|
|
Les pare-feux tels que nous les connaissons historiquement sont en pleine évolution depuis ces dernières années, en effet, les analystes avaient prévu cette révolution depuis longtemps et la convergence des réseaux et l’apparition des nouvelles menaces n’a fait qu’accélérer les choses…
La sécurité périmétrique représente « uniquement » une partie des véritables enjeux stratégiques en matière de sécurité pour les entreprises. Cependant, elle leurs permets néanmoins de mettre en place des mécanismes plus ou moins sophistiqués de contrôle d’accès aux ressources et de filtrage. Les entreprises souhaitent par ce biais maintenir un niveau de sécurité périmétrique satisfaisant pour leurs infrastructures, ainsi que pour la confidentialité leurs échanges et informations, sur lesquelles sont généralement basés leurs business et/ou leurs savoir faire… C’est pourquoi, tous les leaders du marché s’engagent dans une course aux performances et aux fonctionnalités concernant les pare-feux qui représentent un des centres névralgiques de la sécurité afin de proposer toujours plus à leurs clients. Les constructeurs ont tous fait de réels progrès et mis l’accent sur des architectures physiques et logiques toujours complexes et évoluer afin de « booster » les performances (Ordonnanceurs, Asic, coprocesseurs, mémoire flash…). On peut aussi noter que le marché de la sécurité est florissant et en perpétuel mouvance, avec ces évolutions technologiques, mais aussi et surtout suite aux rachats successifs pour les leaders dans le but de rester à la pointe des dernières technologies… on compte aujourd’hui plus de 70 acteurs rien que pour les solutions pare-feux professionnels qui se répartissent un marché de plusieurs centaines de millions d’euros ! Les réelles innovations majeures pour cette nouvelle génération se composent de trois grandes thématiques, dont la première réside dans la capacité à mettre en place une réelle gestion de l’identité permettant d’identifier clairement tous les utilisateurs dans le temps, (ex : 1 an après même en Dhcp) couplé avec l’annuaire centralisé de l’entreprise dans le cadre de la traçabilité des flux. Mais aussi par des profils utilisateurs convergents autorisant différent niveau de sécurité, en fonction du terminal utilisé, des infrastructures, de la localisation de l’utilisateur et des ressources auxquelles il tente d’accéder… La deuxième thématique concerne une évolution de la reconnaissance protocolaire, afin d’identifier non plus uniquement des protocoles réseau mais aussi et surtout de mettre en place une réelle cartographie des applications. Cet annuaire applicatif est de plus en plus évolué allant maintenant de la couche 3 à 7 du modèle OSI permettant d’identifier plusieurs milliers d’applications à la volées uniquement par leurs empruntes et/ou datagrammes IP, en complément des règles de filtrage classique par port, IP, subnet, groupe... On parle alors d’ADN applicatif. De plus, c’est aussi l’occasion pour certains des acteurs qui ne l’assurent pas encore, de prendre en charge la virtualisation ainsi que la prévention contre la fuite d’information (DLP). La dernière grande thématique de cette nouvelle génération, aussi appelée la 5° génération se tourne de plus en plus vers l’utilisateur et son poste de travail afin d’être au plus proche de lui et même de pouvoir faire des analyses comportementales de l’usage de votre outil de travail et de vos applications… Un client logiciel centralise à lui seul un ensemble de fonctionnalités (type contrôle d’accès du poste, des applications, identification de l’utilisateur mais aussi du poste de travail, chiffrement de celui-ci, identification analytique des comportements réseau afin de détecter des trojans, virus, et/ou malware en tous genres, application de politique de sécurité locales, supervision, reporting, gestion support amovibles…) en plus des fonctionnalités offertes par le pare-feu (protection mail, web, pare-feux, VPN, antivirus, IDS/IPS...) Les objectifs sont multiples et dépendent des besoins exprimés et des différents environnements IT qui peuvent être très hétérogènes. Principalement dans le but de couvrir un plus large spectre (mail, web, AV, IDS/IPS…) d’une sécurité actuellement éphémère car peut être trop périmétrique (FW et VPN principalement) . Pour cela, la gestion de la sécurité évolue pour répondre aux nouveaux usages et besoins de mobilité mais aussi suite à de multiples exemples d’incidents de sécurité parus dans l’actualité informatique… Ou encore, la prise en compte de plus en plus forte de la criticité des informations, et ce, quelque soit le terminal utilisé ! Une des grandes raisons, exposée régulièrement aux assises de la sécurité et autres meeting sur le thème, est aussi due au fait que l’on demande aux services informatique et en particulier aux RSSI de prendre en charge des risques bien plus vaste. Mais aussi, d’améliorer l’identification des flux, la traçabilité des échanges, dans le but d’être en conformité avec le cadre réglementaire et juridique et le tout, dans le respect de la vie privée de chacun, en fonction du pays où il se trouve... Voici à titre indicatif, une synthèse non exhaustive de quelques fonctionnalités importantes intégrant cette nouvelle génération de pare-feux : Fonctions de base : - FW, SPI, VPN (chiffrement et