Académique Documents
Professionnel Documents
Culture Documents
D’ACHAT DES
PARE-FEU
Vos réseaux sont plus complexes qu’ils ne l’ont jamais été. Vos collaborateurs accèdent
aux applications de leur choix au moyen d’équipements de l’entreprise ou personnels.
Bien souvent, ces applications sont utilisées à des fins professionnelles et privées
sans réelle prise de conscience des risques métier et de sécurité induits. Les futurs
collaborateurs se renseignent sur les conditions d’utilisation des applications avant
même d’accepter leur nouveau poste. Enfin, les questions que vous êtes susceptible
de vous poser sur l’efficacité de votre cybersécurité doivent également être prises
en compte. Votre entreprise est-elle une cible ? Les menaces sont-elles réelles ou
seulement supposées ? Les mesures nécessaires ont-elles été prises ? La complexité de
votre réseau et de votre infrastructure de sécurité risque de ralentir votre capacité à faire
face aux menaces qui sévissent dans le cyberespace.
Le changement favorise l’innovation
Malgré des fonctionnalités plus évoluées Dès lors que la complexité freine la prise de décision, il est toujours utile de « revenir
et un débit sans précédent, l’efficacité aux fondamentaux » afin de trouver des solutions aux problèmes identifiés. C’est
des pare‑feu ne cesse d’être remise en dans cet esprit que nous rappelons ici trois des principaux rôles que tout pare-feu
moderne doit tenir :
question. Les menaces évoluent rapidement
et le blocage traditionnel des ports et des 1. Être au cœur de votre infrastructure de sécurité réseau.
adresses IP ne suffit plus à les arrêter.
2. Servir de point de contrôle d’accès à tout le trafic afin d’autoriser ou de refuser le
trafic en fonction des politiques définies.
Au fil des ans, les fonctions essentielles qu’exécutait votre pare-feu ont été rendues
inefficaces par le trafic même qu’elles étaient censées surveiller. Les applications
ont évolué d’une telle façon que le pare-feu, qui est au cœur de votre infrastructure
de sécurité, peine à fournir le niveau de contrôle nécessaire pour protéger vos actifs
numériques.
1
Palo Alto Networks Application Usage and Threat Report, Janvier 2013
Pour Gartner, le pare-feu nouvelle génération est un outil novateur, axé sur n Les tâches d’administration des pare-feu seront-elles minimisées ?
l’entreprise, qui « intègre des systèmes d’inspection complets assurant la prévention
des intrusions, la surveillance des applications et un contrôle granulaire des politiques n La gestion des risques sera-t-elle simplifiée et plus efficace ?
». La plupart des fournisseurs de sécurité réseau prennent en charge la visibilité et le
contrôle des applications en ajoutant des signatures d’applications dans leur moteur n Les stratégies mises en œuvre contribueront-elles à la rentabilité de l’entreprise ?
IPS ou en proposant un module complémentaire de contrôle applicatif. Dans les deux
cas, ces options viennent simplement compléter le pare-feu basé sur les ports et ne Si la réponse à chacune des questions ci-dessus est « oui », alors votre décision de
substituent en rien aux tâches essentielles que votre pare-feu doit exécuter. passer aux pare-feu nouvelle génération est justifiée. La prochaine étape consiste
à étudier les différentes solutions proposées par les fournisseurs de pare-feu. Lors
L’efficacité opérationnelle de votre entreprise dépend considérablement des applications de cette comparaison, il est important d’analyser l’architecture des différentes
que vos collaborateurs utilisent et du contenu que ces applications elles-mêmes offres ainsi que leurs impacts sur l’environnement de production en termes de
véhiculent. Si vous vous contentez d’en autoriser certaines et d’en bloquer d’autres, fonctionnalités, d’opérations et de performances.
vous risquez de freiner le développement de vos activités. Si les responsables de la
sécurité sont intéressés par les fonctionnalités d’un pare-feu nouvelle génération, ils
doivent avant tout chercher à savoir si cette technologie les aidera ou non à sécuriser
l’utilisation des applications au sein de l’entreprise. Pour cela, ils doivent se poser les
questions suivantes :
En concevant les pare-feu nouvelle génération, les fournisseurs de solutions de Ce guide se décompose ensuite en trois sections distinctes. La première section présente
sécurité ont nécessairement adopté l’une des deux approches architecturales les 10 principales fonctions que doit posséder votre prochain pare-feu. Son but est de
suivantes : démontrer que l’architecture et le modèle de contrôle décrits ci-dessus permettent
d’identifier et de sécuriser efficacement les applications au niveau du pare-feu. Les autres
1. Intégrer l’identification des applications au pare-feu, qui devient le principal moteur de sections se penchent sur la façon dont ces 10 fonctions vous permettent de sélectionner
classification. un fournisseur lors d’un appel d’offres et d’évaluer physiquement le pare-feu.
