Académique Documents
Professionnel Documents
Culture Documents
de la migration de la
sécurité vers un
modèle SASE
Alex Ciobanu
Sommaire
Chapitre 1 – SASE : nouveau paradigme des
réseaux et de la sécurité
• Introduction
• Qu’est-ce que le SASE ?
• Transformation de la sécurité : quel est l’intérêt du SASE ?
• Cas d’usage du SASE avec Prisma Access
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 3
Qu’est-ce que le SASE ?
Le SASE désigne la convergence du SD-WAN (Software-Defined
Wide Area Network) et des fonctions de sécurité – FWaaS (Firewall
as a Service), SWG (passerelle web sécurisée), CASB (Cloud Access
Security Broker) ou encore ZTNA (Zero Trust Network Access) –
vers un service centralisé dans le cloud. Ce modèle vise à garan-
tir à tous les utilisateurs, applications et équipements un accès
sécurisé et homogène, peu importe où ils se trouvent.
Grâce à l'architecture SASE la plus aboutie du marché,
Palo Alto Networks a révolutionné la façon dont les entreprises
transforment leur infrastructure réseau et sécurité. D'un côté,
Prisma Access, une plateforme de sécurité basée dans le cloud,
qui protège l’ensemble du trafic, des applications et des utilisa-
teurs. De l’autre, Prisma SD-WAN, une plateforme réseau en mode
cloud qui exploite le machine learning et l’automatisation pour
simplifier la connectivité WAN et fournir une expérience utili-
sateur irréprochable. L’intégration parfaite entre Prisma Access
et Prisma SD-WAN protège les télétravailleurs à grande échelle.
Ensemble, ces deux plateformes forment la solution SASE la plus
complète du marché.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 4
Transformation de la sécurité :
quel est l’intérêt du SASE ?
Les technologies de sécurité réseau traditionnelles ne sont pas
conçues pour assurer la protection des télétravailleurs contre les
cybermenaces actuelles. Les pare-feu et proxys web classiques,
quant à eux, sont incapables d'inspecter et de contrôler de façon
homogène l’ensemble du trafic mondial des entreprises.
Autre problème : les architectures d’ancienne génération, inadap-
tées au cloud, peinent à protéger les sites distants et les points de
vente. Pour chaque entité indépendante connectée au réseau, il
faut donc établir une nouvelle architecture, déployer de nouvelles
politiques et configurer de nouvelles interfaces. Hormis la charge
administrative, les coûts et la complexité que cette approche
entraîne, elle laisse apparaître des trous béants dans la sécurité.
Le SASE s’appuie sur une plateforme unifiée capable de répondre
à vos différents cas d'usage. Par exemple, votre entreprise peut
être confrontée à des enjeux immédiats comme la connexion à
distance des collaborateurs, l’accès Internet direct de vos filiales
ou encore l’amélioration de la sécurité web. Grâce à la plateforme
modulaire de Prisma Access, vous pouvez commencer par régler
le cas d’usage le plus urgent, puis passer à d'autres en fonction
des priorités.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 5
Cas d’usage du SASE avec
Prisma Access
Prisma Access repose sur différents services pour assurer la
protection des réseaux et des utilisateurs (voir figure 1).
Couche SECaaS
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 6
Avec Prisma Access, les utilisateurs mobiles bénéficient d’une
solution de sécurité cloud complète qui leur permet de se connec-
ter à toutes leurs applications, peu importe où ils se trouvent.
