entreprise. Le partage d’applications avec des utilisateurs ou des groupes d’utilisateurs, qu’ils soient locaux, mobiles ou distants, et la protection du trafic réseau contre les menaces connues et inconnues vous permettent de renforcer la sécurité tout en développant votre activité.
Classification permanente de toutes les applications sur tous les ports
L’utilisation sécurisée des applications offerte par les pare-feu innovants de Palo Alto Networks aide à gérer les opérations et à faire face aux risques de sécurité associés au nombre croissant d’applications sur le réseau de l’entreprise. Le partage d’applications avec des utilisateurs ou des groupes d’utilisateurs, qu’ils soient locaux, mobiles ou distants, et la protection du trafic réseau contre les menaces connues et inconnues vous permettent de renforcer la sécurité tout en développant votre activité.
Prise en compte dans les politiques de sécurité des utilisateurs et des appareils, et pas seulement des adresses IP
La création et la gestion de politiques de sécurité basées sur l’application et l’identité de l’utilisateur, indépendamment de l’appareil ou de l’emplacement, est une méthode plus efficace pour protéger le réseau que les techniques utilisant uniquement le port et l’adresse IP. L’intégration avec un large éventail de bases de données d’utilisateurs d’entreprise permet d’identifier l’identité des utilisateurs de Microsoft Windows, Mac OS X, Linux, Android et iOS qui accèdent à l’application. Les utilisateurs mobiles et ceux qui travaillent à distance sont efficacement protégés par les mêmes politiques cohérentes appliquées au réseau local ou au réseau de l’entreprise. La combinaison de la visibilité et du contrôle de l’activité de l’utilisateur liée à l’application signifie qu’Oracle, BitTorrent ou Gmail et toute autre application peuvent être partagés en toute sécurité sur le réseau, quel que soit le moment ou la manière dont l’utilisateur y accède.
Accès.
Protection contre toutes les menaces, connues et inconnues
Pour pouvoir protéger le réseau d’aujourd’hui, il faut s’attaquer à toutes sortes de méthodes d’intrusion connues, de logiciels malveillants et de logiciels espions, ainsi qu’à des menaces totalement inconnues et ciblées. Le début de ce processus consiste à réduire la surface d’attaque du réseau en autorisant certaines applications et en rejetant toutes les autres, que ce soit de manière implicite en utilisant une stratégie de “rejet de toutes les autres” ou par le biais de politiques explicites. Une protection coordonnée contre les menaces peut alors être appliquée à l’ensemble du trafic admis en bloquant les sites de logiciels malveillants connus, les exploiteurs de vulnérabilités, les virus, les logiciels espions et les requêtes DNS malveillantes en une seule opération. Les logiciels malveillants personnalisés ou d’autres types de logiciels malveillants inconnus sont activement analysés et identifiés en exécutant des fichiers inconnus et en observant directement plus de 100 comportements malveillants dans un environnement de bac à sable virtualisé. Lorsque de nouveaux logiciels malveillants sont découverts, la signature du fichier infecté et du trafic de logiciels malveillants associé est automatiquement générée et transmise à l’utilisateur. Toute cette analyse prédictive utilise le contexte complet des applications et des protocoles, ce qui permet de détecter même les menaces qui tentent de se cacher des mécanismes de sécurité dans des tunnels, des données compressées ou des ports non standard.
Flexibilité dans la mise en œuvre et la gestion
La fonctionnalité des applications sécurisées est disponible dans le cadre d’une plate-forme matérielle personnalisée ou sous forme virtualisée. Si vous déployez plusieurs pare-feu Palo Alto Networks, que ce soit sous forme matérielle ou virtualisée, vous pouvez utiliser l’outil Panorama, qui est une solution optionnelle de gestion centralisée offrant une visibilité sur les modèles de trafic et vous permettant de déployer des politiques, de générer des rapports et de fournir des mises à jour de contenu à partir d’un emplacement central.
