PARE-FEU VM-SERIES

POUR AMAZON
WEB SERVICES

Amazon Web Services (AWS) favorise l’évolution des centres de données

actuels en vous permettant de développer, de déployer et de gérer
rapidement de nouvelles applications à l’échelle mondiale. Le pare-feu
VM-Series pour AWS vous permet de protéger vos applications et vos
données dans AWS à l’aide de notre pare-feu nouvelle génération et de
nos fonctionnalités de prévention des menaces.

Sécurité problématique dans le cloud public

Cas d’utilisation du pare-feu VM-Series pour AWS :
le cloud hybride
Cloud hybride
• Disposez d’un cloud hybride sécurisé grâce à notre
pare-feu nouvelle génération et à nos fonctionnalités
avancées de prévention des menaces
• Déplacez des applications et des données depuis et
vers AWS via un tunnel VPN de site à site IPSec.
Passerelle de segmentation
• Contrôlez les communications entre applications sur les
différents sous-réseaux d’un VPC et entre VPC tout en
empêchant les menaces de se déplacer latéralement.
• Maintenez les données confidentielles à l’écart du reste
du trafic pour des raisons de sécurité et de conformité.
Passerelle Internet
• Contrôlez les applications dans AWS tout en empêchant
les cyber-attaques évoluées de pénétrer dans votre cloud
et de s’y déplacer latéralement.
• Étendez les politiques de prévention des menaces et de
pare-feu aux utilisateurs distants et aux appareils mobiles
avec GlobalProtect.
AWS offre des avantages bien connus comme le renforcement de
l’agilité, de l’évolutivité et de la flexibilité du développement et du
déploiement des applications. Cependant, les problématiques de
sécurité rencontrées dans AWS sont exactement les mêmes que celles
auxquelles vous devez faire face pour protéger un réseau physique.
Parmi ces problématiques, citons le manque de visibilité et de contrôle
des applications, l’incapacité à prévenir les cyber-attaques et l’existence
de longs processus de mise à jour des politiques qui peuvent donner
lieu à des décalages entre le déploiement des charges de travail et les
mises à jour des politiques de sécurité. Le pare-feu VM-Series pour
AWS répond à ces problématiques en vous permettant de prendre les
mesures suivantes :
• Identifier et contrôler les applications qui traversent votre
déploiement AWS, indépendamment des ports utilisés.
• Déterminer les personnes autorisées à utiliser les applications
et en autoriser l’accès en fonction des besoins et des informations
d’identification.
• Empêcher les logiciels malveillants de pénétrer dans le cloud et de
s’y déplacer latéralement (est-ouest).
• Étendre les mécanismes de protection du périmètre à l’ensemble
des utilisateurs et des appareils, quel que soit leur emplacement.
• Simplifier la gestion et réduire les retards de politique de sécurité
au fur et à mesure de l’évolution des charges de travail virtuelles.
Le pare-feu VM-Series pour AWS protège vos charges de travail
et vos données avec le même pare-feu nouvelle génération et les
mêmes fonctionnalités de prévention des menaces avancées que
ceux qu’offrent nos appareils de sécurité. Vous pouvez ainsi basculer
dans le cloud en toute sécurité.