accélération) IPSEC/SSL/L2TP/PPPoE/PPPoA/GRE…, Xauth, PKI…, IDS/IPS, routage, VRRP, Multicast, Filtrage Web, Mail Security, Antivirus, NAT, VoIP « Hybrid networking », Proxy, load sharing, cache, teleprovisionning, streaming, Client logiciel basique, connecteurs Tacacs, LDAP, Radius… Fonctions avancées : - Reconnaissance applicative, Gestion de l’identité, Data Loss Prevention (DLP), Routage avancé et QoS, Corrélation d’information dynamique et Consolidation de rapport automatique et personnalisable pour plusieurs milliers de pare-feux simultanément… (couplé avec monitoring, supervision et alerting évolué), Chiffrement intégrale des postes de travail, Client logiciel évolué de plus en plus multifonctions, virtualisation… En aparté, l’état se dote de cette nouvelle génération de pare-feu pour ses infrastructures incluant certains de ces mécanismes pour un potentiel d’un million de personnes simultanément connectées sur leurs infrastructures ce qui image bien la tendance ainsi que la montée en puissance de ces besoins, des débits ainsi que des équipements d’infrastructures… Un thème non négligeable concerne aussi, l’interopérabilité et/ou la cohabitation des systèmes, qui sont des pré-requis forts pour la mise en place de telles solutions, c’est pourquoi les constructeurs s’appliquent à concevoir et appliquer des standards communs dans la mesure du possible… Dans le cadre de la simplification et de l’amélioration de la gestion de la sécurité opérationnelle (GOS), il s’agit d’intégrer et d’exploiter ces nouveaux équipements au sein des infrastructures existantes et complémentaires (Wifi, contrôle d’accès, voip, lan, wan, portail d’accès, intranet et extranet, publication d’application, etc…) dans l’optique d’une future prise en charge par le support, les administrateurs, les exploitants ainsi que les mainteneurs. En effet, cela est maintenant nettement plus simple qu’il y a 3 ou 5 ans dû en majeur partie aux interfaces graphiques intuitives et performantes et aux outils qui prennent en charge avec un minimum de contraintes les contextes multisites et de plusieurs milliers d’utilisateurs. Ce qui montre bien le travail effectué et l’évolution de nos amis les constructeurs même s’il reste encore beaucoup à faire… D’autre part, la corrélation d’information ainsi que la mise en place d’indicateurs spécifiques s’en trouvent d’autant plus efficaces puisque plus complet, plus précis, plus proche de la réalité... Facilité par le biais de la mise en place d’outils d’analyses et de reporting unifiés et centralisés pour vos infrastructures, intégrant des tableaux de bord, mesurant les tendances et les indicateurs, exposant les risques inhérent à ses nouveaux usages, dans le but de prévenir la fuite d’information, l’espionnage, les risques de failles de sécurité et d’améliorer l’organisation et les usages autour du système d’information… En ce qui concerne les équipements, on peut aussi noter une évolution de la demande vers des boitiers UTM ou multifonctions en forte croissance sur ces parts de marché en mode logiciel ou matériel, offrant un panel de choix très granulaire et à la carte (croissance à deux chiffres pouvant dépasser les 20% pour certains des acteurs). Bien sûr pour des performances accrues, les boitiers dédiés ou châssis sont toujours privilégiés mais on note aussi le développement de pare-feux basés sur des instances virtuelles, très fiable et efficaces sur ce type d’équipements (comme le concept des VRF chez les opérateurs). Cependant, certains rencontrent encore des problématiques de sécurité dues à la virtualisation lorsqu’ils sont 100% virtualisés… En complément et à titre de retour d’expérience au sein de grands groupes et/ou d’infrastructures opérateurs, la prise en compte de certifications de sécurité est une notion de plus en plus importante et un gage de confiance qui peut représenter un aspect décisif, voir bloquant en l’absence de celles-ci. Elles montrent entre autre les moyens humains, techniques et financiers engagés par le constructeur. De prime abord, il est difficile de s’y retrouver parmi une multitude de certifications telles que, ICSA, CESG, BITS, NSS, ISO, Common Criteria EAL2+ et 4+…FIPS value, SPI…mais celles-ci s’avèrent indispensables dans le cadre de la conception de solutions hautement sécurisées et nécessitent une réelle approche de la sécurité puisque ces certifications sont complexes et délivrées par des acteurs spécialisés et indépendants. De plus, une dizaine d’organismes « officiels » et/ou les états des pays concernés sont directement chargés de les contrôler (exemple pour la France, la DCRI, Agence nationale de la sécurité des systèmes d’information (ANSSI), DGSSI, la DCSSI… http://fiweb.9online.fr/secuforces.htm - http://www.ssi.gouv.fr ) En conclusion, il n’existe plus un pare-feu pour protéger votre entreprise mais un ensemble d’éléments de sécurité permettant de garantir un niveau de sécurité admissible en fonction de votre profil, des infrastructures, des terminaux que vous utilisez, des ressources auxquelles vous souhaitez accéder… Et pour bientôt, les pare-feux pour vos mobiles, un marché de masse en pleine explosion au regard du nombre impressionnant d’équipements à sécuriser… N’hésitez pas à réagir face à cet article, le partage est une véritable valeur ! www.frameip.com www.authsecu.com
Posté le 01 juin 2010 par david.hure - source David Huré - Project Department Manager |
|
|
|
|