Utilisation sûre des applications : une approche globale
l’utilisation d’applications nécessite une approche globale de la sécurité du réseau et du développement des activités, basée sur une connaissance approfondie des applications sur le réseau : qui sont les utilisateurs, indépendamment de la plate-forme ou de l’emplacement, et quelle est la compacité, le cas échéant, de l’application. Une connaissance plus complète de l’activité du réseau permet de créer des politiques de sécurité plus efficaces, basées sur des éléments d’application, des utilisateurs et des contenus pertinents pour l’entreprise. La localisation des utilisateurs, leur plateforme et l’endroit où la sécurité est déployée – le périmètre de sécurité, un centre de données traditionnel ou virtualisé, une succursale ou un utilisateur distant – n’ont qu’un impact minime, voire nul, sur la manière dont les politiques sont créées. Vous pouvez désormais partager en toute sécurité n’importe quelle application et n’importe quel contenu avec n’importe quel utilisateur.
utilisation des applications et réduction des risques
La fonctionnalité de sécurisation des applications utilise des critères de décision basés sur des politiques, y compris la fonction de l’application, les utilisateurs et les groupes, et le contenu, pour permettre un équilibre entre le blocage complet de toutes les applications et une approche à haut risque permettant un accès totalement libre.
Au niveau du périmètre de sécurité, par exemple dans les succursales ou chez les utilisateurs mobiles et distants, les politiques d’utilisation des applications se concentrent sur l’identification de l’ensemble du trafic, puis sur l’autorisation sélective du trafic en fonction de l’identité de l’utilisateur et sur l’analyse du trafic réseau à la recherche de menaces. Exemples de politiques de sécurité :
- Restreindre l'utilisation du courrier électronique et de la messagerie instantanée à quelques variantes ; décrypter les messages utilisant le protocole SSL, inspecter le trafic pour détecter les violations et envoyer les fichiers inconnus au service WildFire pour qu'il les analyse et y ajoute des signatures.
- Autoriser les applications et les sites de diffusion multimédia en continu tout en utilisant les fonctions de qualité de service et de protection contre les logiciels malveillants pour limiter l'impact sur les applications VoIP et protéger le réseau.
- Contrôler l'accès à Facebook en autorisant tous les utilisateurs à naviguer, en bloquant tous les jeux et modules sociaux du site et en autorisant la publication des messages Facebook à des fins de marketing uniquement. L'analyse de l'ensemble du trafic Facebook à la recherche de logiciels malveillants et de tentatives d'exploitation des failles de sécurité.
- Contrôle de l'utilisation de l'internet en autorisant et en analysant le trafic relatif aux sites liés à l'activité de l'entreprise, tout en bloquant l'accès aux sites qui n'ont manifestement aucun rapport avec cette activité ; gestion de l'accès aux sites douteux grâce à des pages bloquées personnalisables.
- Établir une sécurité cohérente en mettant en œuvre de manière transparente les mêmes politiques pour tous les utilisateurs (locaux, mobiles et distants) à l'aide de GlobalProtect.
- Utiliser une stratégie implicite de "rejet de tout le reste" ou bloquer ouvertement les applications indésirables telles que les programmes P2P ou de contournement de la sécurité et le trafic en provenance de pays spécifiques afin de réduire le trafic applicatif qui constitue une source de risques pour l'entreprise et la sécurité.
Dans les centres de données – qu’ils soient traditionnels, virtualisés ou mixtes – les fonctions d’utilisation des applications consistent principalement à valider les applications, à rechercher les applications malveillantes et à protéger les données.
- Isoler le référentiel de numéros de cartes de crédit basé sur Oracle dans sa propre zone de sécurité ; contrôler l'accès aux groupes financés ; diriger le trafic vers les ports standard ; vérifier le trafic pour détecter les vulnérabilités de l'application.
- Autoriser uniquement l'équipe informatique à accéder au centre de données via un ensemble fixe d'applications de gestion à distance (par exemple SSH, RDP, Telnet) sur des ports standard.
