Livre blanc

UTM de Cyberoam

Les pare-feu ne sont pas qu'une affaire de scurit

Les applications Cloud forcent les pare-feu favoriser
la productivit

www.cyberoam.com

Prsentation
L'avnement du Cloud Computing dcuple les conflits d'accs la bande passante dans la mesure o les
applications internes vont elles aussi migrer sur le cloud. Les entreprises ne peuvent pas dployer de nouvelles
solutions chaque nouveau dfi lanc par le cloud. La solution rside dans la diffrence entre ce que les parefeu font et ce que les pare-feu peuvent faire .
Si nous arrtions de penser que les pare-feu ou les UTM ne servent qu' bloquer le mauvais trafic, nous
pourrions peut-tre les transformer en solutions de productivit fonctionnant comme des outils d'exploitation.
En les faisant fonctionner au niveau des couches 7 (application) et 8 (utilisateur), les pare-feu peuvent visualiser
le trafic des applications non pas avec une association dsute port-protocole, mais avec une fonction
dynamique qu'ils peuvent activer efficacement.
Grce aux 4 lments suivants : qui (utilisateur), quoi (application), quand (heure) et combien (bande
passante), les pare-feu peuvent avoir une visibilit et un contrle des couches 7 et 8 en se basant sur l'heure et
les besoins en bande passante afin de rduire les pics et les creux de la demande en bande passante, donner
priorit aux applications blanches, bloquer les applications noires ou contrler intelligemment l'accs aux
applications grises. Ainsi, ils augmentent la productivit, et crent un environnement de travail attrayant.

www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Contents

www.cyberoam.com

Introduction

Le dfi des applications dans l're du Cloud

Les pare-feu ne sont pas qu'une affaire de scurit

Gestion des 4 lments : Application, Utilisateur, Heure, Bande passante

Analyse des 4 lments

Cyberoam vous prpare au Cloud

sales@cyberoam.com

Produit Elitecore

Introduction
Avec l'avnement du cloud, la tradition est mise rude preuve.
Les applications traditionnellement localises au sein du rseau sont
dsormais l'extrieur sur le cloud, se disputant pour la premire fois la
bande passante avec des applications externes. Les pare-feu ont toujours
t envisags comme des solutions ddies la scurit. Aussi, les
entreprises ont aujourd'hui du mal rpondre aux conflits d'accs la
bande passante causs par la migration des applications sur le cloud.
Grer l'accs aux applications n'est pas une mince affaire tant donn la
multitude d'applications, leur disponibilit sur le Web et l'adoption du
SaaS (Software as a Service : logiciel en tant que service) pour les
applications grand public.

Alors que la principale

proccupation de l'industrie se
concentre sur les ventuels dfis
de scurit introduits par le Cloud,
les dfis de productivit ne vont
p a s t a rd e r a s s a i l l i r l e s
entreprises. l'exception de la
bande passante alloue aux
applications vitales telles que la
tlphonie sur IP et la
vidoconfrence, les entreprises
ne sont pas quipes pour assurer
un accs aux applications tous
les utilisateurs.

