LIVRE BLANC
Création d’une Security Fabric pour le réseau d’aujourd’hui
Les solutions de firewall pour les grandes
entreprises (Enterprise Firewall) doivent être
sans frontières, comme l’entreprise
Les professionnels de la sécurité des grandes entreprises
s’inquiètent de l’extension de la surface d’attaque, qui couvre le
réseau, les applications, les données et les utilisateurs dans un
environnement sans frontières.
Le personnel mobile, le datacenter, les clouds publics et privés,
et l’Internet des objets (IoT) ont considérablement élargi la surface
d’attaque tout en rendant sa définition et sa sécurité beaucoup
plus complexes. Par exemple, les dispositifs IoT dépendent du
réseau d’accès pour la sécurité. Et bien que les logiciels en tant
que service (SaaS) et l’infrastructure en tant que service (IaaS) aient
généralement été acceptés par les entreprises, l’utilisation non
sanctionnée d’applications informatiques fantômes tierces menace
la sécurité des données.
Renouvellements/mises à niveau des firewalls : guidés par les menaces
1990
Filtres de paquet Firewall à filtrage dynamique
Figure 1. Chronologie de l’évolution des technologies de firewall
www.fortinet.com
Le périmètre de l’entreprise a été élargi au point de devenir
méconnaissable.
Lorsque les entreprises se développent, parfois en en acquérant
d’autres, elles se rendent compte que plusieurs produits de
sécurité de différents fournisseurs sont déployés en interne.
Malheureusement, dans ce type d’« architecture accidentelle », les
produits de sécurité ne communiquent pas entre eux et doivent être
gérés séparément, ce qui accroît la complexité et crée des failles
de sécurité.
Comment en sommes-nous arrivés là : les
architectures accidentelles d’aujourd’hui
Pour découvrir comment nous en sommes arrivés là, examinez la
chronologie de la Figure 1 et suivez les principaux développements
des technologies de sécurité réseau au cours de ces deux
dernières décennies.
2016
Firewall d’application UTM NGFW Enterprise Firewall
1
LIVRE BLANC : Solution Enterprise Firewall de Fortinet
Filtrage de paquets
Au début des années 90, l’une des premières technologies de
firewall (appelée filtres de paquet) a été mise sur le marché et a
permis aux routeurs et aux switchs, les principaux dispositifs à en
être dotés, de filtrer certains protocoles et adresses IP. Une version
améliorée des filtres de paquet, appelée l’inspection à états, a
ensuite été développée.
Firewall à filtrage dynamique
Contrairement aux filtrage de paquets simple, le firewall à filtrage
dynamique était capable de conserver des informations d’état qui
lui permettaient d’appliquer une méthodologie d’inspection plus
sûre. Le filtrage dynamique était certes efficace pour effectuer
des contrôles dans les couches basses de la pile OSI, mais pas
pour comprendre et sécuriser les données au niveau de la couche
d’application.
Firewall d’applications, IPS et Web Filtering
Quelques années plus tard, des firewalls d’applications ont été
conçus pour comprendre certains protocoles et applications
courants dans les environnements d’entreprise. Bien que
les firewalls d’applications soient parfaitement capables de
comprendre et de déchiffrer le trafic HTTP (Web) ou SMTP
(messagerie), ils peuvent affecter les performances réseau et
nécessitent d’importants réglages et mises à jour pour fonctionner
correctement. La reconnaissance du contexte des applications est
également à l’origine du développement de solutions de sécurité
individuelles, telles que les systèmes de prévention des intrusions
(IPS) et les produits de filtrage Web, qui sont devenus des produits
de sécurité dédiés.
Les responsables de la sécurité des entreprises déployaient
généralement l’inspection à états et des firewalls d’applications
comme principales défenses pour leur périmètre. Cela a créé
une complexité excessive et des problèmes de gestion et de
configuration entre les différentes technologies de sécurité réseau.
Firewall de gestion unifiée des menaces