Palo Alto Networks | Fiche technique 1

Groupes de sécurité, pare-feu pour applications web (WAF) ou
pare-feu nouvelle génération ?
Dans le cadre de ses offres de services, AWS fournit des fonctionnalités
de sécurité de base aux utilisateurs, telles que les listes de contrôle
d’accès des groupes de sécurité (ACL) et les pare-feu d’application web
(WAF). Ces fonctionnalités vous aident à protéger votre déploiement
AWS. Toutefois, les groupes de sécurité et les listes de contrôle d’accès
examinent le trafic uniquement au niveau d’un port et d’une adresse IP.
Elles ne sont donc pas en mesure d’identifier et de contrôler le trafic
AWS sur la base de l’identité de l’application. Un pare-feu WAF examine
uniquement les applications HTTP/HTTPS. Ces fonctionnalités assurent
seulement une sécurité de base pour réduire la surface d’attaque.
Elles ne permettent pas de contrôler toutes les applications,
ne bloquent pas les menaces entrantes et ne les empêchent pas
de se déplacer latéralement. Lorsque le cloud public devient une
extension du centre de données, des fonctionnalités de sécurité
avancées comme celles qui sont proposées par le pare-feu nouvelle
génération, s’imposent.
Pare-feu VM-Series pour AWS
Le pare-feu VM-Series pour AWS vous permet de mettre en œuvre
en toute sécurité une méthode de premier basculement vers le cloud
tout en transformant votre centre de données en une architecture
hybride combinant l’évolutivité et la souplesse d’AWS à vos ressources
sur site. Vous pouvez ainsi déplacer vos applications et vos données
dans AWS tout en maintenant un niveau de sécurité identique à celui
que vous avez probablement mis en place sur votre réseau physique
avec les pare-feu Palo Alto Networks® basés sur des appareils.
Le pare-feu VM-Series pour AWS analyse en natif tout le trafic
en une seule passe pour déterminer l’identité de l’application et de
l’utilisateur, et le contenu. Ces éléments sont essentiels pour définir
votre sécurité et mettre en œuvre une gestion adaptée notamment
par le biais d’une bonne visibilité, d’un contrôle des politiques,
de la génération de rapports et de recherches en cas d’incident.
Affiner les décisions en matière de sécurité en améliorant la
visibilité sur les applications
Le pare-feu VM-Series pour AWS vous indique l’identité de l’application,
indépendamment du port. Vous disposez ainsi d’informations
beaucoup plus pertinentes sur votre déploiement AWS, notamment sur
l’application, sur l’utilisateur et sur son origine. Grâce à ces informations
supplémentaires, vous pouvez prendre des décisions plus éclairées en
termes de politiques, et répondre plus rapidement aux incidents.
Limiter les failles de sécurité grâce à des politiques utilisant des
listes blanches
Le pare-feu VM-Series pour AWS vous permet d’étendre aux
applications vos politiques de contrôle d’accès par le biais du
pare-feu. Vous pouvez ainsi forcer l’application de vos politiques
au niveau de certains ports, tout en vous appuyant sur la politique
« refuser tout le reste » sur laquelle un pare-feu se base pour bloquer
tous les autres. Ce niveau de contrôle supplémentaire devient
extrêmement important au fur et à mesure que vous déployez de
nouvelles ressources de votre centre de données dans AWS.
Renforcer la sécurité à l’aide de contrôles basés sur l’utilisateur
L’intégration à un large éventail de référentiels d’utilisateurs comme
Microsoft® Active Directory®, LDAP et Microsoft Exchange, introduit
l’identité de l’utilisateur comme élément de politique. Cet élément
de contrôle d’accès supplémentaire complète l’identification des
applications de confiance. Dans le cadre de politiques basées sur
les utilisateurs, vous pouvez accorder l’accès aux applications et
aux données critiques en fonction des besoins et des informations
d’identification des utilisateurs. Par exemple, l’équipe chargée
des applications peut disposer d’un accès complet au VPC de
développement, alors que l’équipe chargée des opérations
dispose d’un accès RDP/SSH au VPC de production.
Palo Alto Networks | Fiche technique 2
Prévenir les attaques avancées au niveau de l’application
Comme un grand nombre d’applications, les attaques sont capables
d’utiliser n’importe quel port et de déjouer les mécanismes de
prévention traditionnels. Avec le pare-feu VM-Series pour AWS,
vous pouvez utiliser les services Threat Prevention et WildFire™
pour appliquer des politiques de prévention des menaces propres
à une application, et empêcher les exploitations, les logiciels
malveillants et les menaces précédemment inconnues d’infecter
votre cloud.
Améliorer la sécurité des données grâce à la segmentation
De nos jours, les cybermenaces affectent généralement un poste
de travail ou un utilisateur, puis se déplacent latéralement sur
votre réseau physique ou virtuel. Vos applications et vos données
stratégiques y sont alors vulnérables. En mettant en œuvre des
zones de sécurité et des politiques basées sur l’établissement
de listes blanches, vous pouvez segmenter les applications qui