Dans les deux cas, la reconnaissance des applications a bien lieu mais avec différents
degrés de précision, de convivialité et de pertinence. Plus important encore, ces
approches architecturales imposent un modèle de sécurité spécifique pour la stratégie
d’utilisation des applications - soit positif (blocage par défaut), soit négatif (autorisation
par défaut).
Soyons plus précis. Ces applications ne présentent pas toutes les mêmes risques : les
applications d’accès à distance ont des utilisations légitimes, tout comme certaines
applications transitant dans des tunnels chiffrés. Malheureusement, les cyberpirates
se servent de plus en plus de ces mêmes outils pour lancer leurs attaques
persistantes et incessantes. Si elles n’ont pas la capacité de contrôler ces techniques
d’évasion, les entreprises ne peuvent pas appliquer leurs politiques de sécurité et
s’exposent à des risques dont elles pensaient être à l’abri.
Les utilisateurs adoptent de nouvelles applications et technologies pour s’acquitter au Généralement, lorsque les entreprises cherchent à sélectionner des pare-feu, des
mieux de leurs tâches, mais négligent souvent les risques métier et de sécurité induits. systèmes IPS ou d’autres composants stratégiques de l’infrastructure de sécurité,
En bloquant ces applications, il arrive que les équipes chargées de la sécurité freinent le elles rédigent un appel d’offres pour décrire en détail leurs besoins. Selon le Gartner
développement des activités de l’entreprise. Magic Quadrant des pare-feu d’entreprise, « du fait de l’évolution des menaces et
des processus métier et informatiques, les responsables de la sécurité du réseau
Les applications aident les collaborateurs à accomplir leur travail et à conserver leur vont se tourner vers les pare-feu nouvelle génération au moment de renouveler leurs
efficacité face à des enjeux personnels et professionnels. Il va donc de soi que l’utilisation pare-feu et systèmes IPS ». Alors que de nouvelles opportunités de déploiement se
sécurisée des applications devient une priorité. Pour sécuriser les applications et les présentent, les entreprises doivent étendre les critères de sélection de leur appel
technologies, et donc toutes les activités qui en découlent, les administrateurs chargés d’offres de façon à inclure la visibilité et le contrôle des applications, avantages
de la sécurité du réseau doivent mettre en place les politiques d’utilisation appropriées, offerts par les solutions nouvelle génération. La section précédente passait en revue
mais aussi les contrôles capables de les faire respecter. les 10 principales fonctions que doit posséder votre prochain pare-feu. La présente
section vous aidera à trouver les outils permettant d’identifier et de sélectionner un
Dans la section 10 principales fonctions que doit posséder votre prochain pare-feu, pare-feu nouvelle génération.
nous avons passé en revue les fonctionnalités essentielles qui aideront les entreprises
à sécuriser l’utilisation des applications et, au final, l’ensemble de leurs activités. La Considérations sur l’architecture du pare-feu et les modèles de contrôle
prochaine étape consiste à passer à l’action : sélection d’un fournisseur via la procédure De nombreux éléments sont à prendre en compte lors de l’évaluation d’un fournisseur
d’appel d’offres, évaluation formelle des différentes solutions et, pour finir, achat et pour savoir si son pare-feu a la capacité d’offrir la visibilité et le contrôle des applications
déploiement d’un pare-feu nouvelle génération. requis. L’architecture du pare-feu, et plus précisément, le moteur de classification
du trafic permet de savoir dans quelle mesure il est apte à identifier et contrôler
les applications sans se limiter aux ports et aux protocoles. Comme nous l’avons vu
auparavant, la première chose qu’un nouveau pare-feu, indépendamment de son type,
doit impérativement faire est de déterminer avec précision la nature du trafic, puis se
baser sur ce résultat pour élaborer l’ensemble des politiques de sécurité.
