The Practical Guide To Migrating Security To A Sase Model FR

Guide pratique
de la migration de la
sécurité vers un
modèle SASE
Alex Ciobanu
Sommaire
Chapitre 1 – SASE : nouveau paradigme des
réseaux et de la sécurité
• Introduction
• Qu’est-ce que le SASE ?
• Transformation de la sécurité : quel est l’intérêt du SASE ?
• Cas d’usage du SASE avec Prisma Access
Chapitre 2 – Orchestration des déploiements

SASE avec Prisma Access
• Sécurisation des utilisateurs mobiles
• Sécurisation des réseaux distants
Chapitre 3 – Bonnes pratiques de migration

• Les clés d’un déploiement efficace de Prisma Access
Chapitre 4 – Migration de solutions pare-feu

et VPN traditionnelles vers Prisma Access
• Mise en route de la migration
• Migration d’équipements Check Point vers Prisma Access
• Migration d’équipements Cisco ASA vers Prisma Access
• M
igration de solutions VPN traditionnelles vers
Prisma Access
Chapitre 5 – Transition d’un réseau WAN

vers un modèle SASE
• Lacunes des WAN traditionnels
• Intégration de Prisma Access au SD-WAN
• Intégration de Prisma Access à Prisma SD-WAN
• SD-WAN avec accès Internet direct à Prisma Access
• D-WAN avec architecture hub-and-spoke régionale
S
et Prisma Access
Chapitre 1
SASE : une révolution des
réseaux et de la sécurité
Introduction
À mesure qu'elles adoptent le cloud et la mobilité, les entreprises
doivent aujourd’hui repenser leur manière de voir le réseau et la
sécurité. Et pour cause : la transformation numérique et l’essor
du télétravail continuent d’accélérer l’adoption du cloud tout en
augmentant le nombre d’utilisateurs et d’applications situés hors
du périmètre. Les architectures traditionnelles, basées sur le
réacheminement du trafic vers le data center (backhauling), n’ont
en conséquence plus lieu d’être. Bien que de nouvelles offres de
sécurité web en mode cloud aient fait leur apparition, celles-ci ne
résolvent qu’une partie du problème. Quant à la nouvelle généra-
tion de solutions de sécurisation des accès, elle se heurte souvent
à certaines limites qui l’empêchent de satisfaire pleinement les
besoins des télétravailleurs :
• Toutes les applications ne sont pas prises en charge, ce qui
augmente le risque de compromission de données.
• L’absence d’une solution de sécurité complète et éprouvée
expose les entreprises aux menaces avancées.
• Les niveaux d’accès et de performance diffèrent d’une session
à l’autre, ce qui accroît la frustration des utilisateurs ainsi que
la charge de travail des équipes de support IT.
Il est grand temps que les choses changent.
Conscientes de cet enjeu, les entreprises se tournent de plus
en plus vers le Secure Access Service Edge (SASE), un concept
qui fusionne les services réseau et de sécurité dans le cloud. Ce
guide vous en présente les principaux avantages et vous livre des
conseils utiles pour migrer d’une architecture traditionnelle vers
un modèle SASE à l’aide de Prisma® Access de Palo Alto Networks.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 3
Qu’est-ce que le SASE ?
Le SASE désigne la convergence du SD-WAN (Software-Defined
Wide Area Network) et des fonctions de sécurité – FWaaS (Firewall
as a Service), SWG (passerelle web sécurisée), CASB (Cloud Access
Security Broker) ou encore ZTNA (Zero Trust Network Access) –
vers un service centralisé dans le cloud. Ce modèle vise à garan-
tir à tous les utilisateurs, applications et équipements un accès
sécurisé et homogène, peu importe où ils se trouvent.
Grâce à l'architecture SASE la plus aboutie du marché,
Palo Alto Networks a révolutionné la façon dont les entreprises
transforment leur infrastructure réseau et sécurité. D'un côté,
Prisma Access, une plateforme de sécurité basée dans le cloud,
qui protège l’ensemble du trafic, des applications et des utilisa-
teurs. De l’autre, Prisma SD-WAN, une plateforme réseau en mode
cloud qui exploite le machine learning et l’automatisation pour
simplifier la connectivité WAN et fournir une expérience utili-
sateur irréprochable. L’intégration parfaite entre Prisma Access
et Prisma SD-WAN protège les télétravailleurs à grande échelle.
Ensemble, ces deux plateformes forment la solution SASE la plus
complète du marché.
Transformation de la sécurité :
quel est l’intérêt du SASE ?
Les technologies de sécurité réseau traditionnelles ne sont pas
conçues pour assurer la protection des télétravailleurs contre les
cybermenaces actuelles. Les pare-feu et proxys web classiques,
quant à eux, sont incapables d'inspecter et de contrôler de façon
homogène l’ensemble du trafic mondial des entreprises.
Autre problème : les architectures d’ancienne génération, inadap-
tées au cloud, peinent à protéger les sites distants et les points de
vente. Pour chaque entité indépendante connectée au réseau, il
faut donc établir une nouvelle architecture, déployer de nouvelles
politiques et configurer de nouvelles interfaces. Hormis la charge
administrative, les coûts et la complexité que cette approche
entraîne, elle laisse apparaître des trous béants dans la sécurité.
Le SASE s’appuie sur une plateforme unifiée capable de répondre
à vos différents cas d'usage. Par exemple, votre entreprise peut
être confrontée à des enjeux immédiats comme la connexion à
distance des collaborateurs, l’accès Internet direct de vos filiales
ou encore l’amélioration de la sécurité web. Grâce à la plateforme
modulaire de Prisma Access, vous pouvez commencer par régler
le cas d’usage le plus urgent, puis passer à d'autres en fonction
des priorités.
Cas d’usage du SASE avec
Prisma Access
Prisma Access repose sur différents services pour assurer la
protection des réseaux et des utilisateurs (voir figure 1).
Internet SaaS Cloud public Siège/data center
Gestion autonome de l’expérience numérique (ADEM)

Éclairages pour Remédiation
chaque segment automatique
Couche SECaaS
FWaaS CASB ZTNA SWG cloud

Prisma®
Access
Site distant/magasin Domicile Smartphone
Figure 1 : Architecture Prisma Access
Avec Prisma Access, les utilisateurs mobiles bénéficient d’une
solution de sécurité cloud complète qui leur permet de se connec-
ter à toutes leurs applications, peu importe où ils se trouvent.
Notre plateforme prend en charge les équipements gérés et non
gérés, ce qui garantit une sécurité homogène et un accès trans-
parent à toutes les ressources de l’entreprise – qu’elles soient
situées dans le cloud, en data center ou dans une configuration
hybride – tout en optimisant l’expérience utilisateur. S’inscri-
vant dans une approche ZTNA, Prisma Access gère la connexion
aux applications et services à l’aide de politiques de contrôle des
accès bien définies, comprenant la surveillance post-connexion
des menaces et la détection des signes de perte de données ou de
compromission d’identifiants.
Cloud public/ Cloud public/