- Autoriser uniquement l'équipe administrative de l'entreprise à utiliser les fonctions d'administration de Microsoft SharePoint et permettre à tous les autres utilisateurs d'utiliser les documents SharePoint.
protection des applications partagées
L’utilisation sûre des applications implique d’autoriser l’accès à des applications spécifiques, puis d’appliquer des politiques spécifiques pour bloquer les abus connus, les logiciels malveillants et les logiciels espions (connus et inconnus) et de contrôler le transfert de fichiers ou de données et l’activité de navigation sur internet. Les tactiques de contournement de la sécurité les plus répandues, telles que le “port hopping” et le “tunneling”, sont combattues par des politiques préventives utilisant le contexte de l’application et du protocole généré par les décodeurs de la fonction App-ID. Les solutions UTM, quant à elles, utilisent des méthodes de prévention des menaces en silo qui sont appliquées à chaque fonction, pare-feu, IPS, antivirus, filtrage d’URL, et à tout le trafic réseau hors contexte, ce qui les rend plus sensibles aux techniques d’évasion.
- Blocage des menaces connues : IPS et logiciel anti-virus/anti-spyware basé sur le réseau. Le format uniforme des signatures et le mécanisme d'analyse en continu permettent de protéger le réseau contre un large éventail de menaces. Le système de prévention des intrusions (IPS) gère les exploitations des vulnérabilités de sécurité impliquant un blocage du réseau et se produisant au niveau de la couche d'application, et protège contre les débordements de mémoire tampon, les attaques DoS et le balayage des ports. La protection antivirus/antispyware bloque des millions de variétés de logiciels malveillants, ainsi que le trafic de commande et de contrôle qu'ils génèrent, les virus PDF et les logiciels malveillants dissimulés dans des fichiers compressés ou dans le trafic Web (données HTTP/HTTPS compressées). Le décryptage SSL basé sur des règles pour toutes les applications et tous les ports protège contre les logiciels malveillants qui passent par des applications cryptées en SSL.
- Blocage des logiciels malveillants inconnus et ciblés : Wildfire™. Les logiciels malveillants inconnus et ciblés sont identifiés et analysés par WildFire, qui exécute et observe directement les fichiers inconnus dans un environnement sandbox virtualisé dans le nuage. WildFire surveille plus de 100 comportements malveillants et les résultats de l'analyse sont immédiatement envoyés à l'administrateur sous forme d'alerte. Un abonnement optionnel à WildFire offre une protection renforcée, ainsi que des fonctionnalités de journalisation et de création de rapports. Les titulaires d'un abonnement bénéficient d'une protection dans l'heure qui suit la découverte d'un nouveau logiciel malveillant, où qu'il se trouve dans le monde, ce qui permet d'empêcher la propagation de ce logiciel avant qu'il n'atteigne l'utilisateur. L'abonnement comprend également l'accès à la fonctionnalité intégrée d'enregistrement et de rapport de WildFire, ainsi qu'à une API permettant de télécharger des échantillons dans le nuage WildFire pour analyse.
- Identification des hôtes infectés par des bots. La fonction App-ID permet de classer toutes les applications, sur tous les ports, y compris le trafic inconnu, qui peut souvent être à l'origine de menaces ou d'anomalies sur le réseau. Le rapport sur le comportement des robots rassemble le trafic inconnu, les requêtes DNS et URL suspectes ainsi qu'une série de comportements inhabituels du réseau, ce qui permet de dresser un tableau des appareils susceptibles d'être infectés par des logiciels malveillants. Les résultats s'affichent sous la forme d'une liste d'hôtes potentiellement infectés qui peuvent être analysés en tant qu'éléments suspects d'un réseau de zombies.
