Vous êtes sur la page 1sur 8

GUIDE DES SOLUTIONS

Firewall de Segmentation Interne


(Internal Segmentation Firewall - ISFW)
Contrle et protection du rseau interne contre les dommages
et la propagation des menaces

Introduction
Les cyberattaques prennent de lampleur tant en nombre, quen termes de qualit et dincidence. Les failles de scurit se concrtisent par une
notorit indsirable, ainsi que par une perte de rputation et de la confiance des clients qui peut induire des cots dercupration consquents
pour lentreprise.
Tandis que les entreprises adoptent les dernires technologies informatiques comme Mobility et le Cloud, les frontires des rseaux traditionnels
sont de plus en plus complexes contrler et scuriser. Les rseaux comprennent dsormais de nombreuses failles descurit.
Les entreprises investissent dans la protection priphrique diffrents niveaux de leur rseau (filiales, campus et datacenter) pour prvenir
linfiltration du rseau par les menaces. Pendant une dcennie, cette stratgie sest avre prcieuse et efficace.
En plus de linstallation de Firewalls en priphrie du rseau, dautres solutions de scurit sont ajoutes pour garantir une protection
multicouche contre les menaces persistantes avances, ainsi quune protection au niveau des applications. Malgr tout, des attaques complexes
parviennent toujours pntrer le rseau des entreprises.
Partant du principe que des menaces franchiront le primtre, il est ncessaire dinstaller une couche de protection supplmentaire au rseau
interne qui permet de segmenter laccs des vecteurs dattaque potentiels aux ressources stratgiques, afin de fournir une scurit de nouvelle
gnration et une meilleure visibilit tout en limitant les dommages potentiels rsultant dune brche.

www.fortinet.com

GUIDE DES SOLUTIONS: FIREWALL DE SEGMENTATION INTERNE (ISFW)

Le dfi
Fait 1 Le nombre, la complexit et l'impact des menaces sont en augmentation: dans les environnements actuels, les points daccs aux
rseaux dentreprise ont connu une croissance exponentielle. Mobility, les appareils intelligents et le Cloud reprsentent tous une surface dattaque
croissante par laquelle un plus grand nombre dattaques complexes peut pntrer le rseau.
Fait 2 - Le rseau interne est plat et ouvert: pour garantir une plus grande flexibilit et souplesse, les rseaux deviennent de plus en plus plats
et ouverts. Dans la plupart des cas, la mise en uvre de la scurit au sein du rseau interne est lmentaire et limite aux rseaux locaux virtuels
et aux listes daccs de couche4. Par consquent, au-del du primtre de scurit, la propagation des programmes dexploitation et laccs
tendu des hackers aux identifiants, aux ressources et aux donnes sont libres et simples. De plus, le manque dinfrastructure de scurit au sein
du rseau interne limite de manire significative la visibilit de lentreprise quant au comportement suspect du trafic, aux menaces et aux flux de
donnes, ce qui entrave sa capacit dtecter une brche.
Fait 3 - La segmentation des rseaux locaux virtuels (VLAN) nest pas suffisante: traditionnellement, la segmentation du rseau interne est
ralise par le biais du dploiement de rseaux locaux virtuels, la communication intra-VLAN rsultant dune fonction de routage. La segmentation
des rseaux locaux virtuels peut limiter la propagation dune menace simple aux membres du mme VLAN. Cependant, des menaces plus
complexes peuvent facilement se propager dun VLAN lautre, les routeurs ntant pas des appliances de scurit et ne disposant pas
delareconnaissance et des services de scurit indispensables pour identifier et bloquer efficacement les menaces.
Le modle de segmentation VLAN possde une volutivit trs restreinte. Il ne peut prendre en charge que les VLAN 4K, ce qui limite sacapacit
garantir la micro-segmentation requise au sein des environnements dentreprise actuels, ces derniers pouvant comprendre des milliers
deserveurs et de machines virtuelles.

La solution: Firewall de Segmentation Interne


Pour rsoudre plus facilement les problmes ci-dessus, les entreprises doivent dployer des Firewalls dentreprise dots de fonctionnalits
denouvelle gnration au niveau de points stratgiques du rseau interne afin dapporter une couche de scurit supplmentaire. Le dploiement
detels Firewalls, appels Firewalls de Segmentation Interne (ISFW), confrera les avantages suivants en termes de scurit:
1. Contrle des accs aux ressources aussi proche que possible de lutilisateur par le biais dune segmentation base sur la stratgie en vigueur.
2. tablissement de barrires de scurit permettant dinterrompre et de limiter la propagation incontrle des menaces et de lactivit des
hackers au sein du rseau interne par le biais de la mise en uvre dune segmentation physique laide de mcanismes de scurit avancs.
3. Limitation des dommages potentiels inhrents aux menaces au sein du primtre.
4. Augmentation de la visibilit des menaces et amlioration de la dtection et de la neutralisation des brches.
5. Renforcement de la stratgie de scurit globale de lentreprise.
Pour garantir et optimiser un contrle efficace des menaces et la limitation des dommages potentiels, le dploiement dun ISFW repose sur deux bases:
nn Segmentation du Firewall base sur la stratgie en vigueur
nn Segmentation physique et virtuelle du Firewall