Notre plateforme prend en charge les équipements gérés et non
gérés, ce qui garantit une sécurité homogène et un accès trans-
parent à toutes les ressources de l’entreprise – qu’elles soient
situées dans le cloud, en data center ou dans une configuration
hybride – tout en optimisant l’expérience utilisateur. S’inscri-
vant dans une approche ZTNA, Prisma Access gère la connexion
aux applications et services à l’aide de politiques de contrôle des
accès bien définies, comprenant la surveillance post-connexion
des menaces et la détection des signes de perte de données ou de
compromission d’identifiants.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 7
Prisma Access offre une connectivité et une sécurité homogènes
à vos filiales et autres sites distants. La solution exploite les
avantages du cloud pour simplifier le déploiement, la gestion et
l’application des politiques de sécurité, tout en raccourcissant le
délai de rentabilisation. Les entreprises s'affranchissent ainsi de
la complexité et des coûts administratifs habituellement liés à la
gestion de la connectivité WAN et de la sécurité à grande échelle.
MPLS
Data center Data center
(cloud privé) (cloud privé)
Pour approfondir
Retrouvez plus d’informations sur notre page web Prisma Access.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 8
Chapitre 2
Orchestration des déploiements
SASE avec Prisma Access
Sécurisation des utilisateurs mobiles
Face à l’essor du télétravail, les professionnels ont plus que jamais
besoin d’un accès distant performant et sécurisé à leurs applica-
tions. Les entreprises doivent en outre protéger ces applications
contre les accès non autorisés, les menaces ou encore les utilisa-
teurs malveillants.
Mais à l’image des VPN classiques, les approches traditionnelles
manquent de l’évolutivité, de la capacité et des fonctionnalités de
sécurité inline nécessaires. Prisma Access élimine chacun de ces
problèmes par des services cloud distribués à l’échelle mondiale
et intégrant une haute disponibilité, une évolutivité automatique
et une inspection inline de la sécurité.
Grâce à cette plateforme, les utilisateurs bénéficient d’un accès
ubiquitaire, sécurisé et ininterrompu à toutes les applications
dans le cloud, sur Internet et en data center. Partout dans le
monde, vos collaborateurs bénéficient d’une passerelle cloud
optimale et d’une sécurité uniforme, y compris dans les régions
où vous ne disposez pas d’un réseau local.
Prisma Access adopte une approche ZTNA afin d’octroyer aux
utilisateurs l’accès aux seules applications dont ils ont besoin,
conformément aux politiques établies par l’entreprise. De plus,
l’inspection inline du trafic permet de prémunir votre infrastruc-
ture contre les menaces et la perte de données, protégeant ainsi
vos applications et vos données de tout accès non autorisé ou
d’activités potentiellement malveillantes.
Les fonctionnalités ZTNA de Prisma Access protègent également
vos applications contre l’exposition publique sur Internet, les
utilisateurs accédant à la Toile via la plateforme cloud. Une fois vos
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 9
collaborateurs authentifiés grâce à la technologie User-ID™, leurs
droits d'accès restent soumis aux politiques en couche L7 grâce
aux informations d’identification d’App-ID™, à la vérification du
rôle et au type de terminal utilisé. L’inspection post-connexion
permet enfin d’analyser les menaces et de surveiller les signes
potentiels de perte de données et de vols d’identifiants.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 10
Sécurisation des réseaux distants
Auparavant, les entreprises tablaient soit sur une connexion VPN,
soit sur une liaison MPLS pour fournir une connexion à distance
privée et sécurisée aux données, aux applications et à Internet.
Data center/siège
Connexion de service
Réseau
distant
Data Center
(cloud privé)
Routes Routes
statiques statiques
Préfixe IP source Interface Préfixe IP source Interface
0.0.0.0/0 tunnel.1 10.50.1.0/24 West-R501
10.5.0.0/16 tunnel.1
10.50.0.0/16 tunnel.1
172.16.56.0/24 tunnel.1
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 12
L’utilisation de Prisma Access pour sécuriser les utilisateurs
mobiles et les réseaux distants offre des avantages à plusieurs
niveaux :
• Sécurité homogène et protection avancée contre les menaces –
vos politiques s’appliquent à l’ensemble du trafic, peu importe
où se trouvent vos utilisateurs.
• Prévention des pertes de données (DLP) – sécurisez vos
données sensibles en les catégorisant et en les protégeant lors
du transit entre les différents sites et utilisateurs.
