Pendant une grande partie des deux dernières décennies, j’ai conçu, développé et déployé des pare-feu. Au départ, l’industrie se contentait de pare-feu dynamiques à 5 tuples basés sur les ports. Au milieu des années 2000, les pare-feu de nouvelle génération ont vu le jour et ont inclus d’autres dimensions telles que les utilisateurs, les groupes et les applications. Le filtrage des URL et les techniques de protection des données et contre les menaces ont évolué et sont devenues des modules complémentaires intégrés au pare-feu de nouvelle génération. Mais à mesure que les applications ont migré vers le cloud et que les employés se sont connectés depuis n’importe où, ces pare-feu de nouvelle génération se sont rapidement révélés inefficaces, ce qui a nécessité la troisième vague d’évolution : le pare-feu de génération cloud ou le pare-feu Cloud-Gen.
Alors, pourquoi est-il nécessaire de remplacer les pare-feu de nouvelle génération, en dehors du fait qu’ils sont considérés comme une solution de « dernière génération » ? Et qu’est-ce qui peut les remplacer ? Nous allons répondre à cette question en adoptant le point de vue des équipes de sécurité et d’exploitation du réseau.
Les pare-feu ne peuvent pas assurer le Zero Trust
Tout d’abord, commençons par le fait que les pare-feu de nouvelle génération ne sont pas conformes aux principes de Zero Trust. Le principe le plus fondamental d’une architecture Zero Trust est l’accès sur la base du moindre privilège : l’idée selon laquelle une solution de sécurité, un réseau, même professionnel, ne doit jamais bénéficier d’une confiance inhérente. Les pare-feu ne peuvent tout simplement pas le faire au niveau requis pour inspecter le trafic chiffré tout en prenant des décisions d’accessibilité pour les utilisateurs travaillant sur divers appareils, à partir d’une myriade d’emplacements, sur d’innombrables réseaux non protégés.
En revanche, Zscaler Zero Trust Exchange connecte rapidement et en toute sécurité un utilisateur ou un appareil à une application ou une charge de travail spécifique en s’appuyant sur l’accès sur la base du moindre privilège défini par l’application de politiques et d’identités basées sur le contexte, permettant aux employés de travailler de n’importe où en utilisant le réseau d’entreprise. Sans cela, le risque de déplacement latéral est trop important.
Les pare-feu de nouvelle génération favorisent un large accès au réseau et des déplacements latéraux non désirés
Traditionnellement, les pare-feu d’entreprise assurent une segmentation du réseau par zones et mettent en œuvre des techniques rudimentaires de lutte contre l’usurpation d’identité. Si une adresse IP interne provient d’Internet ou d’une zone démilitarisée (DMZ), elle est considérée comme « usurpée » et est bloquée. Cependant, la segmentation par zone permet toujours un large accès au réseau et des déplacements latéraux, « autorisant » le trafic intra-zone. Malheureusement, si un hacker a accès à un serveur DMZ, il a accès à tous les autres.
Par conséquent, un serveur d’impression interne compromis pourrait propager des malwares à tous les utilisateurs et appareils de la « zone de confiance » par le biais d’autorisations implicites à l’intérieur de la zone. En réalité, la « zone de confiance » est une appellation erronée et une contradiction avec le principe de Zero Trust mentionné ci-dessus.
Les pare-feu de nouvelle génération ne parviennent pas à empêcher les compromissions
Les pare-feu et les appliances physiques sont particulièrement sujets aux erreurs de configuration. Gartner rapporte que 95 % des violations de pare-feu sont dues à des erreurs de configuration. Parmi les erreurs de configuration les plus courantes d’un fournisseur de gestion de pare-feu, citons l’autorisation de l’accès SMTP ou le laxisme du service « allow-any-to-any », l’ICMP entrant ou le ping, et ainsi de suite. De plus, disposer de pare-feu provenant de plusieurs fournisseurs amplifie les erreurs de configuration et entraîne plus de préjudices que d’avantages. Puisque les pare-feu doivent être connectés à Internet, ils sont eux-mêmes vulnérables. De plus, l’autorisation des connexions HTTP/HTTPS entrantes peut conduire à des attaques par déni de service distribué (DDoS), même si elles n’accèdent qu’à un seul serveur dans une filiale. En outre, les pare-feu d’entreprise ne sont pas des pare-feu d’applications Web et ne disposent pas d’équilibreurs de charge pour supporter le poids des attaques DDoS.
Shodan, qui est un moteur de recherche pour hackers, parcourt le Web pour répertorier les appareils exposés et vulnérables, mettant en lumière le nombre d’appareils exposés, y compris les pare-feu utilisant des mots de passe par défaut et les services largement ouverts.