Développement de vos activités Dans ce modèle, le pare-feu adopte la stratégie du contrôle positif traditionnel (tout
Dans le monde toujours connecté actuel, le bloquer à l’exception de ce que vous autorisez explicitement). Un modèle positif
contrôle des applications ne s’arrête pas au permet de contrôler et d’utiliser les applications, ce qui est un élément stratégique
simple principe de blocage/autorisation. Il important dans le monde toujours connecté où évoluent aujourd’hui les entreprises.
est question de sécuriser l’utilisation des Si la recherche des applications est confiée à des éléments annexes tels qu’un système
applications pour renforcer le pouvoir de IPS, cela signifie qu’un modèle de contrôle négatif est appliqué (tout autoriser à
l’exception de ce qui est expressément refusé par le système IPS). Un modèle négatif
l’entreprise.
sous-entend que vous pouvez uniquement bloquer les applications. Pour bien percevoir
ces différences, prenons un exemple. Dans le premier cas, il s’agit d’allumer toutes les
lampes d’une pièce pour que tout s’éclaire et devienne visible (contrôle positif). Dans
le second, il s’agit d’utiliser une lampe torche pour s’intéresser uniquement à la petite
zone sur laquelle vous dirigez la torche (contrôle négatif). Si cette méthode permet
d’identifier et de bloquer les événements « néfastes », elle n’est pas pleinement efficace
car elle est conçue pour examiner seulement une partie du trafic afin de préserver les
performances et ne peut pas couvrir l’ensemble des cyberattaques et des applications.
n Décrivez le processus permettant d’identifier les applications chiffrées en SSL n Décrivez la façon dont la hiérarchie de la base de données des applications (plate,
sur tous les ports, y compris les ports non standard. arborescente ou autre) expose les fonctions au sein de l’application parente afin de
faciliter la mise en place de politiques plus précises.
n Quels sont les contrôles stratégiques en place permettant de déchiffrer, inspecter
et contrôler de manière sélective des applications utilisant le protocole SSL ? n Décrivez les niveaux de contrôle qu’il est possible d’exercer sur des applications
individuelles et leurs fonctions respectives :
n L’identification, le chiffrement et l’inspection bidirectionnels SSL sont-ils pris en
charge ? n autorisation ;
n Le déchiffrement SSL est-il assuré en standard ou suppose-t-il un coût n autorisation basée sur l’application, la fonction de l’application, la catégorie,
supplémentaire ? Un équipement dédié est-il requis ?
la sous‑catégorie, la technologie ou le facteur de risque ;
n SSH est un outil qu’utilisent fréquemment les informaticiens, les équipes de n autorisation basée sur la planification, l’utilisateur, le groupe, le port ;
support et les techniciens pour accéder aux appareils distants.
n autorisation et détection des virus, des vulnérabilités des applications, des logiciels
n Le contrôle SSH est-il assuré ? Si oui, précisez le niveau de contrôle.
espions et des téléchargements intempestifs ;
n Quels sont les mécanismes utilisés pour détecter des applications de n autorisation et mise en forme/application de contrôles de qualité de service ;
contournement comme UltraSurf ou Tor ?
n refus.
n Décrivez la façon dont le produit peut automatiquement identifier une technique
de contournement passant par un port non standard.
3
Palo Alto Networks Application Usage and Threat Report, Janvier 2013
n
Détecter et bloquer les logiciels malveillants au sein de l’application, même s’ils n Fournissez une description détaillée des mécanismes d’identification et d’analyse du
passent par un port non standard. trafic inconnu.
n Répertoriez tous les annuaires d’identités de l’entreprise pris en charge pour les n Les outils d’analyse sont-ils fournis en standard ou sous forme de solutions
contrôles basés sur les utilisateurs. complémentaires ?
n Une API est-elle disponible pour une intégration identité-infrastructure personnalisée n Le cas échéant, quelles sont les actions possibles face à un trafic inconnu
ou non standard ? (autorisation, refus, inspection, mise en forme ou autre) ?
n Décrivez la façon dont les contrôles basés sur les politiques sont mis en œuvre n Décrivez les pratiques recommandées pour la gestion du trafic d’applications
par les utilisateurs et les groupes dans des environnements de services de inconnues.
terminal.
n
Ce trafic peut-il être contrôlé par le biais de politiques, de la même manière
n Décrivez les différences des options d’utilisation des applications selon qu’il que les applications officiellement prises en charge (autorisation, refus,
s’agit d’un environnement physique ou virtuel. inspection, mise en forme, contrôle par utilisateur, zone ou autre) ?
n Quelle est la procédure à suivre pour soumettre des requêtes visant à créer ou à
mettre à jour des signatures ?
n Une fois l’application soumise, quel est le délai prévu en termes de qualité de service ?
n Quels sont les mécanismes proposés pour savoir si le trafic inconnu est du code
malveillant ?
n
Les outils de visibilité sont-ils inclus dans l’offre de base ou font-il l’objet de
coûts/licences supplémentaires ?
n
Les outils de visibilité sont-ils déployés en même temps que tous les autres ou
s’agit-il d’un équipement/d’un logiciel à part ?
n Décrivez en détail les efforts à fournir et les étapes requises pour commencer à
« avoir une vue globale du trafic des applications » sur le réseau.
n Vérifiez que le produit est un logiciel seul, un serveur OEM ou une solution
propriétaire.