cela s'ajoute la complexit d'accs et de contrle des applications. En

brouillant la distinction jusqu'alors claire entre les applications internes
hberges dans les centres de donnes des entreprises et les applications
externes disponibles sur la toile, le dfi que pose la gestion de l'accs aux
applications ainsi que leur contrle devient beaucoup plus complexe, et
fait l'objet d'une attention particulire.
Alors que la principale proccupation de l'industrie se concentre sur les
ventuels dfis de scurit introduits par le Cloud, les dfis de productivit
ne vont pas tarder assaillir les entreprises. l'exception de la bande
passante alloue aux applications vitales telles que la tlphonie sur IP et la
vidoconfrence, les entreprises ne sont pas quipes pour assurer un
accs aux applications tous utilisateurs.
Pourtant, les entreprises ne peuvent pas se permettre d'augmenter
aveuglment le nombre de solutions pour rpondre aux dfis du Cloud. La
solution permettant de garantir Application et QdS (Qualit de Service)
repose dans les pare-feu et UTM (Unified Threat Management, Traitement
1
unifi de la menace) . Les entreprises ont besoin de sortir de leur pense
traditionnelle et cloisonne, savoir des rseaux limits en matire
d'applications, aujourd'hui en voie de disparition. Les pare-feu doivent
voluer pour rpondre aux nouvelles exigences en allant au-del des
simples rgles autorisation/blocage d'applications afin de fournir des
contrles granulaires qui appliquent une QdS pour chaque application et
chaque utilisateur, chose qui n'avait jamais t envisage auparavant.
L'approche actuelle de la plupart des pare-feu, qui consiste ignorer les
couches 7 (application) et 8 (utilisateur) ou dissocier ces 2 couches avec
quelques pare-feu grant la couche 7 et solutions IAM (Identity and Access
Management, Gestion des Identits et des Accs) grant la couche 8,
devrait faire cder les entreprises face aux pressions lies la bande
passante et la productivit en dcoulant.
La nouvelle approche du pare-feu, qui consisterait englober de manire
trs complte les 4 lments (application, utilisateur, heure et bande
passante) pouvant tre simplement grs par la visibilit et les contrles
des couches 7 et 8, fournit la productivit ncessaire en poussant les parefeu au-del de leur dmarche traditionnelle axe sur la scurit.
1

Dans le prsent livre blanc, le terme pare-feu fera rfrence la fois aux pare-feu et aux solutions
UTM, dans la mesure o les pare-feu font partie intgrante des solutions UTM.

1
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Le dfi des applications dans l're du Cloud

L'utilisation des applications au fil du temps reprsente l'histoire de la
communication, de l'volution des connaissances, du divertissement et de
la collaboration sur la toile mondiale.

Mme si les applications nous

facilitent la vie au travail et nous
divertissent la maison, elles
reprsentent une vritable
menace en matire de scurit et
de productivit.

volution de la communication et des connaissances

Internet tait l'origine un moyen de communication instantane via
email. Aujourd'hui, avec une quantit incalculable de sites qui
emmagasinent chaque jour de plus en plus de donnes, Internet s'est
transform en vritable base de connaissances. Jusqu'ici, cela n'a pos
aucun problme, mme si la plupart des employs des entreprises ont
accs Internet. Pour faciliter les choses, les applications ont suivi un
schma prvisible de l'utilisation port-protocole.
Divertissement
Avec des millions de gens en ligne, le divertissement a rapidement suivi le
mouvement en proposant des applications de jeux, de tchat, et de
tlchargement audio et vido. Les pertes de productivit se sont fait
sentir de deux manires. Lorsque certains employs se permettaient
d'utiliser des applications non professionnelles de jeux, de tlchargement
audio et vido via les rseaux Peer-to-Peer (Kazaa, etc.), les applications
vitales de l'entreprise quant elles souffraient d'un manque de bande
passante.
Les entreprises se sont donc rendu compte que l'accs aux applications
devait tre contrl, non seulement en raison des nombreuses menaces
que l'utilisation de telles applications prsentait pour le rseau, mais
galement en raison des traoctets de bande passante qu'elles
consommaient et l'importante perte de productivit que cela impliquait.
Le brouillage de port a donc vritablement commenc, et est venu
s'ajouter la complexit du contrle des applications.
Collaboration
La collaboration a suivi de prs l'apparition discrte des outils de partage
de fichiers pour rpondre aux problmes de transfert de fichiers
volumineux par email. Alors que Microsoft Sharepoint et Google Docs se
prsentaient comme des exemples d'outils de travail collaboratifs purs, les
solutions WebEx, Adobe Connect et GoToMeeting rassemblaient dj les
gens, proposaient des emplacements ddis la vente et au marketing
pour la communication et le travail collaboratif en interne.
La collaboration est de plus en plus adopte chaque anne. En effet, elle
facilite le transfert, acclre le rythme de travail, permet d'changer avec
le monde entier et de rduire les cots de transport.
Aujourd'hui, c'est tout un mlange d'applications (personnelles,
professionnelles, audio, vido, collaboratives, de divertissement, de
communication instantane) qui prennent d'assaut le Web, et donc les
entreprises. Les applications SaaS, telles que SalesForce, ERP de NetSuite,
Birt (avec Business Intelligence), et les autres, de plus en plus utilises,
telles que Facebook, Twitter, You Tube et les messageries instantanes, qui
nous facilitent la vie au travail et nous divertissent la maison,
reprsentent une vritable menace en matire de scurit et de
productivit.

