Zpedia 

/ Qu’est-ce qu’un pare-feu en tant que service ?

Qu’est-ce qu’un pare-feu en tant que service ?

Le pare-feu en tant que service (FWaaS) désigne une technologie de sécurité réseau faisant référence à un pare-feu cloud qui offre des capacités avancées de pare-feu de couche 7/de nouvelle génération (NGFW), notamment des contrôles d’accès tels que le filtrage des URL, la protection contre les menaces avancées, les systèmes de prévention des intrusions (IPS) et la sécurité DNS.

FS
Sécurité réseauSécurité Cloud
  1. Pourquoi c'est important
  2. Essor du FWaaS
  3. FWaaS par rapport à NGFW
  4. Pourquoi est-ce nécessaire ?
  5. Fonctionnement
  6. Avantages
  7. Comment Zscaler peut vous aider
  8. Ressources suggérées
  9. Autres thèmes similaires

Pourquoi le FWaaS est-il important ?

Le concept de FWaaS ne consiste pas simplement à virtualiser une appliance de pare-feu réseau. Un FWaaS permet aux entreprises d’éliminer les appliances de pare-feu, de simplifier leur infrastructure informatique et d’améliorer la cybersécurité dans son ensemble. Avec le FWaaS, la gestion est centralisée à partir d’une console unique, supprimant les difficultés liées au contrôle des changements, à la gestion des correctifs, à la coordination des fenêtres d’interruption et à la gestion des politiques associées aux appliances NGFW, tout en aidant les entreprises à appliquer des politiques cohérentes, quel que soit l’endroit où les utilisateurs se connectent.

En quoi un FWaaS est-il différent d’un pare-feu ordinaire ?

Les pare-feu traditionnels sur site ont été conçus et programmés pour inspecter le trafic réseau des bureaux de l’entreprise. Comme son nom l’indique, le FWaaS est fourni via le cloud. La principale différence entre les deux solutions est que les pare-feu sur site peinent à évoluer et à s’adapter aux demandes changeantes du réseau et à l’évolution du paysage des menaces. Le FWaaS étant une solution cloud native, il peut faire les deux, dotant les entreprises d’un outil beaucoup plus efficace pour sécuriser les données, assurer la sécurité des terminaux et effectuer des inspections de sécurité minutieuses.

À l’époque où les activités se déroulaient au bureau, les pare-feu traditionnels offraient une sécurité réseau tout à fait adéquate. La portée des menaces étant limitée aux bureaux de l’entreprise, où les employés se trouvaient 99 % du temps, les équipes informatiques et de sécurité ne devaient pas étendre les services d’un pare-feu au-delà du site où il était installé.

Aujourd’hui, de plus en plus d’entreprises ont recours à des services cloud tels que les SaaS. Avec l’omniprésence des terminaux et la croissance de nouvelles menaces, les pare-feu ne peuvent tout simplement plus rester dans le data center. Ils doivent travailler dans le cloud et évoluer pour protéger les ressources et les employés où qu’ils soient.

L’essor du FWaaS

Le backhauling du trafic vers un NGFW dans un data center d’entreprise ou régional était parfaitement logique lorsque les applications résidaient dans ces data centers et que la plupart des employés travaillaient au bureau. Mais lorsque les applications ont commencé à migrer du data center vers le cloud et que les filiales et le télétravail se sont développés, ces NGFW ont perdu de leur efficacité.

Ensuite, lorsque la pandémie de COVID-19 a obligé les travailleurs à quitter le réseau de l’entreprise et à se connecter depuis n’importe où, les approches traditionnelles de la mise en réseau et de la sécurité, dont le NGFW, n’ont plus suffi. Cela s’explique par le fait que les NGFW, tout comme les autres appliances, n’ont jamais été conçus dans la perspective du cloud.

Quote

Vous ne pouvez pas juste transférer vos outils et fonctionnalités de sécurité traditionnels et les faire tourner dans le cloud. Vous devez vous assurer que vous avez en place la technologie adéquate.