• Sécurité DNS – l’analytique avancée et le machine learning
neutralisent les menaces tentant d’exploiter le système de
noms de domaines (DNS).
• Filtrage d’URL – vos politiques d'usage acceptable sont
appliquées et l’accès aux domaines malveillants est bloqué.
Pour approfondir
Consultez la documentation sur nos architectures de référence
Prisma Access
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 13
Chapitre 3
Bonnes pratiques de migration
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 14
1. Activez la journalisation sur toutes les
politiques de sécurité
Prisma Access utilise Cortex® Data Lake pour recueillir, intégrer
et transformer les données des journaux de sécurité. Pour
bénéficier d’une visibilité sur l’ensemble du trafic réseau, nous
vous conseillons vivement d’activer la journalisation sur toutes
les politiques de sécurité, anciennes (migrées) et nouvelles. Pour
ce faire, il vous suffit de configurer un profil de transfert des
journaux, puis de l’assigner aux politiques de sécurité.
Pour modifier la destination des journaux Prisma Access, par
exemple vers un système de gestion des informations et événe-
ments de sécurité (SIEM), vous pouvez utiliser une application
dédiée pour effectuer ce transfert depuis Cortex Data Lake.
Si vous migrez vos anciennes politiques de sécurité (cf. chapitre 4),
vous pouvez utiliser l’outil Expedition pour créer et assigner automa-
tiquement le profil à ces règles durant la migration. Cette option ne
s’applique qu’aux déploiements Prisma Access gérés via Panorama™,
notre plateforme d’administration de la sécurité réseau.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 15
3. Configurez et activez URL Filtering
URL Filtering sécurise l’accès web de vos utilisateurs en tenant
compte de la catégorie, des fonctionnalités et du niveau de sécurité
du site. Ce service cloud s’appuie sur le machine learning et des
analyses statiques pour identifier et bloquer automatiquement les
sites malveillants et les pages de phishing. Il protège également
contre le vol d’identifiants en exerçant un contrôle draconien
sur les types de sites sur lesquels les utilisateurs peuvent saisir
leurs informations d’identification. Enfin, ce service vous permet
d’appliquer vos politiques de sécurité en fonction de différentes
catégories d’URL.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 17
Chapitre 4
Migration de solutions pare-
feu et VPN traditionnelles vers
Prisma Access
Mise en route de la migration
Palo Alto Networks propose deux solutions pour déployer et gérer
Prisma Access :
• Gestion via Panorama : si vous utilisez déjà Panorama
pour gérer vos pare-feu nouvelle génération (NGFW)
Palo Alto Networks, cet outil vous permettra de déployer
Prisma Access et d'y appliquer vos politiques actuelles.
• Gestion dans le cloud – si vous n'utilisez pas Panorama ou
préférez opter pour une expérience d’intégration et de gestion
simplifiée, vous pouvez utiliser l’application Prisma Access,
disponible sur le hub Palo Alto Networks. Vous pourrez ainsi
octroyer rapidement un accès Internet à vos utilisateurs, puis
passer dans un second temps à la connectivité à vos différents
réseaux (siège, data center, filiales).
Les guides de migration proposés dans ce chapitre s’appuient sur
une gestion de Prisma Access via Panorama.
Lorsque vous migrez à partir de solutions pare-feu d’ancienne
génération, il est important de prendre en compte certains critères
de configuration. Sur les pare-feu traditionnels, chaque zone
de sécurité est associée à une interface. Prisma Access facilite
leur attribution en créant automatiquement les zones Approu-
vé (Trust), Non approuvé (Untrust) et VPN sans client (Client-
less). Ensuite, l’utilisateur n’a plus qu’à mapper les zones afin de
garantir l’application cohérente des politiques de sécurité :
• La zone Approuvé contient toutes les adresses IP, les
connexions de service et les utilisateurs de confiance au
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 18
sein du réseau d’entreprise (p. ex. les pools IP d’utilisateurs
mobiles, les sous-réseaux d’infrastructure, de data center et
de réseaux distants).