2
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Cloud Computing
Le Cloud Computing annonce une nouvelle re. Une re dans laquelle
d'importants changements ont lieu dans notre manire de regrouper,
d'changer, de stocker et de rcuprer les donnes. Ce qui l'origine tait
confin dans le rseau est dsormais en train de migrer en dehors de ce
dernier.
Le SaaS a peu peu russi se faire adopter par le grand public. Avec le
Cloud, la mobilit des applications l'extrieur du rseau est acclre,
dans la mesure o la plupart des applications internes peuvent tre
localises en dehors de ce dernier. Ce phnomne a une incidence
importante sur la consommation de bande passante dans les entreprises.

Pour relever le dfi, les pare-feu

doivent changer leur manire de
grer les besoins des entreprises :
cest--dire passer de lobjectif
traditionnel qui consiste
bloquer les mauvaises choses
un nouvel objectif qui consiste
autoriser les bonnes choses .

La prparation l'adoption, la transition en douceur et la russite du cloud

computing dpendent en grande partie de la disponibilit et de la facilit
de l'accs aux applications et donnes hberges qui vont dsormais
commencer concurrencer les applications externes existantes.
Les entreprises vont avoir du mal trouver un quilibre entre les trois
catgories d'applications : professionnelles (applications blanches) ; nonprofessionnelles (applications noires) ; et socioprofessionnelles
(applications grises).
En l'absence de directives claires, les applications vitales (blanches)
finiront par se disputer la bande passante avec les applications non vitales
(noires ou grises). Le travail en ptit, et la productivit que le cloud tait
cens amliorer s'affaiblit. Plus la bande passante est sollicite, plus les
cots augmentent.
Pour relever le dfi, les pare-feu doivent changer leur manire de grer les
besoins des entreprises : c'est--dire passer de l'objectif traditionnel qui
consiste bloquer les mauvaises choses un nouvel objectif qui
consiste autoriser les bonnes choses .

3
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Les pare-feu ne sont pas qu'une affaire de

scurit
Les pare-feu traditionnels contrlaient l'adresse source et destination, les
ports et les protocoles. Savoir quel paquet entrait ou sortait du rseau ne
semblait pas trs important, tant que ce dernier respectait les rgles
cres pour ces paramtres, puisque les applications elles-mmes
utilisaient l'association port-protocole.
En outre, il ne semblait pas non plus important de savoir qui recevait le
trafic dans l'entreprise tant que l'adresse source ou destination tait
acceptable parce que, finalement, peu de gens avaient accs Internet.

Avec la multiplication des

applications, certains ont choisi
de ne pas passer par les ports
traditionnels pour une plus
grande efficacit du transfert des
paquets, tandis que d'autres ont
choisi cette voie pour contourner
les limitations du pare-feu. Cest
ce moment-l que le port hopping
(saut de ports) a fait son entre.