SaaS/Internet SaaS/Internet
Data center Utilisateurs Data center Utilisateurs

(cloud privé) mobiles (cloud privé) mobiles
Sans Prisma Access Avec Prisma Access

Le trafic d’accès distant par VPN Le trafic d’accès distant par VPN
passe par le data center passe par le cloud SASE
Figure 2 : Cas d’usage de la sécurité des utilisateurs mobiles
Prisma Access offre une connectivité et une sécurité homogènes
à vos filiales et autres sites distants. La solution exploite les
avantages du cloud pour simplifier le déploiement, la gestion et
l’application des politiques de sécurité, tout en raccourcissant le
délai de rentabilisation. Les entreprises s'affranchissent ainsi de
la complexité et des coûts administratifs habituellement liés à la
gestion de la connectivité WAN et de la sécurité à grande échelle.

MPLS
Data center Data center
(cloud privé) (cloud privé)

Le trafic des filiales passe par Les filiales se connectent au data
le data center via un réseau MPLS privé center et au cloud via le SASE
Figure 3 : Cas d’usage de la sécurité des réseaux distants
Pour approfondir
Retrouvez plus d’informations sur notre page web Prisma Access.
Chapitre 2
Orchestration des déploiements
SASE avec Prisma Access
Sécurisation des utilisateurs mobiles
Face à l’essor du télétravail, les professionnels ont plus que jamais
besoin d’un accès distant performant et sécurisé à leurs applica-
tions. Les entreprises doivent en outre protéger ces applications
contre les accès non autorisés, les menaces ou encore les utilisa-
teurs malveillants.
Mais à l’image des VPN classiques, les approches traditionnelles
manquent de l’évolutivité, de la capacité et des fonctionnalités de
sécurité inline nécessaires. Prisma Access élimine chacun de ces
problèmes par des services cloud distribués à l’échelle mondiale
et intégrant une haute disponibilité, une évolutivité automatique
et une inspection inline de la sécurité.
Grâce à cette plateforme, les utilisateurs bénéficient d’un accès
ubiquitaire, sécurisé et ininterrompu à toutes les applications
dans le cloud, sur Internet et en data center. Partout dans le
monde, vos collaborateurs bénéficient d’une passerelle cloud
optimale et d’une sécurité uniforme, y compris dans les régions
où vous ne disposez pas d’un réseau local.
Prisma Access adopte une approche ZTNA afin d’octroyer aux
utilisateurs l’accès aux seules applications dont ils ont besoin,
conformément aux politiques établies par l’entreprise. De plus,
l’inspection inline du trafic permet de prémunir votre infrastruc-
ture contre les menaces et la perte de données, protégeant ainsi
vos applications et vos données de tout accès non autorisé ou
d’activités potentiellement malveillantes.
Les fonctionnalités ZTNA de Prisma Access protègent également
vos applications contre l’exposition publique sur Internet, les
utilisateurs accédant à la Toile via la plateforme cloud. Une fois vos
collaborateurs authentifiés grâce à la technologie User-ID™, leurs
droits d'accès restent soumis aux politiques en couche L7 grâce
aux informations d’identification d’App-ID™, à la vérification du
rôle et au type de terminal utilisé. L’inspection post-connexion
permet enfin d’analyser les menaces et de surveiller les signes
potentiels de perte de données et de vols d’identifiants.

Data center Utilisateurs Data center Utilisateurs

(cloud privé) mobiles (cloud privé) mobiles

Les VPN d’accès à distance n'ont pas été L’infrastructure cloud connecte les utilisateurs
conçus pour les applications cloud aux applications cloud et au data center
Figure 4 : L’infrastructure cloud permet d’assurer une sécurité homogène
Les utilisateurs ont le choix entre ces trois méthodes pour

connecter leur smartphone, leur tablette ou leur ordinateur
portable à Prisma Access :
• Agent GlobalProtect – ce client établit automatiquement un
tunnel sécurisé vers Prisma Access en utilisant la meilleure
passerelle possible. Pour appliquer l'approche ZTNA, l’agent
GlobalProtect établit en outre un profilage à partir des infor-
mations recueillies sur les équipements et les utilisateurs.
• Sans client – accès distant sécurisé à partir d’un navigateur
web avec connexion SSL pour les appareils sans client. Cette
option est utile pour octroyer l’accès à un partenaire ou pres-
tataire externe, ainsi que pour sécuriser les équipements non
gérés dans des configurations BYOD (Bring Your Own Device).
• Fichiers PAC – cette méthode de connexion allie une approche
basée sur les proxys explicites à la sécurité de pointe de Pris-
ma Access.
Sécurisation des réseaux distants
Auparavant, les entreprises tablaient soit sur une connexion VPN,
soit sur une liaison MPLS pour fournir une connexion à distance
privée et sécurisée aux données, aux applications et à Internet.
Cloud public Internet SaaS
Data center/siège
Filiale Filiale Filiale
Figure 5 : L’approche traditionnelle du WAN
Cette architecture, comme le montre la figure 5, présente plusieurs

problématiques :
• Le trafic vers et depuis les filiales passe par le data center/
le siège pour y faire l'objet de contrôles de sécurité, ce qui
augmente la latence
• Les circuits MPLS sont chers et difficiles à gérer
• La communication entre les sites n’est pas sécurisée
En assurant la connexion de vos sites distants via des tunnels IPsec
ou le SD-WAN, Prisma Access fournit un accès direct et sécurisé
au cloud, aux fonctionnalités SaaS et aux ressources web partout
dans le monde. Chaque tunnel se connecte à l’un des nœuds
où sont exécutés les contrôles de sécurité cloud. Prisma Access
sécurise de plus l’accès de vos filiales au data center et au siège
via un tunnel IPsec distinct, appelée une connexion de service,
depuis le cloud Prisma Access.
Cloud public/
SaaS/Internet
Connexion de service
Réseau
distant
Data Center
(cloud privé)
Figure 6 : Accès au cloud sécurisé, partout dans le monde
La figure 6 montre comment les réseaux distants se connectent

à Prisma Access. Le routage statique et le protocole BGP (Bor-
der Gateway Protocol) sont tous deux pris en charge. La fi-
gure 7 illustre le cas d’une configuration à routes statiques, que
Prisma Access redistribue afin de permettre aux autres res-
sources et utilisateurs du réseau d’atteindre le site distant.
Site distant : West-RS01 Prisma Access