• La zone Non approuvé contient toutes les interfaces exposées
à Internet. Par défaut, chaque adresse IP ou utilisateur mobile
qui n’est pas approuvé atterrit dans cette zone.
• La zone VPN sans client permet de sécuriser l’accès à distance
(p. ex. l’accès de prestataires externes aux applications).
Non approuvé Approuvé
Approuvé
Non approuvé
Siège/data center
Approuvé
Internet
Réseau distant
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 19
Les niveaux de transformation illustrés ci-dessous (figure 11)
offrent une transition transparente et sécurisée vers
Prisma Access. Ils réduisent les risques liés à la migration et
tracent un parcours d’adoption progressive des fonctionnalités
avancées (cf. chapitre 3).
Transformation
de niveau 1
Visibilité
sur le trafic non chiffré
• Migration des politiques L3/L4
• Création d’une stratégie de déchiffrement
• Déploiement d’User-ID
• Threat Prevention, URL Filtering
et WildFire activés en mode alerte
Transformation
Contrôle
de niveau 2
total sur tout le trafic pour réduire la
surface d’attaque
• Adoption de politiques L7
• Blocage des applications non approuvées
• Déploiement de la stratégie de
déchiffrement
• Threat Prevention, URL Filtering et
WildFire activés en mode blocage
Transformation Exécution
de niveau 3
de politiques de sécurité avancées
• Évolution et amélioration des politiques
• Segmentation des applications et des
utilisateurs
• Analyse des menaces / configuration /
nouvelle catégorisation / blocage au
« dernier kilomètre »
• Optimisation de la stratégie de
déchiffrement
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 20
Migration d’équipements Check Point
vers Prisma Access
Dans cette section, nous nous penchons sur la migration des
politiques en couches L3 et L4, notamment le transfert d’objets
issus des produits Check Point. Prisma Access offre de nombreux
paramètres uniques et dynamiques qui doivent être configu-
rés individuellement. Vous pouvez cependant suivre l’approche
décrite ci-dessous pour exécuter la migration de vos politiques
et objets existants. Palo Alto Networks propose Expedition, un
outil de migration qui vous permettra entre autres de transférer
les configurations Check Point vers Prisma Access. La figure 12
montre un aperçu du flux de migration avec Expedition.
Acquisition de
la configuration
Check Point
Importation de
la configuration dans
Expedition
Migration de la
plateforme et résolution
d'éventuels problèmes
Non
Problèmes
résolus ?
Oui
Exportation de la
configuration
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 21
Nous pouvons séparer ce flux en trois étapes principales.
Étape 1 : Acquisition de la configuration
Check Point et chargement dans Expedition
Les fichiers requis dépendent de la version logicielle de
Check Point :
• Pour les versions antérieures à R80 :
• Objects_5_0.C
• Policy.W
• Rulebases_5_0.fws
• Routes.txt
• À partir de la version R80 incluse, veuillez vous reporter aux
instructions disponibles dans l’interface web d’Expedition en
choisissant l’option « Version R80.x ou ultérieure ».