Performances
n Étudiez l’architecture matérielle afin de voir si la puissance de traitement est Il est donc indispensable d’étudier les
adaptée à une classification et une inspection continues du trafic au niveau des performances du réseau lorsque toutes
applications. les fonctions de sécurité sont activées et
d’analyser un échantillon diversifié du
n Décrivez la combinaison de trafic utilisée pour générer les mesures de trafic réel.
performances publiées pour :
n Pare-feu + journalisation
n Pare-feu + journalisation
Dès qu’un seul ou un nombre restreint de fournisseurs ont été retenus à la suite de Identification des applications qui changent dynamiquement de port ou passent par des
l’appel d’offres, il vous reste à évaluer physiquement le pare-feu à l’aide de modèles de ports non standard
trafic, d’objets et de politiques représentatifs de l’environnement de l’entreprise. Cette n Vérifiez que le pare-feu est en mesure d’identifier et de contrôler les applications
section fournit quelques recommandations sur la façon d’évaluer systématiquement
transitant par des ports autres que le port par défaut desdites applications. Par
un pare-feu nouvelle génération. Cette évaluation vous donnera la possibilité de voir
exemple, SSH sur le port 80 et telnet sur le port 25.
comment, en situation réelle, un éditeur de pare-feu est à même de répondre à vos
principales attentes. Notez que les tests suggérés ci-dessous ne font que survoler n Assurez-vous que le pare-feu peut identifier les applications changeant
les fonctionnalités requises d’un pare-feu nouvelle génération et servent de base à
dynamiquement de port à l’aide d’une application connue pour procéder de la sorte
l’élaboration d’une étude beaucoup plus détaillée.
comme Skype, AIM ou l’une des nombreuses applications peer to peer.
Visibilité et contrôle des applications Identité des applications : fondement de la stratégie de sécurité du pare-feu
Cette section a trois objectifs. Premièrement, vérifier que la première tâche réalisée par n Assurez-vous que, lors de l’élaboration de la stratégie du pare-feu, c’est bien l’identité
le dispositif testé est bien la classification du trafic selon l’identité de l’application, et non
de l’application et non le port qui est au cœur de la stratégie.
le port réseau. Deuxièmement, vérifier que le dispositif testé identifie les applications
indépendamment des techniques d’évasion telles que saut de port en port, utilisation de n
La stratégie de contrôle des applications a-t-elle tout d’abord besoin d’une règle
ports non standard ou toute autre méthode de contournement censée faciliter l’accessibilité.
axée sur les ports ?
Troisièmement, vérifier que l’identité de l’application est bien à la base de la stratégie de
pare-feu et qu’elle n’est pas simplement un élément d’une stratégie auxiliaire. n
L’élément chargé du contrôle applicatif est-il un éditeur de politiques partiellement
ou totalement distinct ?
Identification des applications
n Assurez-vous que le pare-feu peut identifier différentes applications. Pour exécuter n Créez une politique visant à autoriser certaines applications et à en bloquer d’autres,
ce test, l’idéal est de déployer le dispositif testé en mode « TAP » ou transparent sur le puis vérifiez que les applications sont bien contrôlées comme prévu.
réseau cible.
n Une politique fondée sur les applications respecte-t-elle le principe « refuser tout le
n Vérifiez, au moyen de graphiques, de synthèses et d’études détaillées, que le dispositif reste » sur lequel repose un pare-feu ?
testé identifie correctement le trafic des applications.
Identification et contrôle des outils de contournement
n Évaluez les contraintes administratives associées à cette tâche. n Assurez-vous que le dispositif testé peut identifier et contrôler les applications
utilisées pour déjouer les contrôles de sécurité. Il s’agit notamment des serveurs
n Évaluez les étapes à suivre pour activer l’identification des applications. Combien de proxy externes (PHproxy, Kproxy), des outils d’assistance à distance (RDP, LogMeIn!,
temps faut-il à un utilisateur pour élaborer une stratégie et commencer à « voir » le TeamViewer, GoToMyPC) et des tunnels chiffrés hors VPN (Tor, Hamachi ou UltraSurf).
trafic des applications ? Des mesures supplémentaires doivent-elles être prises pour
rendre visibles les applications qui changent de port continuellement ou utilisent des n Assurez-vous que chaque moyen de contournement est correctement identifié
ports non standard ? pendant le test.