LAN Autres préfixes IP Infrastructure
10.50.1.0/24 10.5.0.0/16 172.16.56/24
Plus...
Connexion
réseau
tunnel.1 distante
Routes Routes
statiques statiques
Préfixe IP source Interface Préfixe IP source Interface
0.0.0.0/0 tunnel.1 10.50.1.0/24 West-R501
10.5.0.0/16 tunnel.1
10.50.0.0/16 tunnel.1
172.16.56.0/24 tunnel.1
Figure 7 : Connexion réseau distante à Prisma Access
L’utilisation de Prisma Access pour sécuriser les utilisateurs
mobiles et les réseaux distants offre des avantages à plusieurs
niveaux :
• Sécurité homogène et protection avancée contre les menaces –
vos politiques s’appliquent à l’ensemble du trafic, peu importe
où se trouvent vos utilisateurs.
• Prévention des pertes de données (DLP) – sécurisez vos
données sensibles en les catégorisant et en les protégeant lors
du transit entre les différents sites et utilisateurs.
• Sécurité DNS – l’analytique avancée et le machine learning
neutralisent les menaces tentant d’exploiter le système de
noms de domaines (DNS).
• Filtrage d’URL – vos politiques d'usage acceptable sont
appliquées et l’accès aux domaines malveillants est bloqué.
Pour approfondir
Consultez la documentation sur nos architectures de référence
Prisma Access
Chapitre 3
Bonnes pratiques de migration
Les clés d’un déploiement efficace

de Prisma Access
Suivez les bonnes pratiques décrites dans ce chapitre pour
renforcer la visibilité sur votre trafic, analyser continuellement
des activités potentiellement malveillantes, filtrer les URL et
offrir une couverture géographique mondiale à vos utilisateurs.
Ces fonctionnalités sont toutes disponibles en standard sur
Prisma Access.
Journalisation App-ID et User-ID Déchiffrement
Journalisation Identification des Visibilité complète

de l’ensemble applications et sur le trafic réseau
du trafic des utilisateurs
Threat Prevention URL Couverture

et WildFire Filtering mondiale
Protection active et Accès sécurisé à Plus de 100 points de

homogène contre les Internet via le blocage présence (PoP)
menaces, détection et des sites malveillants disponibles dans le
prévention automatique connus et inconnus monde entier
des malwares inconnus
Figure 8 : Bonnes pratiques de migration
1. Activez la journalisation sur toutes les
politiques de sécurité
Prisma Access utilise Cortex® Data Lake pour recueillir, intégrer
et transformer les données des journaux de sécurité. Pour
bénéficier d’une visibilité sur l’ensemble du trafic réseau, nous
vous conseillons vivement d’activer la journalisation sur toutes
les politiques de sécurité, anciennes (migrées) et nouvelles. Pour
ce faire, il vous suffit de configurer un profil de transfert des
journaux, puis de l’assigner aux politiques de sécurité.
Pour modifier la destination des journaux Prisma Access, par
exemple vers un système de gestion des informations et événe-
ments de sécurité (SIEM), vous pouvez utiliser une application
dédiée pour effectuer ce transfert depuis Cortex Data Lake.
Si vous migrez vos anciennes politiques de sécurité (cf. chapitre 4),
vous pouvez utiliser l’outil Expedition pour créer et assigner automa-
tiquement le profil à ces règles durant la migration. Cette option ne
s’applique qu’aux déploiements Prisma Access gérés via Panorama™,
notre plateforme d’administration de la sécurité réseau.
2. Configurez et activez Threat Prevention

et WildFire
Threat Prevention va plus loin qu’un système de prévention
d’intrusion (IPS) conventionnel : il inspecte l’ensemble du trafic
pour y détecter d'éventuelles menaces, peu importe le port, le
protocole ou l’application. Quant à WildFire®, notre service de
prévention des malwares, il analyse les menaces dans le cloud
afin de repérer les exploits zero-day et les malwares inconnus.
Threat Prevention et WildFire devraient être appliqués sur vos
règles de sécurité dès le premier jour. Cependant, une mise en
œuvre totale n’est pas toujours possible au départ. Dans ce cas,
nous vous conseillons vivement d’activer Threat Prevention et
WildFire en mode alerte, en attendant de pouvoir basculer vers
le mode blocage. Combiner Threat Prevention et WildFire, c’est
garantir à vos utilisateurs une protection active et homogène
contre les menaces connues et inconnues.
3. Configurez et activez URL Filtering
URL Filtering sécurise l’accès web de vos utilisateurs en tenant
compte de la catégorie, des fonctionnalités et du niveau de sécurité
du site. Ce service cloud s’appuie sur le machine learning et des
analyses statiques pour identifier et bloquer automatiquement les
sites malveillants et les pages de phishing. Il protège également
contre le vol d’identifiants en exerçant un contrôle draconien
sur les types de sites sur lesquels les utilisateurs peuvent saisir
leurs informations d’identification. Enfin, ce service vous permet
d’appliquer vos politiques de sécurité en fonction de différentes
catégories d’URL.
4. Activez App-ID et User-ID

Prisma Access utilise le moteur App-ID de Palo Alto Networks
pour identifier les applications traversant votre réseau, indépen-
damment du port, du protocole, de la technique de contourne-
ment ou du chiffrement (SSL/TLS ou SSH) utilisés. Nous vous
conseillons soit de transférer vos anciennes règles de sécurité
vers App-ID, soit d’en créer de nouvelles en activant ce service
d’identification. D’autre part, nous vous invitons à configurer
User-ID pour identifier les utilisateurs de votre réseau et ainsi
déterminer qui est autorisé à accéder aux applications.
5. Créez et déployez une stratégie de déchiffrement

