Depuis les premiers jours d’Internet, les proxys Web ont été un composant essentiel des piles de sécurité, et ce pour de nombreuses bonnes raisons. D’une part, les proxys offrent des avantages en termes de performances et de sécurité, ainsi qu’une analyse des risques pour tous les types de trafic. En réalité l’analyse que propose les proxys est bien plus approfondie que ce que vos pare-feu autonomes peuvent fournir. Les proxys Web ont l’avantage de pouvoir ouvrir et inspecter entièrement le trafic. Et ils le font sans aucun impact pour les utilisateurs.
En quoi un proxy est-il différent d’un pare-feu ?
Prenons une analogie simple pour illustrer les différences entre un pare-feu et un proxy. Supposons que votre entreprise reçoive un colis. Le préposé au courrier lit d’abord l’étiquette, puis décide qu’il a besoin de plus d’informations sur ce qu’il contient.Il passe donc le colis aux rayons X pour en vérifier le contenu. Dans l’ensemble, les appareils à rayons X fonctionnent plutôt bien, mais ils ne sont pas fiables à 100 %. Pour vraiment savoir ce que contient le paquet, quelqu’un doit l’ouvrir et en inspecter le contenu.
En ce sens, un pare-feu est similaire à une machine à rayons X. Il fonctionne jusqu’à un certain point, mais il a des limites. Pour poursuivre l’analogie, un proxy Web est comparable à un employé qui ouvrirait le paquet. Les proxys fournissent un aperçu détaillé du contenu des paquets de trafic, y compris les payloads. Bien entendu, un proxy déballe, vérifie le contenu et remballe un paquet de trafic à une vitesse bien supérieure à celle d’un être humain qui ouvrirait un colis.
Certains fournisseurs de solutions de pare-feu tentent de brouiller les principes fondamentaux d’une architecture proxy avec des configurations de fichiers PAC et de proxy explicites, mais il s’agit là d’une représentation restrictive. Il est vrai que les proxys fournissent une série de méthodes permettant de diriger le trafic vers des services de sécurité proxy qui vont au-delà du routage conventionnel, et ces capacités fournissent une solution beaucoup plus approfondie et évolutive pour sécuriser et diriger le trafic.
En réalité, l’ensemble de l’internet repose sur la technologie proxy. Pensez aux réseaux de diffusion de contenu (CDN) qu’utilisent les sociétés de streaming telles que Netflix. Ces groupes de serveurs géographiquement disséminés travaillent de concert pour fournir rapidement du contenu Internet aux clients de Netflix. Pensez aux entreprises qui utilisent des contrôleurs de diffusion d’applications (ADC), qui résident dans un data center entre le pare-feu et les serveurs d’applications pour accélérer les performances des applications et effectuer un équilibrage de charge entre les serveurs. Pensez également aux passerelles Web sécurisées (SWG), qui fournissent des protections à grande échelle et surveillent l’accès des utilisateurs à Internet.
La technologie des pare-feu a ses limites
Les pare-feu aident à contrôler le trafic, en appliquant des politiques sur les flux qui ne constituent pas un trafic proxy classique. Le trafic proxy, quant à lui, couvre les protocoles HTTP, HTTPS et FTP, qui constituent la grande majorité du trafic Internet. Même les pare-feu de nouvelle génération ne disposent pas de la puissance de traitement nécessaire pour inspecter tout le trafic HTTPS (chiffré), qui constitue près de 90 % du trafic Web. Cette limitation est devenue une préoccupation majeure et soulève une question cruciale : comment protéger ce que vous ne pouvez pas inspecter ?Les pare-feu de nouvelle génération actuels disposent généralement de plusieurs services de sécurité intégrés (dont la protection contre la perte de données) conçus pour empêcher que les menaces ne pénètrent dans votre entreprise et que les données sensibles ne fuitent. Mais vous ne pouvez pas tirer pleinement parti de ces fonctionnalités lorsqu’elles ignorent l’essentiel de votre trafic.
Les proxys Web et le SASE à la rescousse
Les proxys Web, quant à eux, sont conçus pour inspecter le trafic chiffré à grande échelle et appliquer de manière fiable tous les contrôles de sécurité et de risque.Les proxys canalisent le trafic vers des services de sécurité proxy, ce qui permet aux entreprises d’utiliser d’autres méthodes pour diriger le trafic vers Internet. Ils constituent donc une solution très évolutive et très sûre pour sécuriser et diriger le trafic sans nuire aux performances.
Les SWG basés sur le modèle SASE (Secure Access Service Edge) peuvent fournir ces fonctionnalités. Les solutions SASE multi-entités fournies en tant que service, en particulier, sont à la fois économiques et évolutives ; vous n’avez jamais à vous soucier de la mise à jour ou de la mise à l’échelle de l’infrastructure à mesure que vos besoins évoluent.
Tous les clients de Zscaler, y compris certains des plus grands conglomérats multinationaux, bénéficient des avantages de SWG qui constituent un élément essentiel de la solution Zscaler basée sur le SASE. Gartner affirme non seulement que SWG est un composant essentiel du SASE, mais également qu’il constitue l’architecture technologique fondamentale sur laquelle une plate-forme SASE doit être conçue.
Apprenez-en davantage sur Zscaler SASE ou téléchargez SASE en un coup d’œil (PDF).
Consultez le rapport Gartner sur SASE : Le futur de la sécurité des réseaux se trouve dans le cloud.
Scott Bullock est un ingénieur marketing technique mondial chez Zscaler basé à Melbourne, en Australie.