- Limiter les transferts de fichiers et de données non autorisés. Les fonctions de filtrage des données permettent aux administrateurs de mettre en œuvre des politiques visant à réduire le risque de transferts non autorisés de fichiers et de données. Le transfert de fichiers peut être contrôlé en vérifiant la compacité du fichier (et pas seulement son extension) afin de déterminer si l'opération de transfert peut être autorisée ou non. Les fichiers exécutables, souvent présents dans les attaques impliquant des téléchargements indésirables, peuvent être bloqués, protégeant ainsi le réseau contre la propagation invisible de logiciels malveillants. Les fonctions de filtrage des données détectent et contrôlent le flux de données confidentielles (numéros de cartes de crédit, numéros d'assurance ou autres numéros privés définis individuellement).
- Contrôler l'utilisation de l'internet. Un mécanisme de filtrage d'URL entièrement intégré et personnalisable permet aux administrateurs d'appliquer des politiques granulaires de navigation sur le web qui complètent les politiques de visibilité et de contrôle des applications et protègent l'entreprise contre toutes sortes de problèmes de conformité réglementaire et de normes de productivité. En outre, les catégories d'URL peuvent être incorporées dans l'élaboration des politiques de sécurité afin de fournir une granularité supplémentaire aux contrôles de décryptage SSL, aux caractéristiques de qualité de service ou à d'autres éléments qui constituent la base d'autres règles.
gestion et analyse continues
L’expérience des solutions de sécurité optimales montre que les administrateurs doivent trouver un équilibre entre la gestion proactive du pare-feu, qu’il s’agisse d’un seul appareil ou de centaines d’appareils, et la réaction en enquêtant, en analysant et en signalant les incidents de sécurité.
- Gestion : chaque plateforme Palo Alto Networks peut être gérée séparément via l'interface de ligne de commande ou l'interface graphique riche en fonctionnalités. Pour les déploiements à grande échelle, le produit Panorama peut faire l'objet d'une licence et être déployé en tant que solution de gestion centralisée, ce qui permet de concilier le contrôle global et centralisé avec la flexibilité des politiques locales grâce à des fonctionnalités telles que les modèles et les politiques partagées. Une prise en charge supplémentaire des outils normalisés tels que SNMP et une API basée sur REST permettent l'intégration avec des outils de gestion tiers. L'interface graphique de l'appareil et l'interface du produit Panorama ont la même apparence et offrent la même expérience utilisateur, de sorte qu'il n'est pas nécessaire de former les utilisateurs en cas de migration. Les administrateurs peuvent utiliser n'importe quelle interface et apporter des modifications à tout moment sans se soucier des problèmes de synchronisation. L'administration basée sur les rôles est prise en charge dans tous les outils de gestion, ce qui permet d'attribuer des fonctions à des personnes spécifiques.
- Rapports : les rapports prédéfinis peuvent être utilisés tels quels ou personnalisés et regroupés en un seul rapport, selon les besoins. Tous les rapports peuvent être exportés au format CSV ou PDF, ouverts et envoyés par courrier électronique selon un calendrier défini.
- Journalisation : La fonction de filtrage des journaux en temps réel permet de contrôler chaque session sur le réseau. Les résultats du filtrage des journaux peuvent être exportés vers un fichier CSV ou envoyés à un serveur syslog pour un archivage hors ligne ou une analyse supplémentaire.
matériel sur mesure ou plate-forme virtualisée
Palo Alto Networks propose une gamme complète de plates-formes matérielles personnalisées, allant du PA-200 – conçu pour les bureaux d’entreprise distants – au PA-5060 – conçu pour les centres de données haut de gamme. L’architecture des plateformes est basée sur un logiciel à passage unique et utilise un traitement spécifique pour la connectivité, la sécurité, la prévention des menaces et la gestion du réseau, tout en se caractérisant par un fonctionnement stable et efficace. Les mêmes fonctionnalités de pare-feu que celles dont sont équipées les plateformes matérielles sont disponibles dans le pare-feu virtuel de la série VM, qui sécurise les environnements informatiques virtualisés et en nuage avec les mêmes politiques que celles appliquées aux ordinateurs du réseau périphérique et aux pare-feu des bureaux distants.