Vers l’an 2000 est apparue la technologie de gestion unifiée des
menaces (UTM), qui permet de combiner, traiter et gérer l’inspection
à états et l’inspection des applications sur une seule plate-forme.
Le firewall UTM (comme l’a baptisé IDC) désignait un produit
de sécurité tout-en-un combinant un firewall réseau et d’autres
technologies d’inspection basées sur les applications, telles
que l’IPS, le Web Filtering, l’antispam et l’antivirus, dans un
seul format.
Comme les firewalls UTM tout-en-un nécessitaient un important
traitement, ils ont été adoptés par les PME ayant de faibles besoins
en bande passante. Toutefois, en raison des économies offertes
et de la consolidation des différentes technologies de sécurité des
applications, les départements informatiques de ces entreprises
soumises à des restrictions budgétaires ont plébiscité cette solution.
Les firewalls UTM n’offrant pas la granularité et les contrôles dont
les entreprises avaient besoin pour certaines des fonctions de
sécurité les plus avancées (IPS, Web Filtering, antispam, etc.), les
grandes entreprises ont continué à utiliser leur modèle de défense
existant, avec un firewall à états et différentes technologies
de sécurité basées sur les applications, le tout déployé dans
leur périmètre large. Et comme tous les contrôles de sécurité se
trouvaient dans des silos, cela n’a pas résolu le problème de la
multiplicité des points de gestion ni simplifié l’administration des
solutions multifournisseurs.
Firewall de nouvelle génération (NGFW)
La technologie NGFW, une terminologie apparue à la fin de l’an
2000 et forgée par l’agence d’analyse Gartner, est basée sur le
concept UTM d’une solution de sécurité tout-en-un, mais elle
est davantage tournée vers les exigences d’évolutivité des
grands environnements d’entreprise. Pendant de nombreuses
années, la technologie NGFW a étendu les fonctions de sécurité
des applications en augmentant les niveaux de contrôle et de
granularité que les experts en sécurité d’entreprise recherchaient.
En plus d’offrir plus de contrôles de sécurité, la technologie NGFW
a augmenté la puissance de traitement de la sécurité réseau afin
de fournir le débit élevé nécessaire aux grands environnements.
La technologie des firewalls doit évoluer
avec l’entreprise sans frontières
Bien qu’ils utilisent toujours principalement les technologies UTM et
NGFW pour défendre le périmètre de l’entreprise, les responsables
de la sécurité savent que ce périmètre change constamment. Les
grandes entreprises ne se définissent plus par la taille ou l’empreinte
de leur réseau ; elles doivent également prendre en compte les
utilisateurs et les besoins de déploiement.
Nous sommes aujourd’hui entrés dans une nouvelle ère pour la
technologie des firewalls. Dans l’entreprise sans frontières, bien que
les besoins changent, les auteurs des menaces ciblent les failles
généralement créées par un manque d’investissements dans la
sécurité informatique. Il s’agit de l’une des principales raisons pour
lesquelles les entreprises subissent encore des violations.
Le degré de sophistication des attaques ne cessant d’évoluer, les
fonctionnalités de base des technologies de firewall ne peuvent
plus se limiter aux applications et au trafic réseau, mais doivent
couvrir toute la surface des menaces. C’est ce qui guide l’évolution
technologique des firewalls.
La concentration de plusieurs fonctions de sécurité dans une seule
unité de firewall crée des problèmes de configuration et augmente
le risque que des incidents ne soient pas journalisés et que des
violations ne soient pas détectées. La complexité nuit à la sécurité.
En plus de rendre la sécurité plus efficace, les professionnels de la
sécurité d’entreprise cherchent à améliorer la compatibilité entre les
formats, à consolider les zones de sécurité, à accroître la fiabilité
des performances réseau et à simplifier la gestion de la sécurité,
idéalement via une interface unique.
2
LIVRE BLANC : Solution Enterprise Firewall de Fortinet