Étape 2 : Exécution de la migration et correction
des problèmes potentiels
Nous vous conseillons en premier lieu d’examiner les journaux
de migration. Vous pourrez ainsi repérer les éventuels problèmes
survenus au cours du processus et serez informé de tout élément
corrigé automatiquement. La figure 13 utilise l’exemple de
journaux associés aux règles NAT de destination (DNAT). Ces
messages ne sont fournis qu’à titre informatif et ne requièrent
aucune action de la part de l’administrateur.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 22
Il est ensuite recommandé de procéder au nettoyage des objets
inutilisés durant la tâche de migration. Les objets inutilisés
suivants peuvent être supprimés de la configuration :
• Adresse
• Groupes d’adresses
• Service
• Groupes de services
• Étiquettes
Nous vous recommandons vivement de vérifier et corriger les
éventuels problèmes de configuration suivants :
• Noms d’objets dupliqués
• Services non valides (p. ex. « ping » identifié en tant que
service et non comme une application)
En ce qui concerne les fonctions réseau, Prisma Access ne requiert
aucune des configurations Check Point suivantes :
• Zones : Au cours de leur exportation à partir d’Expedition,
toutes les zones réseau sont nommées « Zone1 », « Zone2 »,
« Zone3 » et ainsi de suite, avec une répercussion automa-
tique au niveau des politiques de sécurité. Toutefois, il est
conseillé de changer les noms de ces zones, sachant que tout
changement s’appliquera également automatiquement aux
règles de sécurité. La figure 14 montre une capture d’écran de
l’outil Expedition, illustrant la migration d’interfaces depuis
Check Point avec les nouvelles zones correspondantes.
• Routeur virtuel : Prisma Access gère automatiquement la
configuration des interfaces, le routage interne et le NAT. Nul
besoin de transférer vos tables de routage : vous devrez confi-
gurer manuellement dans Prisma Access le routage statique
ou dynamique vers le data center ou les réseaux distants.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 23
Figure 14 : Migration d’interfaces depuis Check Point
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 24
Configuration Check Point
Adresse
Service
cp.xml
Groupes de services
Étiquettes
Règles de sécurité
Interfaces
Routeurs virtuels
Figure 15 : Seuls les éléments de configuration nécessaires sont ajoutés au fichier final
Adresse :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address
to-xpath /config/devices/entry[@name=’localhost.localdomain’]/device-
group/entry[@name=’Mobile_User_Device_Group’]/address mode merge
from cp.xml
Groupe d’adresses :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address-
group to-xpath /config/devices/entry[@name=’localhost.localdomain’]/
device-group/entry[@name=’Mobile_User_Device_Group’]/address-group
mode merge from cp.xml
Service :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service
to-xpath /config/devices/entry[@name=’localhost.localdomain’]/device-
group/entry[@name=’Mobile_User_Device_Group’]/service mode merge
from cp.xml
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 25
Groupe de services :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service-
group to-xpath /config/devices/entry[@name=’localhost.localdomain’]/
device-group/entry[@name=’Mobile_User_Device_Group’]/service-group
mode merge from cp.xml
Étiquettes :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/tag to-xpath
/config/devices/entry[@name=’localhost.localdomain’]/device-group/
entry[@name=’Mobile_User_Device_Group’]/tag mode merge from cp.xml
Règles de sécurité :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/rulebase/
security/rules to-xpath /config/devices/entry[@name=’localhost.
localdomain’]/device-group/entry[@name=’Mobile_User_Device_Group’]/
post-rulebase/security/rules from cp.xml
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 26
Migration d’équipements Cisco ASA
vers Prisma Access
Le processus de migration des configurations Cisco ASA est on
ne peut plus direct. Cisco ASA utilise les listes de contrôle d’accès
(ACL) pour autoriser ou bloquer le trafic. Or, Expedition permet
de convertir facilement ces ACL, avec leurs zones correspon-
dantes, au format Palo Alto Networks. Nous pouvons donc suivre
le même flux que celui utilisé précédemment pour Check Point.
Acquisition de
la configuration Cisco
Importation de
la configuration
dans Expedition
Migration de la plateforme
et résolution d'éventuels
problèmes
Non
Problèmes
résolus ?
Oui
Exportation de
la configuration
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 27
Étape 2 : Exécution de la migration et correction
des problèmes potentiels
Une configuration classique nous permettra d’obtenir les zones
Palo Alto Networks correspondantes depuis la configuration des
interfaces. En voici un exemple dans Expedition :
interface GigabitEthernet0/3.1
description DMZ-1
vlan 74
nameif dmz-1
security-level 50
ip address 10.4.0.254 255.255.0.0 standby 10.4.0.253
Les données en sortie dans Expedition nous permettront d'extraire
et d'adopter les règles de sécurité dans la zone « dmz-1 » requise.