communiquent sur différents sous-réseaux et entre VPC afin
d’appliquer la réglementation. Vous pouvez compléter ces politiques
de segmentation en activant les services Threat Prevention et
WildFire. Les menaces connues et inconnues seront alors bloquées
et dans l’impossibilité de se déplacer latéralement d’une charge de
travail à une autre.
Cohérence des politiques grâce à la gestion centralisée
Panorama™ vous permet de gérer vos déploiements de pare-feu
VM-Series sur plusieurs déploiements cloud, ainsi que vos appareils
de sécurité physiques. La cohérence et l’homogénéité des politiques
sont ainsi assurées. De nombreuses fonctionnalités centralisées
de journalisation et de génération de rapports permettent d’avoir
une bonne visibilité des applications virtualisées, des utilisateurs
et du contenu.
Automatiser le déploiement de la sécurité et les mises à jour
des politiques
Le pare-feu VM-Series pour AWS inclut des fonctionnalités de
gestion natives qui vous permettent d’intégrer la sécurité dans vos
projets de développement faisant pour la première fois appel au
cloud. La méthode du bootstrapping fournit automatiquement à un
pare-feu une configuration opérationnelle comprenant les licences et
abonnements nécessaires, puis s’auto-enregistre auprès de Panorama.
Pour automatiser les mises à jour des politiques au fur et à mesure
que les charges de travail évoluent, une API XML et des groupes
d’adresses dynamiques (DAG) parfaitement documentés permettent
au pare-feu VM-Series d’utiliser des données externes sous la
forme de balises capables de déclencher dynamiquement les mises
à jour des politiques. Les nouvelles applications et la sécurité
nouvelle génération peuvent donc être déployées simultanément
et automatiquement.
1b
GP
AZ
VM-SERIES
C4
Cas d’utilisation du pare-feu VM-Series pour AWS Passerelle Internet : Sécuriser le réseau, le cloud et l’appareil
Le pare-feu VM-Series peut être déployé pour AWS dans différents cas. Protégez vos applications Internet destinées au public et renforcez
votre sécurité avec des politiques de mise en listes blanches basées
Cloud hybride : Étendez votre centre de données dans AWS
sur l’identité de l’utilisateur et sur les besoins métier. Pour renforcer
en toute sécurité
votre protection contre les cybermenaces, vous pouvez appliquer
L’un des moyens les plus simples et les plus sûrs de prendre en charge des politiques de prévention des menaces propres à une application
les nouveaux projets de développement faisant pour la première fois et ainsi empêcher les exploitations, les logiciels malveillants
appel au cloud consiste à procéder à un déploiement hybride intégrant et les menaces précédemment inconnues d’accéder à votre
le centre de données actuel à AWS via une connexion sécurisée. déploiements AWS.
Cette approche vous permet de commencer à petite échelle, puis
GlobalProtect vous permet d’étendre vos politiques de sécurité
de vous développer au fur et à mesure de vos besoins tout en
de passerelle Internet aux utilisateurs distants et aux appareils
maintenant une sécurité forte. Lorsqu’il est déployé dans AWS,
mobiles, où qu’ils se trouvent. Pour ce faire, GlobalProtect
le pare-feu VM-Series peut faire office de terminal VPN pour
établit une connexion sécurisée, puis applique vos politiques
autoriser le déplacement sécurisé des applications et des données
de sécurité métier pour protéger les utilisateurs contre les cyber-
en provenance et à destination d’AWS.
attaques avancées.
Les politiques de contrôle des applications et de prévention des
menaces peuvent être superposées au tunnel VPN IPsec sous la Pare-feu VM-Series pour AWS GovCloud
forme d’éléments de sécurité supplémentaires. Les utilisateurs d’AWS GovCloud
Passerelle de segmentation : Séparation à des fins de sécurité et peuvent se servir de pare-feu
de conformité VM-Series pour protéger les
applications et les données contre les
Des menaces très médiatisées ont montré que les cybercriminels
cyber-attaques. En activant l’option
savent parfaitement se dissimuler au nez et à la barbe de tous lorsqu’ils
Bring Your Own License (apportez
parviennent à contourner les mesures de contrôle du périmètre pour
votre propre licence), les utilisateurs
ensuite se déplacer librement sur les réseaux physiques et virtualisés.
de GovCloud peuvent déployer le pare-feu VM-Series dans n’importe
Le VPC AWS isole et fixe les limites de vos charges de travail de façon lequel des cas pratiques précédents. Le pare-feu VM-Series est
sécurisée. Le pare-feu VM-Series peut renforcer cette séparation accessible à partir de votre compte AWS GovCloud.
via des politiques de segmentation au niveau de l’application afin de
contrôler le trafic entre VPC.
Les contrôles de segmentation couplés aux politiques de prévention
des menaces contribuent à limiter les déplacements latéraux des
menaces. En cas de trafic entre VPC dans différentes régions
d’Internet, il peut être intéressant d’activer le cryptage pour
renforcer la protection.