Le déchiffrement est essentiel pour préserver le contrôle et la
visibilité sur votre réseau. C'est pourquoi Prisma Access offre un
déchiffrement complet de l’ensemble du trafic. Il convient donc
de mettre en place une stratégie de déchiffrement visant à identi-
fier l’ensemble des applications, empêcher le contenu chiffré
malveillant de pénétrer votre réseau et éviter que des données
sensibles n’en soient exfiltrées sous la forme de trafic chiffré.
Commencez par configurer les certificats dont Prisma Access a
besoin pour agir en tant que tiers de confiance habilité à déchiffrer
le trafic. Pour tout le reste, nous avons intégré des paramètres de
déchiffrement basés sur les bonnes pratiques. Si vous le souhai-
tez, vous pouvez même définir des exclusions, par exemple pour
du contenu sensible ou les sites connus pour tomber en panne
lors du déchiffrement.
6. Configurez des points d’accès au service dans
différentes régions
Prisma Access exploite le cloud public pour fournir aux entreprises
une couverture mondiale et des services à très grande échelle. Son
infrastructure comprend plus de 100 points de présence auxquels
pourront se connecter vos utilisateurs distants du monde entier. Vos
équipes en télétravail bénéficient donc d’un niveau de performance
et de sécurité accru, doublé d’une connexion optimale à vos
applications de data centers, vos clouds publics, vos applications
SaaS ainsi qu’à Internet. La figure 9 montre les différents points
de présence de Prisma Access sur chaque continent.
Figure 9 : Plus de 100 implantations dans 76 pays
La migration vers un modèle SASE requiert une planification

minutieuse ainsi que certains changements architecturaux. C’est
pourquoi vous avez tout intérêt à vous y prendre au plus tôt. Dans
le prochain chapitre, nous décrivons l’approche recommandée,
tant du point de vue du réseau que de la sécurité, pour transférer
vos architectures et produits vers un déploiement Prisma Access.
Chapitre 4
Migration de solutions pare-
feu et VPN traditionnelles vers
Prisma Access
Mise en route de la migration
Palo Alto Networks propose deux solutions pour déployer et gérer
Prisma Access :
• Gestion via Panorama : si vous utilisez déjà Panorama
pour gérer vos pare-feu nouvelle génération (NGFW)
Palo Alto Networks, cet outil vous permettra de déployer
Prisma Access et d'y appliquer vos politiques actuelles.
• Gestion dans le cloud – si vous n'utilisez pas Panorama ou
préférez opter pour une expérience d’intégration et de gestion
simplifiée, vous pouvez utiliser l’application Prisma Access,
disponible sur le hub Palo Alto Networks. Vous pourrez ainsi
octroyer rapidement un accès Internet à vos utilisateurs, puis
passer dans un second temps à la connectivité à vos différents
réseaux (siège, data center, filiales).
Les guides de migration proposés dans ce chapitre s’appuient sur
une gestion de Prisma Access via Panorama.
Lorsque vous migrez à partir de solutions pare-feu d’ancienne
génération, il est important de prendre en compte certains critères
de configuration. Sur les pare-feu traditionnels, chaque zone
de sécurité est associée à une interface. Prisma Access facilite
leur attribution en créant automatiquement les zones Approu-
vé (Trust), Non approuvé (Untrust) et VPN sans client (Client-
less). Ensuite, l’utilisateur n’a plus qu’à mapper les zones afin de
garantir l’application cohérente des politiques de sécurité :
• La zone Approuvé contient toutes les adresses IP, les
connexions de service et les utilisateurs de confiance au
sein du réseau d’entreprise (p. ex. les pools IP d’utilisateurs
mobiles, les sous-réseaux d’infrastructure, de data center et
de réseaux distants).
• La zone Non approuvé contient toutes les interfaces exposées
à Internet. Par défaut, chaque adresse IP ou utilisateur mobile
qui n’est pas approuvé atterrit dans cette zone.
• La zone VPN sans client permet de sécuriser l’accès à distance
(p. ex. l’accès de prestataires externes aux applications).
Non approuvé Approuvé
Approuvé
Non approuvé
Siège/data center
Approuvé
Internet
Réseau distant
Zone de poli- Mappage

Application Action
tique de sécurité de zone
Office 365 SaaS autorisés Non Autoriser

approuvé
Salesforce SaaS autorisés Non Autoriser

approuvé
Perforce Outils d'ing. Approuvé Autoriser
LDAP Applications DC Approuvé Autoriser
Figure 10 : Création automatique de zones dans Prisma Access
Les niveaux de transformation illustrés ci-dessous (figure 11)
offrent une transition transparente et sécurisée vers
Prisma Access. Ils réduisent les risques liés à la migration et
tracent un parcours d’adoption progressive des fonctionnalités
avancées (cf. chapitre 3).
Transformation
de niveau 1
Visibilité
sur le trafic non chiffré
• Migration des politiques L3/L4
• Création d’une stratégie de déchiffrement
• Déploiement d’User-ID
• Threat Prevention, URL Filtering
et WildFire activés en mode alerte
Transformation
Contrôle
de niveau 2
total sur tout le trafic pour réduire la
surface d’attaque
• Adoption de politiques L7
• Blocage des applications non approuvées
• Déploiement de la stratégie de
déchiffrement
• Threat Prevention, URL Filtering et
WildFire activés en mode blocage
Transformation Exécution
de niveau 3
de politiques de sécurité avancées
• Évolution et amélioration des politiques
• Segmentation des applications et des
utilisateurs
• Analyse des menaces / configuration /
nouvelle catégorisation / blocage au
« dernier kilomètre »
• Optimisation de la stratégie de
déchiffrement
Figure 11 : Niveaux de transformation
Migration d’équipements Check Point
vers Prisma Access
Dans cette section, nous nous penchons sur la migration des
politiques en couches L3 et L4, notamment le transfert d’objets
issus des produits Check Point. Prisma Access offre de nombreux
paramètres uniques et dynamiques qui doivent être configu-
rés individuellement. Vous pouvez cependant suivre l’approche
décrite ci-dessous pour exécuter la migration de vos politiques
et objets existants. Palo Alto Networks propose Expedition, un
outil de migration qui vous permettra entre autres de transférer
les configurations Check Point vers Prisma Access. La figure 12
montre un aperçu du flux de migration avec Expedition.
Acquisition de
la configuration
Check Point
Importation de
la configuration dans
Expedition
Migration de la
plateforme et résolution
d'éventuels problèmes
Non
Problèmes
résolus ?
Oui
Exportation de la
configuration
Figure 12 : Approche générale de la migration à l’aide d’Expedition
Nous pouvons séparer ce flux en trois étapes principales.
Étape 1 : Acquisition de la configuration
Check Point et chargement dans Expedition
Les fichiers requis dépendent de la version logicielle de
Check Point :
• Pour les versions antérieures à R80 :
• Objects_5_0.C
• Policy.W
• Rulebases_5_0.fws
• Routes.txt
• À partir de la version R80 incluse, veuillez vous reporter aux
instructions disponibles dans l’interface web d’Expedition en
choisissant l’option « Version R80.x ou ultérieure ».
Étape 2 : Exécution de la migration et correction
des problèmes potentiels
Nous vous conseillons en premier lieu d’examiner les journaux
de migration. Vous pourrez ainsi repérer les éventuels problèmes
survenus au cours du processus et serez informé de tout élément
corrigé automatiquement. La figure 13 utilise l’exemple de
journaux associés aux règles NAT de destination (DNAT). Ces
messages ne sont fournis qu’à titre informatif et ne requièrent
aucune action de la part de l’administrateur.
Figure 13 : Journaux associés aux règles DNAT
Il est ensuite recommandé de procéder au nettoyage des objets
inutilisés durant la tâche de migration. Les objets inutilisés
suivants peuvent être supprimés de la configuration :
• Adresse
• Groupes d’adresses
• Service
• Groupes de services
• Étiquettes
Nous vous recommandons vivement de vérifier et corriger les
éventuels problèmes de configuration suivants :
• Noms d’objets dupliqués
• Services non valides (p. ex. « ping » identifié en tant que
service et non comme une application)
En ce qui concerne les fonctions réseau, Prisma Access ne requiert
aucune des configurations Check Point suivantes :
• Zones : Au cours de leur exportation à partir d’Expedition,
toutes les zones réseau sont nommées « Zone1 », « Zone2 »,
« Zone3 » et ainsi de suite, avec une répercussion automa-
tique au niveau des politiques de sécurité. Toutefois, il est
conseillé de changer les noms de ces zones, sachant que tout
changement s’appliquera également automatiquement aux
règles de sécurité. La figure 14 montre une capture d’écran de
l’outil Expedition, illustrant la migration d’interfaces depuis
Check Point avec les nouvelles zones correspondantes.
• Routeur virtuel : Prisma Access gère automatiquement la
configuration des interfaces, le routage interne et le NAT. Nul
besoin de transférer vos tables de routage : vous devrez confi-
gurer manuellement dans Prisma Access le routage statique
ou dynamique vers le data center ou les réseaux distants.
Figure 14 : Migration d’interfaces depuis Check Point
Étape 3 : Chargement de la configuration dans