Frederik Janssen, Vice-président du portefeuille d’infrastructures informatiques mondiales, Siemens

FWaaS par rapport à NGFW

Les applications cloud, telles que Salesforce et Microsoft 365, ont été conçues pour être accessibles directement via Internet. Par conséquent, le trafic Internet doit être acheminé localement pour garantir une expérience utilisateur rapide. Acheminer le trafic vers les NGFW des data centers d’entreprise pour le diriger vers Internet n’a plus de sens.

Cependant, appliquer les approches de sécurité traditionnelles aux points d’accès locaux à Internet implique que les entreprises doivent répliquer la pile de sécurité de l’entreprise sur chaque site. Cela exigerait de déployer des NGFW ou des piles d’appliances de sécurité dans chaque filiale, ce qui n’est tout simplement pas viable en termes de coût et de complexité de déploiement et de gestion.

Répétons-le : les NGFW n’ont jamais été conçus pour prendre en charge des applications cloud. Ils sont facilement submergés par les applications cloud, car ils ne peuvent pas évoluer de manière à prendre en charge le volume élevé de connexions de longue durée que ces applications génèrent. Ils ne peuvent pas non plus gérer nativement le trafic chiffré SSL, ce qui est de plus en plus important étant donné la croissance exponentielle du trafic chiffré ces dernières années.

Pour procéder à l’inspection SSL, les NGFW doivent ajouter des capacités de proxy qui exécutent l’inspection SSL dans le logiciel plutôt qu’au niveau de la puce, ce qui a un impact considérable sur les performances et se traduit par une expérience négative pour l’utilisateur.

Les solutions de FWaaS sont parfaitement capables d’exécuter des fonctions telles que l’inspection approfondie des paquets et sont bien plus adaptées à la protection contre la perte de données, du fait qu’elles sont cloud natives. Ainsi, les FWaaS permettent aux entreprises de faire évoluer leur sécurité d’une manière qui serait impossible pour les NGFW, même si les fournisseurs de pare-feu de nouvelle génération prétendront le contraire. Dans la plupart des cas, leurs solutions de sécurité ne sont rien de plus que des appliances de pare-feu virtualisées, qui peuvent faire office de tampons acceptables, mais ne sont pas conçues pour la sécurité à long terme du cloud et du personnel hybride.

Pourquoi les entreprises ont-elles besoin de FWaaS ?

Alors que les entreprises font appel à des fournisseurs d’infrastructure cloud tels qu’AWS pour augmenter leur évolutivité, elles doivent toutefois toujours proposer des capacités de pare-feu d’entreprise à tous les utilisateurs et tous les sites de l’entreprise. Malheureusement, les NGFW ont été conçus il y a plus de dix ans et n’ont pas été conçus pour prendre en charge les applications cloud ou les exigences en termes d’évolution du cloud computing en général.

Leurs homologues de pare-feu virtuels connaissent bon nombre des mêmes limites et défis que les appareils NGFW traditionnels, qui diminuent leur efficacité face aux cyberattaques modernes. Il est donc logique qu’à mesure que vos applications migrent vers le cloud, vos pare-feu doivent les suivre.

Comment fonctionne un FWaaS ?

Un FWaaS permet aux entreprises d’établir des points d’accès locaux sécurisés pour toutes les applications, sans avoir à acheter, déployer ou gérer des appliances de sécurité. Les capacités de sécurité, y compris le pare-feu complet de couche 7, sont fournies sous forme de service cloud qui évolue de manière flexible pour gérer l’inspection SSL, l’accroissement de la bande passante et des demandes des utilisateurs, ainsi que le trafic des applications cloud avec des connexions de longue durée.

La gestion centralisée à partir d’une console unique permet aux entreprises d’offrir une protection identique à tous les utilisateurs, sur tous les appareils, où qu’ils se connectent, qu’ils soient au siège de l’entreprise, en déplacement dans une filiale locale ou qu’ils travaillent à domicile.