Création d’une défense collaborative pour combattre le feu par le feu

Lorsque les entreprises ajoutent des couches de défense supplémentaires, peu importe la rapidité avec laquelle les menaces sont détectées
lorsque les opérateurs de la sécurité doivent manuellement passer en revue plusieurs journaux avant d’identifier les incidents et d’y réagir.
Songez à la violation de données subie par Target il y a deux ans. Pour Target, tous les systèmes étaient en place, parmi lesquels plusieurs
solutions de sécurité dernier cri. Malgré cela, le responsable de la sécurité a été pris au dépourvu, car les informations sur la violation étaient
enfouies dans des journaux manuels.
Ces opportunités manquées sont fréquentes aujourd’hui, comme le montre la récente violation subie par Verizon, qui impliquait une porte
dérobée apparente dans sa base de données MongoDB. Comme l’a expliqué Brian Krebs, cette vulnérabilité « a permis à un membre
important d’un forum de cybercriminels clandestins étroitement surveillés de publier un nouveau fil de discussion annonçant la vente d’une
base de données contenant les coordonnées de quelque 1,5 million de clients de Verizon Enterprise1 ». Pour obtenir d’autres études de
violations mettant en lumière les défis actuels de la sécurité, consultez le rapport annuel « Data Breach Investigations Report (DBIR) »
de Verizon2.
Les cas d’utilisation ci-dessus illustrent la nécessité d’adopter une stratégie de défense collaborative basée sur les produits de sécurité.
Comment la technologie de firewall de nouvelle génération peut-elle cesser d’être une solution individuelle pour un seul point d’entrée et de
sortie d’un réseau pour devenir une solution capable de reconnaître l’ensemble de la surface d’attaque et de réagir ?
La Figure 2 montre comment les cybercriminels exploitent les processus collaboratifs. Comme vous pouvez le constater, plusieurs étapes,
telles que la fourniture, l’exploitation et l’installation d’un code malveillant, ne prennent que quelques millisecondes. C’est le cas, par exemple,
d’une attaque DDoS, où des bots automatisés lancent une attaque concertée pour submerger des serveurs jusqu’à ce qu’ils cessent de
fonctionner correctement.

Préparation Intrusion Violation active

Cyber-militarisation Exploitation Contrôle et Pilotage (C2)

Association d'une Exploitation d’une Canal de commande

Cyber
porte dérobée et d'une vulnérabilité pour pour la manipulation à
attaque dans une exécuter le code sur le distance du système de
charge utile livrable. système de la victime la victime

Kill
Chain Reconnaissance
Récolte d’adresses
e-mail, d’informations
Conduite d'attaque
Livraison du fichier infecté
à la victime via la messagerie,
Installation
Installation
du code
Action sur Cible
Accès au clavier par
les intrus
sur les conférences, etc. le Web, l'USB, etc. malveillant dans
le système

Délai Heures ou mois Secondes Mois

Basé sur la chaîne de cybercriminalité de Lockheed Martin

Figure 2. Le processus de cyberattaque militarisée

Comme le montre la Figure 3, l’écosystème de la cybercriminalité est basé sur l’organisation, la réactivité et le partage des informations, ce
qui n’est pas le cas de la plupart des réseaux sans frontières. Les entreprises doivent combattre le feu par le feu, ou la collaboration par la
collaboration, et connecter et partager la sécurité, de la même façon que les cybercriminels connectent et partagent les logiciels malveillants
requis pour les utilisateurs sans fil sur le réseau.

1
Crooks Steal, Sell Verizon Enterprise Customer Data, KrebsonSecurity, 24 mars 2016
2
Verizon 2015 Data Breach Investigations Report (DBIR), Verizon, 2015

3
LIVRE BLANC : Solution Enterprise Firewall de Fortinet

FOURNISSEURS DE SERVICES DE CYBERCRIMINALITÉ

Écosystème de la
cybercriminalité Assurance qualité
Chiffreurs / Packers
Hébergement
Infections / Gestion Locations de botnets
Installations / Spam
Blanchisseurs de fonds
Créances clients
Conseil
des zones de rejet
Scanners / SEO / DDoS