Panorama
Plusieurs choix s’offrent à vous pour importer la nouvelle confi-
guration dans Panorama. Toutefois, nous vous conseillons de
suivre l’une de ces deux approches :
• Appels d’API directs d’Expedition vers Panorama
• Utilisation de commandes « load partial » via la CLI :
• permet de ne sélectionner que certaines parties de la
configuration XML finale à charger dans Panorama –
pour une granularité accrue
La figure 15 illustre l’utilisation de la commande « load partial ».
Dans cet exemple, seules les parties individuelles nécessaires sont
chargées dans Panorama à partir de la configuration Check Point
(nous avons ici choisi le groupe d’équipements « Mobile_User_
Device_Group »). Le nom « cp.xml » correspond au fichier de
configuration exporté depuis Expedition, que nous avons seule-
ment importé dans Panorama.
Configuration Check Point
Adresse
Configuration Palo Alto Networks

Groupes d’adresses
Service
cp.xml
Groupes de services
Étiquettes
Règles de sécurité
Interfaces
Zones Non requis
Routeurs virtuels
Figure 15 : Seuls les éléments de configuration nécessaires sont ajoutés au fichier final
Adresse :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address
to-xpath /config/devices/entry[@name=’localhost.localdomain’]/device-
group/entry[@name=’Mobile_User_Device_Group’]/address mode merge
from cp.xml
Groupe d’adresses :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address-
group to-xpath /config/devices/entry[@name=’localhost.localdomain’]/
device-group/entry[@name=’Mobile_User_Device_Group’]/address-group
mode merge from cp.xml
Service :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service
group/entry[@name=’Mobile_User_Device_Group’]/service mode merge
from cp.xml
Groupe de services :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service-
device-group/entry[@name=’Mobile_User_Device_Group’]/service-group
Étiquettes :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/tag to-xpath
/config/devices/entry[@name=’localhost.localdomain’]/device-group/
entry[@name=’Mobile_User_Device_Group’]/tag mode merge from cp.xml
Règles de sécurité :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/rulebase/
security/rules to-xpath /config/devices/entry[@name=’localhost.
localdomain’]/device-group/entry[@name=’Mobile_User_Device_Group’]/
post-rulebase/security/rules from cp.xml
Nous avons choisi de charger les politiques de sécurité en tant

que « post-règles ». Les zones de sécurité ne seront pas impor-
tées, mais elles seront présentes dans les politiques de la nouvelle
configuration. Puisque nous n’avons transféré ici que sept zones,
il ne nous reste plus qu’à les créer manuellement dans le modèle
« Mobile_User_Template » puis à les mapper via la configura-
tion du plug-in Prisma Access. Par défaut, toutes les nouvelles
zones seront classées dans la catégorie Non approuvé.
Figure 16 : Les nouvelles zones sont classées par défaut dans la

catégorie Non approuvé
Migration d’équipements Cisco ASA
vers Prisma Access
Le processus de migration des configurations Cisco ASA est on
ne peut plus direct. Cisco ASA utilise les listes de contrôle d’accès
(ACL) pour autoriser ou bloquer le trafic. Or, Expedition permet
de convertir facilement ces ACL, avec leurs zones correspon-
dantes, au format Palo Alto Networks. Nous pouvons donc suivre
le même flux que celui utilisé précédemment pour Check Point.
Acquisition de
la configuration Cisco
Importation de
la configuration
dans Expedition
Migration de la plateforme
et résolution d'éventuels
problèmes
Non
Problèmes
résolus ?
Oui
Exportation de
la configuration
Figure 17 : Approche générale de la migration à l’aide d’Expedition
Étape 1 : Acquisition de la configuration

Cisco ASA et chargement dans Expedition
La configuration Cisco ASA se récupère généralement en exécutant
la commande « show running » sur l’équipement.
Étape 2 : Exécution de la migration et correction
des problèmes potentiels
Une configuration classique nous permettra d’obtenir les zones
Palo Alto Networks correspondantes depuis la configuration des
interfaces. En voici un exemple dans Expedition :
interface GigabitEthernet0/3.1
description DMZ-1
vlan 74
nameif dmz-1
security-level 50
ip address 10.4.0.254 255.255.0.0 standby 10.4.0.253
Les données en sortie dans Expedition nous permettront d'extraire
et d'adopter les règles de sécurité dans la zone « dmz-1 » requise.
La figure 18 offre un exemple de sortie générée par Expedition.
Figure 18 : Sortie générée dans Expedition
En ce qui concerne les fonctions réseau, Prisma Access ne requiert
pas les configurations Cisco ASA suivantes :
• Paramètres de réseau et de routeur virtuel : Prisma Access
gère automatiquement la configuration des interfaces, le
routage interne et le NAT. Nul besoin de transférer vos tables
de routage : vous devrez configurer manuellement dans
Prisma Access le routage statique ou dynamique vers le data
center ou les réseaux distants.
Comme indiqué précédemment, les objets inutilisés peuvent
être supprimés de la configuration importée. Nous vous invitons
également à corriger certains objets non valides, notamment :
• Les noms d’objets dupliqués
• Les services non valides
Étape 3 : Chargement de la configuration dans