V
SE M-
RIE
S

C4
Segmentation des
applications et des
V
données pour des
SE M-
RIE raisons de sécurité
Extension sécurisée S

et de conformité
du centre de données C4
dans AWS

La mise en liste blanche

des applications et les
VM-SERIES

politiques de prévention C4
des menaces protègent
le périmètre d’AWS
PA
NOR
AM Application de politiques
A
cohérentes sur le réseau,
dans le cloud AWS et sur
vos appareils

Palo Alto Networks | Fiche technique 3

Options de licences flexibles
Le pare-feu VM-Series pour AWS prend en charge les licences BYOL (Bring Your Own License) et les licences basées sur l’utilisation.
• Licences BYOL : Tous les modèles de pare-feu VM-Series, ainsi que les abonnements et services d’assistance correspondants peuvent être
achetés via les réseaux de distribution traditionnels de Palo Alto Networks, puis déployés à l’aide de la console de gestion AWS.
• Licences basées sur l’utilisation : Achetez le pare-feu VM-Series, puis sélectionnez les offres d’abonnement et de services d’assistance
proposées dans le cadre d’un abonnement annuel ou horaire sur l’AWS Marketplace.

ºº Contenu de l’offre 1 : Licence du pare-feu VM-300, abonnement Threat Prevention (inclut des fonctions de prévention des intrusions
(IPS), d’antivirus et de prévention contre les logiciels malveillants) et services d’assistance Premium.

ºº Contenu de l’offre 2 : Licence du pare-feu VM-300, abonnement Threat Prevention (inclut des fonctions de prévention des intrusions
(IPS), d’antivirus et de prévention contre les logiciels malveillants), service WildFire™ de renseignements sur les menaces, filtrage des
URL, abonnements à GlobalProtect et services d’assistance Premium.

4401 Great America Parkway Santa Clara,
CA 95054
Accueil téléphonique : +1.408.753.4000
Service commercial : +1.866.320.4788
Assistance : +1.866.898.9087
© 2016 Palo Alto Networks, Inc. Palo Alto Networks est une marque
déposée de Palo Alto Networks. La liste de nos marques est disponible
sur le site http://www. paloaltonetworks.com/company/trademarks.
html. Toutes les autres marques mentionnées dans le présent document
appartiennent à leur propriétaire respectif. vm-series-for-awsds-072816

www.paloaltonetworks.com