Comptes CYBERCRIMINALITÉ AGGRAVÉE

bancaires

Identifiants
et données

Propriétés Organisations Ventes, licences,

numériques Victimes criminelles maintenance Filiales
Partenariats

PRODUCTEURS DE
LOGICIELS MALVEILLANTS

Copier-coller

Exploits Packers Plates- Mobile

formes
Développeurs Développeurs
senior junior Programmes affiliés
spéciales Code source
FakeAV / Rançongiciels / Botnets

Figure 3. Écosystème de la cybercriminalité

Les trois domaines fonctionnels clés de la solution Enterprise Firewall de Fortinet

Les domaines fonctionnels clés de la solution de firewall d’entreprise Fortinet fonctionnent à l’unisson pour éliminer la complexité et renforcer
la sécurité, comme illustré dans la Figure 4. Chaque domaine fonctionnel est décrit ci-dessous.

n API
Orchestration Gestion centrale Segmentation n Configuration et visibilité
Gestion

automatisée évolutive granulaire n Intégrations SDN et SIEM

n Enregistrements et rapports
n Interfaçage réseau
n Domaines virtuels…
Visibilité avec contexte et action sur simple clic
Politique et contrôle

Système de prévention Logiciels malveillants

Sécurité

n n

des intrusions n Contenu Web

n Application Control n Authentification…
VFW CFW n ID d’utilisateur/de
NGFW DCFW ISFW NGFW dispositif

Machine Mise en réseau

n Partage d’informations sur les menaces
virtuelle n Collaboration sur le réseau et la sécurité
Cloud
n Communications IP vers IP
n Partenaires d’alliance…
Fabric

Appliance

Figure 4. Les trois domaines fonctionnels du Enterprise Firewall de Fortinet

Gestion
Ce domaine couvre tout ce qui a trait à la gestion, au provisioning
et au contrôle automatisés de la solution de firewall, depuis
l’orchestration des API jusqu’à la création de domaines virtuels, en
passant par la structuration des mécanismes d’enregistrement. Les
superpositions de couches de gestion centrale évolutive peuvent
être consolidées pour réduire la complexité ou étendues pour fournir
une visibilité contextuelle via l’automatisation en un clic. Cette
interface unique fournit aux responsables de la sécurité un point
de référence fiable pour les enregistrements, la configuration et les
rapports liés à la sécurité.
Le partage d’informations et de données sur les menaces au sein
de l’entreprise via des API réduit les temps de réponse aux incidents
et les risques en permettant aux responsables de la sécurité
d’unifier la configuration des politiques de sécurité au niveau de leur
infrastructure.