Panorama
Une fois le travail de configuration terminé, vous pouvez utiliser
la commande « load partial » afin de ne charger que certains
objets et politiques.
Plusieurs choix s’offrent à vous pour importer la nouvelle
configuration dans Panorama. Toutefois, nous vous conseillons
de suivre l’une de ces deux approches :
• Appels d’API directs d’Expedition vers Panorama
• Utilisation de commandes « load partial » via la CLI :
• permet de ne sélectionner que certaines parties de la
configuration XML finale à charger dans Panorama –
pour une granularité accrue
La figure 19 illustre l’utilisation de la commande « load partial ».
Dans cet exemple, seules les parties individuelles nécessaires
sont chargées dans Panorama à partir de la configuration Cisco
(nous avons ici choisi le groupe d’équipements « Mobile_User_
Device_Group »). Le nom « cp.xml » correspond au fichier
de configuration exporté depuis Expedition, que nous avons
seulement importé dans Panorama.
Configuration Cisco
Adresse
Configuration Palo Alto Networks

Groupes d’adresses
Service
cp.xml
Groupes de services
Étiquettes
Règles de sécurité
Interfaces
Zones Non requis
Routeurs virtuels
Figure 19 : Seuls les éléments de configuration nécessaires sont ajoutés au fichier final
Adresse :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address
group/entry[@name=’Mobile_User_Device_Group’]/address mode merge
from cp.xml
Groupe d’adresses :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address-
device-group/entry[@name=’Mobile_User_Device_Group’]/address-group
Service :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service
group/entry[@name=’Mobile_User_Device_Group’]/service mode merge
from cp.xml
Groupe de services :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service-
device-group/entry[@name=’Mobile_User_Device_Group’]/service-group
Étiquettes :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/tag to-xpath
/config/devices/entry[@name=’localhost.localdomain’]/device-group/
entry[@name=’Mobile_User_Device_Group’]/tag mode merge from cp.xml
Règles de sécurité :
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/rulebase/
security/rules to-xpath /config/devices/entry[@name=’localhost.
localdomain’]/device-group/entry[@name=’Mobile_User_Device_Group’]/
post-rulebase/security/rules from cp.xml
Nous avons choisi de charger les politiques de sécurité en tant

que « post-règles ». Les zones de sécurité ne seront pas impor-
tées, mais elles seront présentes dans les politiques de la nouvelle
configuration. Puisque nous n’avons transféré ici que sept zones,
il ne nous reste plus qu’à les créer manuellement dans le modèle
« Mobile_User_Template » puis à les mapper via la configura-
tion du plug-in Prisma Access. Par défaut, toutes les nouvelles
zones seront classées dans la catégorie Non approuvé.
Migration de solutions VPN
traditionnelles vers Prisma Access
Les utilisateurs mobiles, où qu’ils se trouvent, peuvent se connec-
ter à Prisma Access à l’aide de l’agent GlobalProtect, d’un VPN
sans client ou de fichiers PAC.
La plupart des migrations depuis des solutions VPN alternatives
sont manuelles, étant donné que leur architecture est radica-
lement différente et que les configurations sont généralement
incompatibles entre elles.
Cependant, si vous effectuez une migration à partir de solutions
basées sur proxy, Prisma Access vous permet de créer des
politiques afin d’inspecter le trafic sur tous les protocoles,
y compris UDP (et pas seulement sur HTTP ou HTTPS). Ainsi,
vous n’avez pas besoin d’utiliser de solutions distinctes pour le
trafic non-web : tout peut être géré depuis Prisma Access. De
plus, vous pourrez continuer d’utiliser les catégories d’URL de vos
politiques (cf. chapitre 3). Grâce à l’agent GlobalProtect, n’importe
quel paramètre de contournement proxy peut être remplacé par
l'option plus optimale qu'est le « split tunneling » (tunnelisation
partagée) basé sur les applications, les noms de processus ou les
routes.
Après avoir déterminé la méthode qu’utiliseront vos collabora-
teurs pour se connecter à Prisma Access, vous pouvez commencer
à concevoir vos politiques, à moins que vous n’utilisiez déjà l’une
des règles transférées depuis votre solution d’ancienne généra-
tion, comme décrit plus haut. Toutes vos nouvelles politiques
doivent reposer sur les principes ZTNA. Cette approche permettra
d’inspecter l’ensemble du contenu pour identifier les utilisateurs
de votre réseau et les applications auxquelles ils accèdent. D’autre
part, la mise en œuvre d’une surveillance post-connexion détec-
tera la présence de menaces ainsi que les éventuels signes de
perte de données et de vol d’identifiants.
Comme indiqué au chapitre 3, nous vous conseillons vivement
d’activer App-ID pour identifier les utilisateurs et leurs groupes
correspondants sur votre réseau. Il s’agit d’un composant essentiel
de Prisma Access, puisque ces informations vous permettront
ensuite de concevoir des politiques en couche L7.
Différents types de politiques peuvent être configurés avec
Prisma Access :
• Les politiques de sécurité vous permettent de faire appliquer
vos règles et d’agir au niveau des applications, comme nous
l’avons déjà évoqué au chapitre 3. Elles peuvent être aussi
générales ou spécifiques que vous le souhaitez. Ces politiques
sont comparées au trafic entrant dans un ordre séquentiel.
Étant donné que la première règle correspondant au trafic
est appliquée, les règles spécifiques doivent donc précéder les
règles plus générales.
• Les politiques QoS peuvent être configurées de manière à donner
la priorité au trafic critique ou exigeant une faible latence (p.
ex. VoIP ou vidéoconférence). Vous pouvez également définir
un seuil minimal de bande passante réservé aux applications
métiers critiques. Les valeurs DSCP (Differentiated Services
Code Point) sont respectées par défaut, telles que définies par
l’équipement sur site de votre entreprise.
• Les politiques de déchiffrement peuvent inspecter le trafic
afin de renforcer votre visibilité sur les menaces, contrôler
les protocoles, valider les certificats et gérer les défaillances.
Vous empêcherez ainsi le contenu malveillant de pénétrer
votre réseau et éviterez que des données sensibles n’en soient
extraites sous la forme de trafic chiffré. Comme nous l’avons
indiqué, les bonnes pratiques (cf. chapitre 3) recommandent
l’utilisation de politiques de déchiffrement au sein de votre
réseau.
• Les politiques de contrôle prioritaire sur l’application
(Application Override) vous permettent, si nécessaire, de
contourner la fonctionnalité App-ID dans certains cas
spécifiques. Par exemple, si aucune signature n’est disponible
pour l’une de vos applications personnalisées, vous pouvez
utiliser le contrôle prioritaire sur l’application afin de faciliter
l’identification et la génération de rapports.
• Les politiques d’authentification servent enfin à authentifier
les utilisateurs finaux avant qu’ils ne puissent accéder aux
services ou applications. Dès qu’un utilisateur sollicite
l’une de ces ressources (par exemple en visitant une page
web), le pare-feu évalue la politique d’authentification
correspondante. En fonction de celle-ci, il invite alors
l’utilisateur à s’authentifier au moyen d’une ou plusieurs
méthodes : identifiant et mot de passe, voix, SMS, notification
push ou mot de passe à usage unique (OTP).
Si vous utilisez Prisma Access en mode gestion cloud, sachez que