ISFW: segmentation du Firewall base sur la stratgie en vigueur


La segmentation du Firewall base sur la stratgie en vigueur a pour objet de segmenter laccs de lutilisateur au rseau, aux applications et aux
ressources en associant lidentit de lutilisateur lapplication des stratgies de scurit de faon limiter les menaces et les vecteurs dattaque
potentiels vhiculs par lutilisateur.
La segmentation base sur la stratgie en vigueur associe automatiquement lidentit de lutilisateur la stratgie de scurit applique.
Lidentit de lutilisateur peut tre dfinie comme un ensemble dattributs: emplacement physique, type dappareil utilis pour accder au rseau,
application utilise, etc. Comme lidentit de lutilisateur peut changer de manire dynamique, la stratgie de scurit applique doit sadapter
automatiquement et de manire dynamique galement. Par exemple, diffrentes stratgies peuvent sappliquer un utilisateur en fonction du type
dappareil utilis pour accder au rseau.

GUIDE DES SOLUTIONS: FIREWALL DE SEGMENTATION INTERNE (ISFW)

Afin dobtenir lidentification utilisateur requise et les paramtres globaux indispensables la cration de stratgies de scurit granulaires,
unISFW doit pouvoir:
1. Autoriser lidentification de lutilisateur, de lappareil et de lapplication
2. Garantir lintgration la solution de services dannuaire de lentreprise, comme Microsoft Active Directory notamment, afin didentifier
lidentit de lutilisateur de manire dynamique
3. Mapper de manire dynamique lidentit de lutilisateur en fonction dune application et dune stratgie de scurit spcifiques
Lassociation dun profil utilisateur soumis une stratgie de scurit spcifique doit intervenir aussi prs que possible de la source ou du point
daccs. Par consquent, tous les Firewalls dploys, aux divers niveaux de lentreprise (de la filiale au campus/sige social) doivent pouvoir
identifier lutilisateur de manire dynamique et appliquer la stratgie approprie au sein de lentreprise. Lintgralit de linfrastructure de Firewall
se transforme alors en une structure de segmentation intelligente base sur la stratgie en vigueur.

ISFW: segmentation physique et virtuelle du Firewall


La segmentation base sur la stratgie en vigueur dfinit galement les services de scurit appliqus par le Firewall, comme lantivirus, lIPS
et le contrle des applications. Quelle que soit leur efficacit, il est clair quune menace inconnue peut pntrer le rseau. Il est indispensable
dinstaurer une segmentation physique du Firewall pour optimiser la dtection et la protection contre les menaces, de mme que pour limiter
lapropagation des menaces au sein du rseau interne. La ncessit de segmenter physiquement le Firewall rsulte de la cruelle ralit des
brches et de ladaptation croissante du concept de confiance nulle ; cela implique la micro-segmentation de toutes les ressources au sein
du rseau de lentreprise par le biais du dploiement dune infrastructure et de mcanismes de scurit adapts pour isoler efficacement les
serveurs, les rpertoires de donnes et les applications.

Fonctionnalits de lISFW lchelle de lentreprise


ISFW virtuel du Datacenter reposant sur des solutions logicielles (SDDC): du fait du dploiement massif de la virtualisation et de solutions
logicielles sur les datacenters de lentreprise dans le monde entier, la micro-segmentation est dj mise en uvre par le biais du dploiement
dappliances de Firewall virtuel avancs, segmentant chaque machine virtuelle (VM). Ces ISFW virtuels, comme FortiGate-VM et FortiGate-VMX,
fournissent les services de scurit requis pour assurer la visibilit, lanalyse et la protection des flux de trafic (galement appel trafic
est-ouest) entre les machines virtuelles.
ISFW physique: dans le cadre des flux de trafic pntrant et quittant le primtre du rseau et le datacenter (galement appel trafic
nord-sud), limplmentation dISFW physiques est indispensable pour garantir une mthode fiable et conomique dextension de la visibilit
etde lasegmentation de la scurit lchelle de lentreprise:
nn du dploiement dISFW virtuels pour la micro-segmentation des machines virtuelles;
nn en passant par les ISFW physiques au sein du rseau interne pour garantir une meilleure segmentation de la scurit des serveurs, des
applications, des donnes, des fonctions et des services;
nn la segmentation logique de laccs de lutilisateur aux ressources sensibles par le biais de la segmentation axe sur la stratgie de lISFW.
Contrairement limplmentation dun ISFW dans un environnement virtuel o un seul ISFW FortiGate virtuel va segmenter et protger toutes
les machines virtuelles appartenant un serveur, la dtermination de la granularit de la segmentation physique du Firewall (taille, performances
et nombre de ports Ethernet) dpend de plusieurs facteurs comme lemplacement physique du Firewall, larchitecture du rseau, la structure
deconfiance de lentreprise et la criticit et lemplacement des ressources du datacenter.