4
LIVRE BLANC : Solution Enterprise Firewall de Fortinet

Sécurité
Les divers modes de déploiement et fonctions de sécurité sont
appliqués dans ce domaine. Les facteurs suivants sont à prendre
en compte : s’agit-il d’un déploiement de firewall de datacenter
ou d’un déploiement de firewall de segmentation interne ? Quelles
technologies d’inspection de sécurité devront être mises en œuvre ?
Une inspection des logiciels malveillants est-elle requise ? Qu’en
est-il de l’Application Control ?
Un environnement de sécurité consolidé contribue à réduire ou à
prévenir les incidents de sécurité avec des modules de sécurité
multicouches et maintient les attentes en matière de performances
tout en étant capable d’appliquer des niveaux approfondis
d’inspection.
Fabric
Dans ce domaine, la solution de firewall s’interface et se met en
réseau avec les éléments de communication et collaboration
contenus dans la fabric pour déterminer quelles informations sur
le réseau sont partagées au sein de l’entreprise. Fortinet appelle
cette solution la Fortinet Security Fabric. Les informations sur
les menaces sont transmises à une politique créée dans une
section de la Security Fabric, qui est ensuite appliqué de façon
contextuelle à l’ensemble de l’entreprise, ce qui réduit la nécessité
de disposer de plusieurs points de contact et politiques dans
toute l’infrastructure.
La Fortinet Security Fabric peut également étendre les contrôles de
sécurité au-delà de la couche réseau à la couche d’accès, où réside
le terminal, et à la couche d’application, où les services de données
et d’informations sont présentés.
La « Security Fabric » fonctionne comme une interface de
communication pour la technologie de firewall d’entreprise
actuelle. Cette stratégie aide les entreprises à bâtir une véritable
infrastructure de défense collaborative de bout en bout. Lorsque
la technologie de firewall d’entreprise communique avec la
Fortinet Security Fabric, elle détermine quelles informations seront
partagées dans l’entreprise. Par exemple, lorsqu’un logiciel
malveillant est détecté dans une zone, la Security Fabric partage
les informations sur les menaces avec le reste de l’infrastructure
d’entreprise. Autre exemple : lorsqu’une politique est créée dans
une section de la Security Fabric, elle est appliquée de façon
contextuelle à l’ensemble du domaine. Cette interconnexion réduit
la nécessité de disposer de plusieurs points de contact et politiques
dans l’entreprise.
La solution Enterprise Firewall de Fortinet, telle qu’illustrée dans
la Figure 5, et la Fortinet Security Fabric créent une défense
immédiate, réactive et intelligente contre les logiciels malveillants
et les menaces émergentes. Ils forment l’épine dorsale de
l’infrastructure de sécurité du réseau d’entreprise.

OS
rity
Secu
twork
Ne
gle
Sin CFW

Clo
ud Ind
ard
FW
us
rt iGu (IC triel
S)
Fo
NGFW

Sit
ed
ista
nt
PS FW ISFW
SWG Cœ
ur Op CCFW
éra
teu
r

UTM

Fili
ale VFW
Da
tac DCFW
en
ter

Figure 5. Solution Enterprise Firewall

5
LIVRE BLANC : Solution Enterprise Firewall de Fortinet

Enterprise Firewall: stratégies

et modes de déploiement Couche d’accès

Lors de la définition d’une stratégie de déploiement, il est important

de prendre en compte non seulement la localisation du périmètre Firewall d’entreprise
Couche unique Cœur fédérateur

multi-sites
(points WAN /LAN), mais également la façon dont les logiciels
malveillants pourraient accéder aux données et aux systèmes les N
VP VPN
plus sensibles. Malgré leurs localisations différentes, le datacenter Se
rvic
es Int Int
ern ern
et l’entreprise multi-sites sont tout aussi importants que votre Firewall de cloud pu de c
blic lou
d
et et Couche WAN

VP
périmètre d’entreprise et vos installations centrales, et doivent faire N VPN

l’objet des mêmes exigences de sécurité. Les attaquants supposent

que les niveaux de sécurité seront plus faibles sur ces sites, ce qui Firewall nouvelle génération Couche centrale

en fait des cibles de choix.

Couche
Au lieu de fonctionner dans des silos, le firewall pour les grandes Firewall de datacenter de distribution
Parc de serveurs
entreprises font partie de la Fortinet Security Fabric. Plus nombreux
sont les firewalls déployés dans des emplacements stratégiques Couche d’accès
Internal Segmentation Firewall
communiquant entre eux au sein de votre infrastructure de réseau
sans frontières, plus rapide sera votre réponse et votre neutralisation
des violations.
L’emplacement du firewall dans l’environnement réseau est essentiel
pour sélectionner le mode de déploiement, comme illustré dans la
Figure 6. Mode de déploiement des firewalls d’entreprise
Figure 6. Par exemple, sera-t-il déployé dans un datacenter, où les
serveurs doivent être protégés à de très hauts débits, ou ce firewall
est-il destiné à protéger quelques centaines d’utilisateurs dans un
siège social ?
Les responsables de la sécurité voudront automatiser l’infrastructure de sécurité et la réponse, car les réponses automatisées sont plus
rapides que les réponses humaines. Toutefois, l’automatisation nécessite d’effectuer une planification préalable et de sélectionner la bonne
technologie sous-jacente pour mettre en œuvre une Security Fabric. Assurez-vous que la solution de sécurité réseau constitue la pierre
angulaire de cette phase de planification stratégique.