des règles de référence sont disponibles pour la plupart des types
de politiques afin d’accélérer le déploiement de la plateforme tout
en renforçant la sécurité.
Pour approfondir
Consultez notre documentation technique pour en savoir plus sur
la gestion de Prisma Access en mode cloud ou via Panorama.
Chapitre 5
Transition d’un réseau WAN
vers un modèle SASE
Lacunes des WAN traditionnels

Les technologies WAN servent à relier entre eux les différents
réseaux d’une entreprise (siège, data centers et sites distants). Le
MPLS et l’Internet public sont les deux options de connectivité
WAN les plus courantes. Les fournisseurs de services WAN les
distribuent via des réseaux MPLS privés en segmentant et en
isolant les différents clients au sein d’une même infrastructure
partagée.
Le siège, les data centers et les filiales utilisent des routeurs CE
(Customer Edge, ou périphérie client) pour se connecter aux
routeurs PE (Provider Edge, ou périphérie fournisseur) du réseau
MPLS. Alors que les équipements PE sont partagés, chaque
équipement CE n’est dédié qu’à un seul client. Les routes statiques
et le protocole BGP sont privilégiés pour l’acheminement du trafic.
L’implémentation MPLS illustrée en figure 20 répond aux
principes architecturaux suivants :
• Chaque filiale est déployée dans une région distincte et
utilise les liaisons MPLS pour se connecter au data center et
à Internet.
• Internet est uniquement accessible via le data center. Tout
accès direct serait entièrement non sécurisé (p. ex. les
pools d’adresses IP d’utilisateurs mobiles, les sous-réseaux
d’infrastructure, de data center et de réseaux distants).
Internet
Data center
MPLS
Filiale 1 Filiale 2 Filiale 3
Figure 20 : Exemple type d’implémentation MPLS
Cette configuration met en évidence quelques problèmes

d’architecture :
• Latence accrue due au réacheminement des accès Internet
via le data center (backhauling)
• Sécurité irrégulière au niveau des sites distants
• Absence d’inspection de la sécurité entre les filiales
Le modèle SASE de Prisma Access fournit un réseau central basé
dans le cloud et accessible depuis plus de 100 implantations dans
76 pays. Vous pouvez ainsi effectuer la migration complète de vos
services WAN et de sécurité vers une architecture cloud-native.
Voici les changements apportés au niveau de l’architecture :
• Chaque filiale se connecte à Prisma Access via l’un de nos
quelque 100 points de présence (PoP) dans le monde entier.
Plusieurs PoP peuvent être utilisés pour une résilience accrue.
• Une connexion de service dédiée fournit et sécurise l’accès
de chaque site et utilisateur mobile aux ressources du data
center.
• Un « breakout » local vers Internet est disponible pour les
sites distants et les utilisateurs mobiles. Les fonctions de
sécurité s’exécutent directement depuis le cloud.
• Tous les réseaux distants et les utilisateurs mobiles sont
soumis à des politiques de sécurité homogènes.
• Toutes les fonctionnalités sont fournies sous forme de service,
y compris au niveau des performances, de la disponibilité des
ressources ou encore de l’application des mises à jour requises.
Intégration de Prisma Access au

SD-WAN
Les technologies SD-WAN simplifient la gestion et l’exploitation
d’une connexion WAN, tout en optimisant le routage et les
décisions de chemins réseau. Les déploiements SD-WAN
nécessitent généralement un accès Internet direct en raison de
l’hébergement cloud des applications SaaS.
Réduction des coûts, simplification et optimisation des
déploiements… les avantages du SD-WAN sont nombreux,
à condition d'être intraitable sur les questions de sécurité.
Bien que l’infrastructure Prisma Access soit compatible avec
tous les fournisseurs SD-WAN, ce guide prend l’exemple de
Prisma SD-WAN pour une intégration encore plus poussée.
Internet
Data center
Filiale 1 Filiale 2 Filiale 3
Figure 21 : Exemple d’une architecture WAN plus efficace avec Prisma Access
Prisma SD-WAN, anciennement CloudGenix SD-WAN, est une

solution nouvelle génération qui vous aide à transformer la
connectivité de vos filiales et points de vente, réduire le coût total
de possession du WAN, en simplifier la gestion et vous offrir une
visibilité accrue sur l’ensemble du trafic réseau. Prisma SD-WAN
s’intègre parfaitement avec Prisma Access pour assurer la sécurité
de vos réseaux distants depuis le cloud.
La plateforme Prisma SD-WAN CloudBlade pour Prisma Access
vous permet d’automatiser le déploiement de réseaux distants
et l’application des politiques de sécurité associées. Cette option
requiert la mise en œuvre d’un container Docker sur site ou d’un
container dans le cloud public pour faciliter la communication
entre CloudBlade pour Prisma Access et Panorama.
Les sections suivantes vous livrent des conseils relatifs à
l’intégration entre Prisma SD-WAN et Prisma Access selon deux
architectures distinctes :
1. SD-WAN avec accès Internet direct à Prisma Access
2. SD-WAN avec architecture hub-and-spoke régionale et
Prisma Access
SD-WAN avec accès Internet direct à
Prisma Access
Cette option vous permettra de connecter votre site distant
à Prisma Access à l’aide d’un tunnel IPsec depuis l’appliance
SD-WAN. Ce tunnel peut être utilisé pour transporter l’ensemble
du trafic Internet vers Prisma Access. Le trafic lié aux applications
du data center partira directement vers sa destination grâce à la
fabric SD-WAN.
Notre exemple d’architecture Prisma Access (cf. figure 22)
comprend ici le déploiement d’un réseau distant connecté à une
filiale d’Amsterdam. Le site des Pays-Bas se connecte à l’appliance
Prisma SD-WAN via le point de présence le plus proche.
La figure 23 montre comment configurer un réseau distant
Prisma Access dans Panorama afin de le relier à l’appliance
Prisma SD-WAN située dans l’agence d’Amsterdam. Nous utilisons
pour ce faire le PoP « Netherlands Central » et autorisons une
bande passante de 50 Mbit/s. Il est possible d’utiliser des routes
statiques ou le protocole BGP, voire les deux.
Internet
Prisma Access
Netherlands
Central
Fabric SD-WAN
Filiale Data center