La figure 18 offre un exemple de sortie générée par Expedition.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 28
En ce qui concerne les fonctions réseau, Prisma Access ne requiert
pas les configurations Cisco ASA suivantes :
• Paramètres de réseau et de routeur virtuel : Prisma Access
gère automatiquement la configuration des interfaces, le
routage interne et le NAT. Nul besoin de transférer vos tables
de routage : vous devrez configurer manuellement dans
Prisma Access le routage statique ou dynamique vers le data
center ou les réseaux distants.
Comme indiqué précédemment, les objets inutilisés peuvent
être supprimés de la configuration importée. Nous vous invitons
également à corriger certains objets non valides, notamment :
• Les noms d’objets dupliqués
• Les services non valides
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 29
Configuration Cisco
Adresse
Service
cp.xml
Groupes de services
Étiquettes
Règles de sécurité
Interfaces
Routeurs virtuels
Figure 19 : Seuls les éléments de configuration nécessaires sont ajoutés au fichier final
Adresse :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address
to-xpath /config/devices/entry[@name=’localhost.localdomain’]/device-
group/entry[@name=’Mobile_User_Device_Group’]/address mode merge
from cp.xml
Groupe d’adresses :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/address-
group to-xpath /config/devices/entry[@name=’localhost.localdomain’]/
device-group/entry[@name=’Mobile_User_Device_Group’]/address-group
mode merge from cp.xml
Service :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service
to-xpath /config/devices/entry[@name=’localhost.localdomain’]/device-
group/entry[@name=’Mobile_User_Device_Group’]/service mode merge
from cp.xml
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 30
Groupe de services :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/service-
group to-xpath /config/devices/entry[@name=’localhost.localdomain’]/
device-group/entry[@name=’Mobile_User_Device_Group’]/service-group
mode merge from cp.xml
Étiquettes :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/tag to-xpath
/config/devices/entry[@name=’localhost.localdomain’]/device-group/
entry[@name=’Mobile_User_Device_Group’]/tag mode merge from cp.xml
Règles de sécurité :
Admin@Pan# load config partial from-xpath /config/devices/entry[@
name=’localhost.localdomain’]/vsys/entry[@name=’vsys1’]/rulebase/
security/rules to-xpath /config/devices/entry[@name=’localhost.
localdomain’]/device-group/entry[@name=’Mobile_User_Device_Group’]/
post-rulebase/security/rules from cp.xml
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 31
Migration de solutions VPN
traditionnelles vers Prisma Access
Les utilisateurs mobiles, où qu’ils se trouvent, peuvent se connec-
ter à Prisma Access à l’aide de l’agent GlobalProtect, d’un VPN
sans client ou de fichiers PAC.
La plupart des migrations depuis des solutions VPN alternatives
sont manuelles, étant donné que leur architecture est radica-
lement différente et que les configurations sont généralement
incompatibles entre elles.
Cependant, si vous effectuez une migration à partir de solutions
basées sur proxy, Prisma Access vous permet de créer des
politiques afin d’inspecter le trafic sur tous les protocoles,
y compris UDP (et pas seulement sur HTTP ou HTTPS). Ainsi,
vous n’avez pas besoin d’utiliser de solutions distinctes pour le
trafic non-web : tout peut être géré depuis Prisma Access. De
plus, vous pourrez continuer d’utiliser les catégories d’URL de vos
politiques (cf. chapitre 3). Grâce à l’agent GlobalProtect, n’importe
quel paramètre de contournement proxy peut être remplacé par
l'option plus optimale qu'est le « split tunneling » (tunnelisation
partagée) basé sur les applications, les noms de processus ou les
routes.