Les choses ont chang lorsque les applications ont augment de faon
exponentielle en nombre et en varit, et qu'il a fallu contrler les
applications pntrant dans les entreprises. Les choses ont davantage
chang lorsque l'accs Internet s'est rpandu dans toute lentreprise :
tout le monde n'avait pas besoin d'accder aux applications. Ainsi,
lutilisateur est devenu un lment important pour les pare-feu.
Le fait que les pare-feu ne pouvaient plus attendre des applications qu'elles
utilisent une association standard port-protocole tait particulirement
important. Avant, toutes les applications HTTP utilisaient le port 80, et
toutes les applications SSL utilisaient le port 443.
Avec la multiplication des applications, certains ont choisi de ne pas passer
par les ports traditionnels pour une plus grande efficacit du transfert des
paquets, tandis que d'autres ont choisi cette voie pour contourner les
limitations du pare-feu. Cest ce moment-l que le port hopping (saut de
ports) a fait son entre.
Sans oublier les sites et les logiciels de contournement de proxy comme
ByPassU, YouMask et UltraSurf qui contournent les pare-feu traditionnels,
et permettent aux utilisateurs de surfer sans restriction sur le Web.
Mais avec des applications vitales hberges sur le rseau, de simples
rgles permettant de bloquer les applications noires et mme grises
faisaient l'affaire avec plus ou moins d'efficacit, et les aspects de scurit
lis l'augmentation des applications demeuraient le centre d'intrt. La
ncessit de grer la bande passante en fonction des applications ne se
faisait pas sentir.
Avec le SaaS, la collaboration et le Cloud faisant migrer les applications
internes en dehors du rseau, la lutte acharne pour la bande passante est
dj perceptible. Ces applications seraient donc l-haut, dans le cloud, en
train de se battre avec les applications externes pour obtenir un peu de
bande passante.
Si l'on imagine que toutes les donnes sont migres dans le cloud, la bande
passante ne sera vraisemblablement pas suffisante. Le fait que certaines
applications (audio, vido, confrence et certaines fonctions de
collaboration) consomment beaucoup de bande passante est
particulirement important. En effet, les entreprises vont continuellement
manquer de bande passante si leur pare-feu n'a pas t en mesure
d'identifier les applications et les utilisateurs.
Il ne s'agit donc plus seulement d'assurer la disponibilit des applications,
mais galement d'optimiser la bande passante si l'on veut continuer
contrler les cots. Ainsi, la gestion des 4 lments : qui (utilisateur), quoi
(application), quand (heure) et combien (bande passante), qui permet une
visibilit et un contrle des couches 7 et 8 en se basant sur l'heure et les
besoins en bande passante, devient ncessaire pour la fois amliorer la
productivit et contrler les cots.

4
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Gestion des 4 lments :

Utilisateur

Application

Bande
passante

Heure

Application - Utilisateur - Heure - Bande passante

L'intgration de pare-feu avec les 4 lments : application-utilisateurheure-bande passante garantit la cration de l'ensemble de rgles de parefeu le plus simple et le plus efficace rpondant aux besoins en QdS de
l'accs aux applications. En rservant la bande passante aux applications
vitales et en contrlant l'utilisation des applications moins importantes, les
pare-feu peuvent dsormais rduire les pics et les creux de la demande en
bande passante et garantir la disponibilit de l'application et la QdS, et
ainsi amliorer l'exprience de l'utilisateur.
Mme si les 4 lments sont essentiels, la bande passante est l'lment
commun qui constitue la base permettant de grer efficacement les 3
autres.

L'intgration de pare-feu avec les 4

lments : application-utilisateur-heurebande passante garantit la cration de
l'ensemble de rgles de pare-feu le plus
simple et le plus efficace rpondant aux
besoins en QdS de l'accs aux
applications.

Application
Les pare-feu vont devoir faire la distinction entre les diffrentes
applications. Voici une rpartition des applications en 3 catgories (noires,
blanches et grises).