d’Amsterdam
Tunnel IPsec vers Prisma
Connexion SD-WAN (MPLS, 3G/4G, haut débit)
Figure 22 : Intégration de Prisma Access à Prisma SD-WAN
Figure 23 : Déploiement d’un réseau distant dans Prisma Access
SD-WAN avec architecture hub-and-

spoke régionale et Prisma Access
Dans ce scénario, toutes les filiales ne disposent pas d’un accès
direct à Prisma Access. Un data center local peut agréger le trafic
réseau provenant des plus petits sites d’une région donnée, par
exemple les filiales disposant d’une faible bande passante.
Dans la figure 24, les deux data centers disposent chacun d’un
tunnel IPsec vers une implantation Prisma Access distincte :
USA Est et USA Ouest. Les équipements de périphérie SD-WAN
de chaque site utiliseront des politiques de transfert pour déter-
miner quel trafic doit être envoyé à Prisma Access pour y être
soumis à une inspection de sécurité.
Internet
Prisma Access
USA Est USA Ouest
Fabric SD-WAN
Data center Data center

côte est côte ouest
Filiale de Filiale de Filiale de

New York Chicago San Francisco
Tunnel IPsec vers Prisma
Connexion SD-WAN (MPLS, 3G/4G, haut débit)
Figure 24 : Intégration à Prisma Access d'un SD-WAN avec architecture

hub-and-spoke régionale
Pour approfondir
Retrouvez plus d’informations sur notre page web Prisma SD-WAN.
Vous pouvez aussi consulter notre Guide de déploiement de
Prisma SD-WAN avec Prisma Access.
Remerciements :
Jason Georgi
Matt De Vincentis
Shannon Bonfiglio
Tudor Andreescu
Don Meyer
À propos de Palo Alto Networks
Leader mondial de la cybersécurité, Palo Alto Networks
développe des technologies qui transforment le quotidien des
utilisateurs et des entreprises dans un avenir placé sous le signe
du cloud. Notre mission : protéger les modes de vie numériques
contre les cyberattaques. Intelligence artificielle, analytique,
automatisation, orchestration… nous innovons sur tous les fronts
pour aider les entreprises à relever les défis de sécurité les plus
sensibles. Grâce à notre plateforme intégrée et à un écosystème
de partenaires en pleine croissance, nous assurons la sécurité de
dizaines de milliers d’entreprises sur le cloud, les réseaux et les
terminaux mobiles. Nous comptons ainsi œuvrer pour un monde
où chaque nouveau jour est plus sûr que le précédent.
Pour de plus amples informations, rendez-vous sur
www.paloaltonetworks.fr.
Palo Alto Networks, Prisma et le logo Palo Alto Networks sont
des marques déposées de Palo Alto Networks, Inc. aux États-
Unis et dans d’autres pays. Les autres marques de fabrique,
commerciales ou de service utilisées ou mentionnées dans ce
document appartiennent à leurs détenteurs respectifs.

The Practical Guide To Migrating Security To A Sase Model FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

The Practical Guide To Migrating Security To A Sase Model FR

Transféré par

Droits d'auteur :

Formats disponibles

Guide pratique

Chapitre 2 – Orchestration des déploiements

Chapitre 3 – Bonnes pratiques de migration

Chapitre 4 – Migration de solutions pare-feu

Chapitre 5 – Transition d’un réseau WAN

Internet SaaS Cloud public Siège/data center

Gestion autonome de l’expérience numérique (ADEM)

FWaaS CASB ZTNA SWG cloud

Site distant/magasin Domicile Smartphone

Figure 1 : Architecture Prisma Access

Cloud public/ Cloud public/

Data center Utilisateurs Data center Utilisateurs

Sans Prisma Access Avec Prisma Access

Figure 2 : Cas d’usage de la sécurité des utilisateurs mobiles

Cloud public/ Cloud public/

Sans Prisma Access Avec Prisma Access

Figure 3 : Cas d’usage de la sécurité des réseaux distants

Cloud public/ Cloud public/

Data center Utilisateurs Data center Utilisateurs

Sans Prisma Access Avec Prisma Access

Figure 4 : L’infrastructure cloud permet d’assurer une sécurité homogène

Les utilisateurs ont le choix entre ces trois méthodes pour

Cloud public Internet SaaS

Filiale Filiale Filiale

Figure 5 : L’approche traditionnelle du WAN

Cette architecture, comme le montre la figure 5, présente plusieurs

Figure 6 : Accès au cloud sécurisé, partout dans le monde

La figure 6 montre comment les réseaux distants se connectent

Site distant : West-RS01 Prisma Access

Figure 7 : Connexion réseau distante à Prisma Access

Les clés d’un déploiement efficace

Journalisation App-ID et User-ID Déchiffrement

Journalisation Identification des Visibilité complète

Threat Prevention URL Couverture

Protection active et Accès sécurisé à Plus de 100 points de

Figure 8 : Bonnes pratiques de migration

2. Configurez et activez Threat Prevention

4. Activez App-ID et User-ID

5. Créez et déployez une stratégie de déchiffrement

Figure 9 : Plus de 100 implantations dans 76 pays

La migration vers un modèle SASE requiert une planification

Zone de poli- Mappage

Office 365 SaaS autorisés Non Autoriser

Salesforce SaaS autorisés Non Autoriser

Perforce Outils d'ing. Approuvé Autoriser

LDAP Applications DC Approuvé Autoriser

Figure 10 : Création automatique de zones dans Prisma Access

Figure 11 : Niveaux de transformation

Figure 12 : Approche générale de la migration à l’aide d’Expedition

Figure 13 : Journaux associés aux règles DNAT

Étape 3 : Chargement de la configuration dans

Configuration Palo Alto Networks

Zones Non requis

Nous avons choisi de charger les politiques de sécurité en tant

Figure 16 : Les nouvelles zones sont classées par défaut dans la

Figure 17 : Approche générale de la migration à l’aide d’Expedition

Étape 1 : Acquisition de la configuration

Figure 18 : Sortie générée dans Expedition

Étape 3 : Chargement de la configuration dans

Configuration Palo Alto Networks

Zones Non requis

Nous avons choisi de charger les politiques de sécurité en tant

Si vous utilisez Prisma Access en mode gestion cloud, sachez que