Après avoir déterminé la méthode qu’utiliseront vos collabora-
teurs pour se connecter à Prisma Access, vous pouvez commencer
à concevoir vos politiques, à moins que vous n’utilisiez déjà l’une
des règles transférées depuis votre solution d’ancienne généra-
tion, comme décrit plus haut. Toutes vos nouvelles politiques
doivent reposer sur les principes ZTNA. Cette approche permettra
d’inspecter l’ensemble du contenu pour identifier les utilisateurs
de votre réseau et les applications auxquelles ils accèdent. D’autre
part, la mise en œuvre d’une surveillance post-connexion détec-
tera la présence de menaces ainsi que les éventuels signes de
perte de données et de vol d’identifiants.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 32
Comme indiqué au chapitre 3, nous vous conseillons vivement
d’activer App-ID pour identifier les utilisateurs et leurs groupes
correspondants sur votre réseau. Il s’agit d’un composant essentiel
de Prisma Access, puisque ces informations vous permettront
ensuite de concevoir des politiques en couche L7.
Différents types de politiques peuvent être configurés avec
Prisma Access :
• Les politiques de sécurité vous permettent de faire appliquer
vos règles et d’agir au niveau des applications, comme nous
l’avons déjà évoqué au chapitre 3. Elles peuvent être aussi
générales ou spécifiques que vous le souhaitez. Ces politiques
sont comparées au trafic entrant dans un ordre séquentiel.
Étant donné que la première règle correspondant au trafic
est appliquée, les règles spécifiques doivent donc précéder les
règles plus générales.
• Les politiques QoS peuvent être configurées de manière à donner
la priorité au trafic critique ou exigeant une faible latence (p.
ex. VoIP ou vidéoconférence). Vous pouvez également définir
un seuil minimal de bande passante réservé aux applications
métiers critiques. Les valeurs DSCP (Differentiated Services
Code Point) sont respectées par défaut, telles que définies par
l’équipement sur site de votre entreprise.
• Les politiques de déchiffrement peuvent inspecter le trafic
afin de renforcer votre visibilité sur les menaces, contrôler
les protocoles, valider les certificats et gérer les défaillances.
Vous empêcherez ainsi le contenu malveillant de pénétrer
votre réseau et éviterez que des données sensibles n’en soient
extraites sous la forme de trafic chiffré. Comme nous l’avons
indiqué, les bonnes pratiques (cf. chapitre 3) recommandent
l’utilisation de politiques de déchiffrement au sein de votre
réseau.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 33
• Les politiques de contrôle prioritaire sur l’application
(Application Override) vous permettent, si nécessaire, de
contourner la fonctionnalité App-ID dans certains cas
spécifiques. Par exemple, si aucune signature n’est disponible
pour l’une de vos applications personnalisées, vous pouvez
utiliser le contrôle prioritaire sur l’application afin de faciliter
l’identification et la génération de rapports.
• Les politiques d’authentification servent enfin à authentifier
les utilisateurs finaux avant qu’ils ne puissent accéder aux
services ou applications. Dès qu’un utilisateur sollicite
l’une de ces ressources (par exemple en visitant une page
web), le pare-feu évalue la politique d’authentification
correspondante. En fonction de celle-ci, il invite alors
l’utilisateur à s’authentifier au moyen d’une ou plusieurs
méthodes : identifiant et mot de passe, voix, SMS, notification
push ou mot de passe à usage unique (OTP).
Pour approfondir
Consultez notre documentation technique pour en savoir plus sur
la gestion de Prisma Access en mode cloud ou via Panorama.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 34
Chapitre 5
Transition d’un réseau WAN
vers un modèle SASE
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 35
Internet
Data center
MPLS
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 36
Voici les changements apportés au niveau de l’architecture :
• Chaque filiale se connecte à Prisma Access via l’un de nos
quelque 100 points de présence (PoP) dans le monde entier.
Plusieurs PoP peuvent être utilisés pour une résilience accrue.
• Une connexion de service dédiée fournit et sécurise l’accès
de chaque site et utilisateur mobile aux ressources du data
center.