! Professionnelles (blanches) - Les applications entirement

professionnelles (telles que les applications de tlphonie sur IP, de
Salesforce) devraient tre numro dans la hirarchie
organisationnelle de la bande passante. Elles devraient donc tre
prioritaires dans l'attribution de bande passante, quelle que soit
l'heure de la journe.
! Non professionnelles (noires) - Les applications de divertissement
exclusivement (telles que iTunes et les applications P2P) se verront
probablement attribuer la priorit la plus faible en termes de bande
passante. Les entreprises peuvent galement les bloquer
entirement, notamment en cas de P2P. Ou, en raison de la demande
croissante pour certaines applications de mdias sociaux et la
ncessit de construire un environnement de travail attrayant, elles
peuvent galement limiter le temps de disponibilit et restreindre
l'accs certains groupes d'utilisateurs.
! Socioprofessionnelles (grises) - La vraie question se pose avec ces
applications grises. En effet, elles n'taient l'origine destines qu'
un usage personnel (messageries instantanes, outils de mdias
sociaux comme Facebook et You Tube), mais elles ont volu et
reprsentent aujourd'hui un mlange entre le professionnel et le
divertissement. Les utilisateurs d'aujourd'hui sont susceptibles
d'utiliser certaines applications pour effectuer des tches la fois
professionnelles et personnelles. Facebook, par exemple, tait
l'origine une application de mdias sociaux. L'application se retrouve
aujourd'hui avec un nombre croissant d'utilisateurs pour son tchat et
sa messagerie lectronique. La cration de communauts de
partenaires ou de clients sur Facebook fait dsormais partie
intgrante du processus marketing et communication.
Utilisateur
Alors que Salesforce, Microsoft Sharepoint ou Google Docs devraient
toujours bnficier d'un accs prioritaire, et que l'accs iTunes devrait
toujours tre limit ou interdit, les choses ne sont pas aussi claires lorsqu'il
s'agit d'applications de mdias sociaux (You Tube, LinkedIn) et de transferts
de fichiers (messageries instantanes). C'est l que la reconnaissance de
l'utilisateur prend tout son sens.
Prenons le cas o You Tube est utilis par le service responsable du
marketing et des ventes de l'entreprise. On pourrait penser qu'une simple
rgle autorisant ce service accder You Tube et l'interdisant tous les
autres ferait l'affaire. Mais que se passe-t-il si, cause de a, la tlphonie
par IP, les confrences WebEx ou la collaboration Sharepoint n'ont plus
assez de bande passante ?

5
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Utilisateur

Application

Bande
passante

Heure

Avant de mettre en place un systme de

contrles avec une matrice complexe
impliquant l'application, l'utilisateur,
l'heure et la bande passante, il convient
d'abord d'observer le trafic et de
s'intresser de plus prs au schma
d'utilisation

Outre la couche 7 (application), les entreprises auraient maintenant

besoin d'inclure la couche 8 (utilisateur) dans les rgles de pare-feu. Ainsi,
l'entreprise peut dterminer la bande passante minimale ncessaire pour
l'application et appliquer la rgle de pare-feu en consquence, en
attribuant la bande passante en priorit aux applications vitales.
Heure
L'heure est le troisime lment important pour les rgles de pare-feu.
Pour les applications critiques en termes de bande passante et non en
termes de temps, une restriction de leur accs certaines heures de la
journe allgera la consommation de bande passante.
Pour l'accs You Tube, par exemple, l'entreprise aurait intrt fixer une
rgle avec une disponibilit de bande passante maximale au-del de
laquelle l'application ne peut plus utiliser la bande passante de
l'entreprise. En outre, l'entreprise peut prdfinir des heures en dehors
des heures de travail au cours desquelles elle accorde plus de bande
passante l'application grise. Cela permet d'viter de saturer la bande
passante.
Par consquent, intgrer les 4 lments dans le pare-feu constitue le
meilleur moyen pour grer les applications dans le cloud.

Analyse des 4 lments

Avant de mettre en place un systme de contrles avec une matrice
complexe impliquant l'application, l'utilisateur, l'heure et la bande
passante, il faut analyser le trafic.
Dans un premier temps, tout ce que l'entreprise possde, c'est un
graphique indiquant le schma de consommation de la bande passante
(pics et creux) au sein de l'entreprise. Mettre en place une rgle qui
favorise la productivit de l'entreprise sans pour autant la limiter ncessite
qu'on s'intresse de plus prs au schma d'utilisation se concentrant sur
les facteurs suivants :
1. Distinguer parmi les applications
a. Les applications professionnelles (ou applications blanches)
b. Les applications non professionnelles (ou applications noires)
c. Les applications la fois professionnelles et personnelles (ou
applications grises)
2. Distinguer parmi les utilisateurs
a. Les utilisateurs-cls, en fonction de leur position ou rle dans
l'entreprise
b. Les utilisateurs consommant beaucoup de bande passante
(avec une distinction entre les utilisations professionnelles et
non professionnelles)
C. Les utilisateurs et services ayant des besoins spcifiques (ex. :
application de mdias sociaux pour le service responsable du
marketing et des ventes)
3. tudier le caractre critique de l'heure : relever les heures
auxquelles les applications professionnelles vitales et les
applications non professionnelles sont utilises
4. Identifier les besoins en bande passante : lister la bande passante
ncessaire pour chaque application professionnelle importante
En rpondant ces questions, l'entreprise peut savoir qui (lment
utilisateur) utilise quelle application (lment application), quel moment
(lment heure) et quelle quantit de bande passante totale et
individuelle (lment de bande passante) est ncessaire.
Avec les donnes de ces 4 lments, les services informatique peuvent
convoquer les chefs des diffrents services afin de ngocier les contrles et
les restrictions pour quilibrer les pics et les creux.