www.fortinet.com

GUIDE DES SOLUTIONS: FIREWALL DE SEGMENTATION INTERNE (ISFW)

ISFW de bout en bout: bien quindpendants, combiner un ISFW virtuel/physique et bas sur la stratgie en vigueur offre les avantages suivants:
1. ISFW bas sur la stratgie en vigueur limitant laccs des utilisateurs et des vecteurs de menace aux ressources sensibles
2. Capacit fournir une segmentation interne physique et virtuelle travers le rseau
3. Limitation des menaces et des incidences correspondantes au segment de rseau pntr
4. Meilleure visibilit sur le rseau interne concernant les applications, les utilisateurs, les appareils et les flux de donnes
5. Diminution du dlai de dtection et de neutralisation des brches
Prise en considration de lISFW: limplmentation dune infrastructure ISFW peut tre ralise en:
1. Modifiant linfrastructure du Firewall existant de lentreprise
2. Ajoutant des Firewalls faisant office dISFW
Ajouter des Firewalls FortiGate faisant office dISFW permet de simplifier et dacclrer le dploiement laide dun mode transparent. Dans ce
mode, le Firewall constitue une architecture BITW (bump in the wire) et nest pas peru comme un saut de routeur vers les appareils connects.
Par consquent, aucune modification de ladresse IP nest requise.
Quelle que soit loption de dploiement choisie, les critres suivant doivent tre pris en compte:
nn ISFW virtuel et physique pour une solution complte de bout en bout
nn Intgration aux services dannuaire
nn Amlioration des stratgies de scurit en vigueur pour permettre la segmentation base sur la stratgie en vigueur
nn Si ncessaire, des ports rseau de Firewall supplmentaires pour une meilleure segmentation physique
nn Les performances de lISFW doivent correspondre au dbit et la latence exigs lors de la fourniture dune scurit de nouvelle gnration
dans un environnement hautement segment

Firewall de Segmentation Interne avec Fortinet


Fortinet a lanc le concept et le dploiement des Firewalls de Segmentation Interne dans le cadre de son infrastructure de protection contre les
menaces avances (ATP) des entreprises contre la majorit des menaces complexes actuelles.
Fortinet propose une solution ISFW dynamique, grable et volutive:
1. Les stratgies de Firewall FortiGate centres sur les utilisateurs, les appareils et les applications pour la segmentation base sur la stratgie
en vigueur
2. Lintgration RADIUS, LDAP, Active Directory pour lauthentification et la gestion des utilisateurs
3. Les Firewalls FortiGate offrent de nombreux services de scurit, y compris un antivirus, un IPS et le contrle des applications, pour garantir
une protection maximale du rseau interne
4. Les appliances FortiGate physiques reposent sur ASIC pour garantir les hautes performances, la vitesse et la faible latence requises dans
unenvironnement hautement segment
5. Les Firewalls virtuels FortiGate proposent des solutions ISFW sur le SDDC et les Clouds publics
6. Nombreuses appliances FortiGate ISFW physiques et virtuelles ncessitant une segmentation optimise sur le rseau
7. Solution de bout en bout volutive, grable et automatique avec FortiManager, FortiAnalyzer/FortiView et FortiAuthenticator

GUIDE DES SOLUTIONS: FIREWALL DE SEGMENTATION INTERNE (ISFW)