• Un « breakout » local vers Internet est disponible pour les
sites distants et les utilisateurs mobiles. Les fonctions de
sécurité s’exécutent directement depuis le cloud.
• Tous les réseaux distants et les utilisateurs mobiles sont
soumis à des politiques de sécurité homogènes.
• Toutes les fonctionnalités sont fournies sous forme de service,
y compris au niveau des performances, de la disponibilité des
ressources ou encore de l’application des mises à jour requises.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 37
Internet
Data center
Figure 21 : Exemple d’une architecture WAN plus efficace avec Prisma Access
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 38
SD-WAN avec accès Internet direct à
Prisma Access
Cette option vous permettra de connecter votre site distant
à Prisma Access à l’aide d’un tunnel IPsec depuis l’appliance
SD-WAN. Ce tunnel peut être utilisé pour transporter l’ensemble
du trafic Internet vers Prisma Access. Le trafic lié aux applications
du data center partira directement vers sa destination grâce à la
fabric SD-WAN.
Notre exemple d’architecture Prisma Access (cf. figure 22)
comprend ici le déploiement d’un réseau distant connecté à une
filiale d’Amsterdam. Le site des Pays-Bas se connecte à l’appliance
Prisma SD-WAN via le point de présence le plus proche.
La figure 23 montre comment configurer un réseau distant
Prisma Access dans Panorama afin de le relier à l’appliance
Prisma SD-WAN située dans l’agence d’Amsterdam. Nous utilisons
pour ce faire le PoP « Netherlands Central » et autorisons une
bande passante de 50 Mbit/s. Il est possible d’utiliser des routes
statiques ou le protocole BGP, voire les deux.
Internet
Prisma Access
Netherlands
Central
Fabric SD-WAN
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 39
Figure 23 : Déploiement d’un réseau distant dans Prisma Access
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 40
Dans la figure 24, les deux data centers disposent chacun d’un
tunnel IPsec vers une implantation Prisma Access distincte :
USA Est et USA Ouest. Les équipements de périphérie SD-WAN
de chaque site utiliseront des politiques de transfert pour déter-
miner quel trafic doit être envoyé à Prisma Access pour y être
soumis à une inspection de sécurité.
Internet
Prisma Access
Fabric SD-WAN
Pour approfondir
Retrouvez plus d’informations sur notre page web Prisma SD-WAN.
Vous pouvez aussi consulter notre Guide de déploiement de
Prisma SD-WAN avec Prisma Access.
Palo Alto Networks | Guide pratique de la migration de la sécurité vers un modèle SASE 41
Remerciements :
Jason Georgi
Matt De Vincentis
Shannon Bonfiglio
Tudor Andreescu
Don Meyer
À propos de Palo Alto Networks
Leader mondial de la cybersécurité, Palo Alto Networks
développe des technologies qui transforment le quotidien des
utilisateurs et des entreprises dans un avenir placé sous le signe
du cloud. Notre mission : protéger les modes de vie numériques
contre les cyberattaques. Intelligence artificielle, analytique,
automatisation, orchestration… nous innovons sur tous les fronts
pour aider les entreprises à relever les défis de sécurité les plus
sensibles. Grâce à notre plateforme intégrée et à un écosystème
de partenaires en pleine croissance, nous assurons la sécurité de
dizaines de milliers d’entreprises sur le cloud, les réseaux et les
terminaux mobiles. Nous comptons ainsi œuvrer pour un monde
où chaque nouveau jour est plus sûr que le précédent.
Pour de plus amples informations, rendez-vous sur
www.paloaltonetworks.fr.
Palo Alto Networks, Prisma et le logo Palo Alto Networks sont
des marques déposées de Palo Alto Networks, Inc. aux États-
Unis et dans d’autres pays. Les autres marques de fabrique,
commerciales ou de service utilisées ou mentionnées dans ce
document appartiennent à leurs détenteurs respectifs.