Tant qu’il y aura des humains, les erreurs de configuration ne disparaîtront jamais. Le passage aux applications cloud accentue encore la nécessité d’une protection cloud. Alors, quelle est l’approche recommandée ? Un pare-feu Cloud-Gen qui offre une sécurité Zero Trust contribue à réduire la surface d’attaque sur site. Orientez vos utilisateurs, appareils et routeurs edge vers Zscaler Zero Trust Exchange. Le pare-feu Cloud-Gen de Zero Trust Exchange examinera tout le trafic, à la fois Web et non Web. En tant que passerelle par défaut, il applique les bonnes politiques d’accès et gère le trafic de manière autonome pour une sécurité Web, une protection contre les menaces et une protection des données supplémentaires. Il est moins sujet aux erreurs grâce à des politiques uniformes orchestrées de manière centralisée et est bien plus efficace pour prévenir les compromissions avec les services de contrôle DNS et IPS. Tous les services sont inline et l’inspection s’effectue à l’aide de la technologie SSMA (Single-Scan, Multi-Action) qui garantit l’absence de latence incrémentielle dans l’inspection des paquets.
Défis liés à conformité
Un pare-feu d’entreprise est un dispositif renforcé qui peut être soumis à des exigences de conformité supplémentaires telles que les critères communs. Mais la plupart des pare-feu ne sont pas soumis à des contrôles de conformité de sécurité proactifs. Certes, les équipes de sécurité commandent des tests de pénétration sur les pare-feu. Mais dans quelle mesure sont-ils proactifs et efficaces dans chaque entreprise ? Comparez cette situation à celle d’un cloud entièrement certifié, conforme à la norme ISO/Fedramp/SOC-2 et à la norme CSA-Star. Il n’existe aucune norme de conformité des appliances qui puisse offrir ce niveau de confiance par la conformité.
Absence d’échelle horizontale, disponibilité réduite
Si vous consultez la fiche technique d’un pare-feu classique, vous verrez des limites de X Mbit/s. Une fois l’inspection TLS activée, les performances indiquées chutent environ de moitié. La prévention des menaces les fait encore chuter à un tiers de ses performances initiales. Avec 90 % du trafic chiffré par TLS, vos pare-feu seront toujours deux fois moins performants qu’annoncé. Des pics soudains de nouvelles sessions par seconde pourraient également engendrer des encombrements et des temps de latence, car les pare-feu n’évoluent pas horizontalement comme un service cloud. En supposant des correctifs trimestriels planifiés et non planifiés et une maintenance de 1 à 3 heures chacune, cela entraîne au moins 6 à 12 heures de temps d’arrêt par an, soit une disponibilité de 99,86 % à 99,93 % dans le meilleur des cas. Un pare-feu redondant de haute disponibilité permet d’améliorer légèrement la situation, mais cela n’est pas suffisant.
Comparez cela avec un service cloud où l’échelle horizontale est infinie. Certes, le matériel cloud présente lui aussi des limites. Mais elles peuvent être facilement surmontées par l’ajout d’équilibreurs de charge et d’instances de Service Edge public. Zscaler est certifié ISO27001 et offre des garanties de disponibilité de 99,999 %, avec des SLA supplémentaires sur la latence et la sécurité. Aucun autre fournisseur ne peut rivaliser. Consultez notre guide de démystification des SLA dans le cloud qui fournit plus d’informations à ce sujet.
Comparaison : pare-feu traditionnels par rapport à Zscaler Zero Trust Exchange
|
Pare-feu traditionnels |
Zscaler Zero Trust Exchange | |
|
Utilisateurs et dispositifs |
Lorsque les utilisateurs se déplacent, les pare-feu ne bougent pas. Les pare-feu traditionnels ne protègent pas les utilisateurs nomades. |
L’utilisateur se connecte à l’un des 150 data centers dans le monde. La plateforme protège les utilisateurs et les appareils partout et à tout moment. |
|
Échelle et performance |
Les pare-feu traditionnels sont limités par une échelle fixe ; les performances diminuent avec l’ajout de SSL et de l’inspection des menaces. |
Les équilibreurs de charge distribuent de nouvelles sessions par seconde aux instances de Service Edge en fonction de la proximité de l’utilisateur, des performances actuelles et de l’échelle. |
Coût opérationnel exorbitant
L’application de correctifs et la maintenance entraînent une perte de disponibilité. Cela se traduit également par des coûts opérationnels élevés, notamment pour le personnel informatique spécialisé de chaque site, chargé de la maintenance, des correctifs et de la mise à niveau des pare-feu. D’après les études du rapport Secure Cloud Transformation, the CIO’s Journey, les entreprises économisent en moyenne 50 à 85 % sur les appliances de sécurité tels que les pare-feu dans les filiales lorsqu’elles migrent vers Zscaler Zero Trust Exchange. Les ingénieurs de Zscaler maintiennent, corrigent, gèrent les incidents, et émettent des avis pour tous les services cloud conformément aux accords de niveau de service du cloud. Cela élimine les coûts opérationnels liés à la maintenance des pare-feu sur chaque site.
C’est le moment idéal pour les pare-feu Cloud-Gen sur Zscaler Zero Trust Exchange. Alors, quand allez-vous remplacer votre pare-feu de nouvelle génération ?