Solution Enterprise Firewall de Fortinet

La Fortinet Security Fabric pour le réseau sans frontières
La solution Enterprise Firewall de Fortinet améliore l’efficacité de la sécurité et réduit la complexité en consolidant les technologies de sécurité
réseau de toute l’infrastructure, quel que soit l’emplacement ou la localisation du système au sein de l’entreprise étendue. La solution offre
un niveau élevé de performances réseau fiables et la Fortinet Security Fabric permet aux responsables de la sécurité d’adopter une approche
holistique de la sécurité, avec une visibilité et un contrôle gérés via une interface unique.
Aujourd’hui, les auteurs de menaces peuvent frapper partout et à tout moment. Cela signifie que les professionnels de la sécurité d’entreprise
doivent développer des stratégies et une structure de défense avec la même mentalité que s’ils élaboraient des scénarios de guerre. Les
entreprises doivent consolider leurs défenses en déterminant où se trouvent leurs ressources stratégiques et réagir rapidement en appliquant
une sécurité et une surveillance continues sur le réseau sans frontières.
En adoptant une approche plus collaborative à l’échelle de l’infrastructure, les responsables de la sécurité réseau peuvent mettre en place
une stratégie de défense étendue et dynamique pour le long terme.

France SIÈGE SOCIAL SUCCURSALE EMEA SUCCURSALE APAC SUCCURSALE AMÉRIQUE

TOUR ATLANTIQUE INTERNATIONAL 905 rue Albert Einstein 300 Beach Road 20-01 LATINE
11ème étage, 1 place de la Fortinet Inc. 06560 Valbonne The Concourse Paseo de la Reforma 412
Pyramide 899 Kifer Road France Singapour 199555 piso 16
92911 Paris La Défense Sunnyvale, CA 94086 Tél. : +33 4 8987 0500 Tél. : +65.6513.3730 Col. Juarez
Cedex États-Unis C.P. 06600
France Tél. : +1.408.235.7700 Mexique D.F.
Ventes: +33-1-8003-1655 www.fortinet.com/sales Tél. : 011-52-(55) 5524-8428
Copyright © 2016 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres noms Fortinet mentionnés dans le présent document peuvent
également être des marques déposées et/ou des marques de droit commun de Fortinet. Tous les autres noms de produit ou d’entreprise peuvent être des marques commerciales de leurs détenteurs respectifs. Les données de performances et autres
indicateurs de mesure figurant dans le présent document ont été obtenus au cours de tests de laboratoire internes réalisés dans des conditions idéales, et les performances et autres résultats réels peuvent donc varier. Les variables de réseau, les
différents environnements réseau et d’autres conditions peuvent affecter les performances. Aucun énoncé du présent document ne constitue un quelconque engagement contraignant de la part de Fortinet, et Fortinet exclut toute garantie, expresse ou
implicite, sauf dans la mesure où Fortinet conclut avec un acheteur un contrat écrit exécutoire, signé par le directeur des affaires juridiques de Fortinet, qui garantit explicitement que les performances du produit identifié seront conformes à des niveaux
de performances donnés expressément énoncés et, dans un tel cas, seuls les niveaux de performances spécifiques expressément énoncés dans ledit contrat écrit exécutoire ont un caractère obligatoire pour Fortinet. Dans un souci de clarté, une telle
garantie sera limitée aux performances obtenues dans les mêmes conditions idéales que celles des tests de laboratoire internes de Fortinet. Fortinet rejette intégralement toute convention, déclaration ou garantie en vertu des présentes, qu’elle soit
expresse ou implicite. Fortinet se réserve le droit de changer, de modifier, de transférer ou de réviser par ailleurs la présente publication sans préavis, et c’est la version la plus à jour de la publication qui est applicable.
2 mai 2016