Avantages du FWaaS

Le FWaaS offre de nombreux avantages par rapport aux NGFW, notamment :

  • Architecture basée sur un proxy : cette conception inspecte le trafic de façon dynamique pour l’ensemble des utilisateurs, applications, appareils et emplacements. Elle inspecte en mode natif et à grande échelle le trafic SSL/TLS pour détecter les malwares dissimulés dans le trafic chiffré et permet d’appliquer des politiques de pare-feu granulaires couvrant plusieurs couches en fonction de l’application réseau, de l’application cloud, du nom de domaine (FQDN) et de l’URL.
  • IPS Cloud  : un système de prévention des intrusions (IPS) basé sur le cloud offre une protection et une couverture permanentes contre les menaces, quel que soit le type de connexion ou l’emplacement. Il inspecte l’ensemble du trafic utilisateur à l’intérieur et à l’extérieur du réseau, y compris le trafic SSL difficile à inspecter, afin de restaurer une visibilité totale sur les utilisateurs, les applications et les connexions Internet.
  • Sécurité et contrôle du DNS : agissant en tant que première ligne de défense, un pare-feu basé sur le cloud empêche les utilisateurs d’accéder à des domaines malveillants. Il optimise la résolution DNS pour offrir une meilleure expérience utilisateur et de meilleures performances des applications cloud, ce qui est particulièrement critique pour les applications basées sur CDN. Il fournit également des contrôles granulaires pour détecter et empêcher le tunneling DNS.
  • Visibilité et gestion simplifiée : un service de pare-feu basé sur le cloud procure une visibilité en temps réel, un contrôle et une application immédiate des politiques sur l’ensemble de la plateforme. Il consigne chaque session en détail et fait appel à des analyses avancées pour corréler les événements et fournir un aperçu des menaces et des vulnérabilités pour l’ensemble des utilisateurs, des applications et des sites via une console unique.
  • Disponibilité Zero Trust : en matière de sécurité du cloud, rien ne vaut un cadre Zero Trust. En adoptant le FWaaS en tant que composante de votre modèle Zero Trust, vous pouvez appliquer des politiques de sécurité aux terminaux de vos utilisateurs, conformément à la structure SASE (Secure Access Service Edge), indispensable à l’ère du télétravail. Qui plus est, Zero Trust réduit la latence en supprimant le besoin d’accéder au réseau.

Maintenant que vous savez comment un FWaaS peut améliorer votre posture sécurité, votre prochaine question pourrait bien être : « Par où puis-je commencer mon parcours FWaaS ? Soyez prudent. En ce qui concerne FWaaS, une foule de fournisseurs de services proposent une protection améliorée pour les données, les terminaux, le cloud et l’IoT, mais un seul fournisseur a construit son pare-feu dans le cloud, pour le cloud : Zscaler.

Comment Zscaler Cloud Firewall peut vous aider

Zscaler Firewall, une composante de la solution intégrée Zscaler Zero Trust Exchange™, fournit des contrôles de pare-feu de nouvelle génération et une sécurité avancée à tous les utilisateurs, sur tous les sites, pour tous les ports et protocoles. Il offre des points d’accès locaux à Internet rapides et sécurisés et, comme il est entièrement basé dans le cloud, nul besoin d’acheter, de déployer ou de gérer du matériel.

Les NGFW vous obligent à jongler avec une multitude de fonctionnalités de sécurité, ce qui se traduit par une posture rigide et globalement fragile. Zscaler Firewall vous permet de :

  • Définir et appliquer immédiatement des politiques de pare-feu granulaires
  • Passer d’une visibilité globale à des informations exploitables en temps réel
  • Fournir une IPS permanente à tous vos utilisateurs
promotional background

Zscaler Firewall offre une protection de pare-feu en tant que service sans égal pour renforcer l’agilité et la sécurité de votre entreprise.

Solliciter une démo dès aujourd’hui

Ressources suggérées

Fournir Zero Trust avec les pare-feu Cloud-Gen
Regarder le webinaire
Simplifiez la transformation réseau avec Zscaler Cloud Firewall
Consulter l'e-Book
Pare-feu cloud nouvelle génération de Zscaler
Zscaler Cloud Firewall – Les clés d’une migration sécurisée vers le cloud
Télécharger le livre blanc
SD-WAN sans pare-feu cloud ? N’y pensez même pas !
Lire le blog
01 / 03