Gestion
ISFW est un composant de la plateforme de scurit de bout en bout de Fortinet qui comprend un accs sans fil scuris aux Firewalls
dedatacenter physique et virtuel et aux appliances de scurit au niveau des applications dont la gestion est assure depuis un point unique
avec FortiManager et FortiAnalyzer.
Dans le contexte du dploiement dun ISFW, le nombre de stratgies dfinies devrait augmenter avec la segmentation interne base sur la
stratgie en vigueur. De plus, chaque Firewall du rseau de lentreprise doit pouvoir appliquer la segmentation base sur la stratgie en vigueur
de manire dynamique, chaque Firewall devant connatre la gamme complte des stratgies dfinies.
Ces exigences peuvent potentiellement entraner des problmes de gestion et avoir une incidence sur les ressources des Firewalls.
FortiManager, FortiAnalyzer et FortiAuthenticator de Fortinet rsolvent ces problmes:
1. Dfinition des stratgies une fois sur FortiManager
2. FortiManager distribue automatiquement les stratgies aux Firewalls au sein de la segmentation fonctionnelle de lISFW
3. Lvolutivit de la prise de conscience de lutilisateur et de la segmentation base sur la stratgie en vigueur rsulte de lintgration
deFortiAuthenticator qui garantit lintgration et lautomatisation des Firewalls FortiGate et des services dannuaire
4. FortiAnalyzer et FortiView offrent une visibilit granulaire et agrge du trafic (utilisateurs, appareils, applications, menace, etc.) lchelle
delentreprise

Rsum
Au fur et mesure que le nombre de menaces, la complexit et lincidence augmentent, il apparat clairement quaccorder la priorit la
priphrie du rseau en matire de scurit ne suffit pas.
Les Firewalls de Segmentation Interne fournissent aux entreprises une couche de protection supplmentaire dans le primtre du rseau en
protgeant les ressources stratgiques tout en amliorant la capacit de dtection des brches et en rduisant les dlais de neutralisation.
Grce des ISFW virtuels et physiques hautes performances grs depuis un point unique, Fortinet simpose en leader et propose une solution
ISFW granulaire, conomique et hautement performante aux entreprises et aux environnements les plus exigeants.

www.fortinet.com

GUIDE DES SOLUTIONS: FIREWALL DE SEGMENTATION INTERNE (ISFW)

SIGE SOCIAL MONDIAL


Fortinet Inc.
899 Kifer Road
Sunnyvale, CA 94086
tats-Unis
Tl.: +14082357700
www.fortinet.com/sales

SUCCURSALE EMEA
120, rue Albert Caquot
06560, Sophia Antipolis,
France
Tl.: +33(0)489870510

SUCCURSALE APAC
300 Beach Road 20-01
The Concourse
Singapour199555
Tl.: +6565133730

SUCCURSALE AMRIQUE LATINE


Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregn
MexicoD.F.
Tl.: 01152(55)55248480

FRANCE
TOUR ATLANTIQUE
11me tage, 1 place de la Pyramide
92911 Paris La Dfense Cedex
France
Ventes: +33-1-8003-1655

Copyright 2015 Fortinet, Inc. Tous droits rservs. Fortinet, FortiGate, FortiCare, FortiGuard et certaines autres marques sont des marques dposes de Fortinet, Inc., et les autres dnominations Fortinet mentionnes sont susceptibles dtre galement dtenues par Fortinet. Toutes
les autres marques appartiennent leurs dtenteurs respectifs. Les performances et autres mesures prsentes dans ce document ont t values dans un laboratoire interne et dans des conditions optimales. Elles peuvent varier en conditions relles. Les variations rseau, la diversit des
environnements rseau et dautres lments sont susceptibles daffecter ces performances. Rien dans le prsent document ne tient lieu dautorisation formelle de la part de Fortinet, et Fortinet sexonre de toute garantie sur le contenu de ce document, implicite ou explicite, sauf si cette garantie
rsulte dune obligation contractuelle, signe par le Directeur des affaires juridiques de Fortinet, avec un acheteur, avec mention expresse de la garantie que le produit respecte les performances et spcifications indiques dans ce document et, dans un tel cas, que seules les performances
etspcifications indiques dans le cadre de cette obligation contractuelle engagent Fortinet. Pour viter toute confusion, une telle garantie ne sappliquera que si les performances sont values dans des conditions aussi optimales que celles des laboratoires de test de Fortinet. Fortinet dcline
toute responsabilit concernant les clauses, reprsentations et garanties, explicites ou implicites, dfinies en vertu du prsent document. Fortinet se rserve le droit de changer, modifier, transfrer ou rviser de quelque manire que ce soit cette publication sans avis pralable. La version anglaise
la plus rcente de ce document fait foi, en cas derreur de traduction notamment. 20 nov. 2015 11:53 AM d:\Users\mmrozek\Desktop\P-11165\FR\01.ISFW Solution Guide\Folder SG-Internal Segmentation Firewall-FR\SG-Internal Segmentation Firewall-FR

www.fortinet.com

Vous aimerez peut-être aussi