6
www.cyberoam.com

sales@cyberoam.com

Produit Elitecore

Cyberoam vous prpare au Cloud

Cyberoam est une solution de gestion unifie des menaces (UTM,
Unified Threat Management) qui a toujours su maintenir l'quilibre
entre la scurit et la productivit au sein de l'entreprise.
Il est le seul UTM qui fonctionne sur les couches 2 8, offrant visibilit et
contrle des couches 7 (application) et 8 (utilisateur), quelle que soit
l'origine de l'application. Paralllement, il offre une scurit unifie, en
permettant aux entreprises de crer des rgles pour toutes les
fonctionnalits UTM, y compris la gestion de la bande passante partir
de la page ddie au pare-feu.

Cyberoam est le seul UTM qui

fonctionne sur les couches 2 8,
offrant visibilit et contrle des
couches 7 (application) et 8
(utilisateur), quelle que soit
l'origine de l'application.

Ainsi, il est en mesure de grer la matrice complexe impliquant les

applications, les utilisateurs et les exigences de temps au sein des
entreprises afin de rpondre aux conflits d'accs la bande passante
avant mme qu'ils n'aient eu lieu.
Caractristiques et avantages de Cyberoam : QdS des applications
! Identifie les applications et les utilisateurs
! Offre un contrle application-utilisateur-temps-bande passante
! Assure un accs aux applications
! Fournit des gains de productivit
! Contrle les cots de bande passante
! Offre une scurit du rseau et des donnes
Cyberoam permet aux entreprises de savoir qui accde quelle
application, quel moment et quelle quantit de bande passante est
utilise. En optimisant ainsi la consommation de bande passante, il
offre des niveaux de productivit levs et permet de matriser les
cots engendrs par cette dernire.
Non seulement Cyberoam prend en compte la scurit des entreprises,
mais galement la productivit. Ainsi, il offre une solution efficace qui
rpond tous les besoins des entreprises, et les prpare au Cloud.

ventail de scurit de Cyberoam

Protection des
donnes
& chiffrement
Contrle des
applications

Unified Threat Management

(UTM)

Cyberoam Central Console

SSL VPN

Cyberoam iView
Journalisation et reporting intelligent

(CCC)

Gestion des
priphriques
Gestion du
parc

Cyberoam
Endpoint Data Protection

Rcompenses et certifications de Cyberoam

7
Distributeurs Nationaux
Afina: +33 (0)141912314 | commercial@afina.fr
Config France: +33158704010 | sales@config.fr
Eliptec Sas: +33(0)383614440 | info@eliptec.com

www.cyberoam.com

sales@cyberoam.com

Copyright 1999-2011 E l i t e c o r e Te c hnologies Pvt. L t d. Tous droits rservs. Cyberoam et le logo de

Cyberoam sont des marques dposes dElitecore Technologies Ltd. /TM : Marques dposes
dElitecore Technologies ou des propritaires respectifs des produits/technologies.
Bien quElitecore sefforce de fournir des informations prcises, la socit dcline toute responsabilit
relative lexactitude ou lexhaustivit de ces dernires. Elitecore se rserve le droit de changer,
modifier, transfrer ou rviser la publication sans pravis.

Produit Elitecore