n Vérifiez qu’il est possible de bloquer toutes les solutions de contournement, même
lorsqu’elles passent par un port non standard.
n Assurez-vous que le dispositif testé peut identifier et déchiffrer les applications, et n L’utilisation d’une application telle que WebEx ou SharePoint permet de confirmer
qu’il peut ensuite appliquer une stratégie de sécurité à l’application déchiffrée. que le dispositif testé identifie l’application initiale.
n Validez le fait que, si l’application déchiffrée est « autorisée », elle sera de nouveau n Sans quitter l’application, passez à une fonction distincte (comme WebEx Desktop
chiffrée avant d’être transmise. Sharing, SharePoint Administration et SharePoint Documents), puis vérifiez que le
changement d’état est pris en compte et que la nouvelle application/fonction est
n Assurez-vous qu’il est possible de procéder au déchiffrement et à l’inspection des correctement identifiée.
flux SSL entrants et sortants.
n Validez la politique appliquée et l’inspection réalisée sur la fonction de cette application.
n Vérifiez que les flux SSH sont correctement identifiés, indépendamment du port.
Contrôle des fonctions d’une même application
n Assurez-vous que le contrôle SSH établit la distinction entre la redirection de ports Déterminez la capacité du dispositif testé à identifier et à contrôler des fonctions
(locaux, distants ou X11) et l’utilisation native (SCP, SFTP ou accès à l’interprétateur). spécifiques d’une application. Le contrôle au niveau fonctionnel sécurise l’utilisation d’une
application, mais permet aussi de prévenir les risques métier et de sécurité qui peuvent y
être associés. Le transfert de fichiers est l’exemple le plus courant, mais il peut également
s’agir de fonctions administratives, de fonctionnalités VoIP, de publication sur les médias
sociaux et d’échange de messages instantanés avec l’application parente.
n Assurez-vous que le dispositif testé fournit une visibilité totale sur toute la hiérarchie
d’applications (depuis l’application de base jusqu’aux fonctions complémentaires).
n L’utilisateur peut-il créer un mécanisme d’identification sur mesure ? n Vérifiez les performances du dispositif testé lorsque tous les mécanismes de
prévention des menaces sont activés afin d’évaluer la mise en place concrète de ces
n
Le fournisseur proposera-t-il un mécanisme d’identification personnalisé ? fonctionnalités.
Si oui, dans quel délai ?
n Finalisez cette phase de test en surveillant les utilisateurs distants via le visualiseur de n S’il s’agit d’une solution propriétaire, étudiez l’architecture matérielle pour vérifier
journaux. que la puissance de traitement répond aux exigences de performance réseau lorsque
tous les services sont activés.
Administration
n Testez-le ! Évaluez les performances réelles dans un environnement de test en
Vous devez également évaluer la complexité du dispositif testé (administration des
utilisant des modèles de trafic représentatifs de l’environnement réseau cible.
différents équipements) et la difficulté de la tâche à accomplir (nombre d’étapes, clarté de
l’interface et autre). Remarques concernant les environnements physiques et virtuels
n Confirmez le mode d’administration du dispositif testé. L’administration d’un élément Si le déploiement concerne un data center localisé, suivez les étapes de test ci-dessus
individuel requiert-elle un équipement ou un serveur distinct ? Le dispositif testé pour vous assurer que les fonctionnalités du pare-feu sur une plateforme virtuelle
peut‑il être géré par le biais d’un navigateur ou nécessite-t-il un « client lourd » ? sont correctement testées. Pour les environnements virtualisés, d’autres points sont à
prendre en compte :
n Vérifiez la disponibilité des outils de visualisation qui, en donnant une vue
synthétique des applications, menaces et URL, vous aident à mieux connaître votre n Quel processus permet de gérer la politique sur des instances de machines virtuelles ?
réseau. Combien d’étapes ce processus comporte-t-il ?
n
Les journaux sont-ils centralisés ou stockés dans des bases de données Est-il possible de créer les mêmes types de politiques pour les instances physiques et
n
distinctes pour chaque fonction (pare-feu, contrôle des applications et IPS) ? virtuelles ?
n
Évaluez l’effort administratif qu’exige l’analyse des journaux à des fins de
visibilité et d’investigation.
©2011, Palo Alto Networks, Inc. Tous droits réservés. Palo Alto Networks et le logo Palo Alto Networks sont des marques
de fabrique ou des marques déposées de Palo Alto Networks, Inc. Toutes les autres marques appartiennent à leurs
propriétaires respectifs. Les spécifications peuvent être modifiées sans préavis. PAN_BG_081413_FR
PALO ALTO NETWORKS | 48