12 juillet 2021
Votre pare-feu périmétrique offre-t-il suffisamment de sécurité?
Un pare-feu classique axé sur les appareils peut sécuriser le périmètre de réseau. Néanmoins, il n’a pas été conçu pour sécuriser le trafic sur le réseau.
Ce n’est pas inutile, mais un pare-feu de périmètre ne suffit pas. Imaginez le scénario suivant : un utilisateur final innocent d’une entreprise de taille moyenne clique sur un lien de courriel, provenant d’une attaque d’hameçonnage électronique. Fiou! L’esprit mal intentionné est maintenant derrière le pare-feu. Sans contrôle latéral, le code d’exploitation peut rapidement se propager dans tout le réseau.
En réalité, d’après le récent rapport sur le paysage des menaces de VMware, le courriel est toujours le vecteur numéro un pour répandre les logiciels malveillants, et quatre pour cent de tous les courriels sont malveillants. Par conséquent, si votre boîte de réception comprend 701 courriels, 28 peuvent être malveillants. Oh la la!
La plus grande partie du trafic circule dans le centre de données et derrière les pare-feux périmétriques (trafic est-ouest, trafic interne ou trafic latéral), contrairement au trafic nord-sud, qui est entrant/sortant. De même, la plupart des attaques de grande envergure au cours des dernières années ont impliqué des logiciels malveillants établis à l’intérieur du réseau, passant ainsi latéralement d’un serveur à l’autre, sans être détectés, et ce, pendant des mois. Cette situation entraîne de réels dommages. Vous avez simplement besoin d’une visibilité accrue et d’un meilleur contrôle de votre circulation est-ouest pour empêcher les mouvements latéraux des agresseurs.
Les pare-feux périmétriques ne sont pas conçus pour sécuriser le trafic est-ouest
Il est vrai que les pare-feux classiques basés sur les appareils sont indispensables pour sécuriser le périmètre du réseau. Toutefois, ils n’ont pas été conçus pour sécuriser le trafic à l’intérieur du réseau, les flux est-ouest en croissance permanente qui se déplacent latéralement à l’intérieur du centre de données.
Selon une étude de Forrester, sept entreprises sur 10 ont signalé être handicapées par une dépendance excessive aux pare-feux périmétriques. Elles estiment qu’elles surbudgétisaient ces pare-feux, ce qui représente beaucoup d’argent. Cinquante-sept pour cent ont convenu que cela représentait un compromis entre la couverture et la flexibilité/l’agilité opérationnelle.
Les deux flux de trafic présentent des volumes et des caractéristiques différents. Aujourd’hui, la plupart des pare-feux n’ont pas été construits pour une utilisation interchangeable. Pourtant, les pare-feux périmétriques basés sur les appareils sont toujours approvisionnés pour la surveillance du trafic est-ouest. Le problème est que la solution de rechange comprend des tactiques de contournement du trafic comme le « hairpinning », ce qui crée en fin de compte des « bouchons de circulation » pendant les pointes de volume, ce qui augmente les coûts et diminue le contrôle et la performance. Voici un exemple concret prouvant l’importance de ce problème :
Problème du trafic de réseau contourné
Une entreprise de télécommunications mondiale avec des centaines de millions d’utilisateurs dans plus d’une douzaine de pays a besoin de protéger son infrastructure d’applications mobiles essentielles aux consommateurs. Pour ce faire, elle a dû segmenter et sécuriser de grands volumes de trafic réseau sur une infrastructure interne en utilisant une approche de pare-feu interne. Le service des télécommunications a décidé de déployer un pare-feu matériel comme solution de pare-feu interne.
Il n’a pas fallu longtemps à l’entreprise pour éprouver des problèmes de rendement. La solution basée sur les appareils n’a pas pu s’adapter à toutes les charges de travail et à tous les trafics dans les zones de développement/d’essai, de production et de zone démilitarisée des télécommunications. Étant donné que le trafic a été détourné vers les dispositifs pare-feux puis réacheminé, l’entreprise a vu ses performances baisser pendant les pointes de trafic lorsque de nouvelles versions de l’application ont été distribuées.
La solution : le coupe-feu interne
Il est temps de repenser les pare-feux dans le centre de données. La sécurisation du réseau interne est complexe. De plus, les professionnels de la sécurité informatique ne peuvent plus utiliser de pare-feux classiques basés sur les applications pour ce cas de figure.
Les pare-feux internes, tels que le pare-feu défini par le service NSX de VMware, sont des pare-feux de centre de données qui protègent le trafic est-ouest (interne) dans les environnements infonuagiques privés et publics à la granularité des charges de travail. Les professionnels de la sécurité réseau utilisent ces pare-feux pour atténuer les risques, prévenir le mouvement latéral des agresseurs et assurer la conformité aux politiques de sécurité énoncées par leur organisation.
Découvrez le concept des pare-feux internes grâce à ce livre électronique facile à lire : Les pare-feux internes pour les nuls.
VMware nommée chef de file du marché
des pare-feux
Annoncé à la conférence RSA de cette année par CyberDefense Magazine, VMware a été nommée gagnante du prix Global InfoSec à titre de chef de file du marché en matière de pare-feux. L’une des croyances fondamentales de VMware est que des changements structurels et architecturaux sont nécessaires pour que les organisations puissent choisir leur approche sur la sécurité. En d’autres termes, il convient de jeter un œil nouveau sur des problèmes tels que la sécurité des centres de données internes. C’est exactement ce qui a incité la création de VMware NSX, un pare-feu défini par le service.
L’un des fondements de la sécurité VMware, le pare-feu NSX défini par le service est un pare-feu interne unique, distribué et évolutif, qui protège tout le trafic est-ouest sur toutes les charges de travail sans changement de réseau. Cela simplifie radicalement le modèle de déploiement de la sécurité. Il comprend un pare-feu distribué, une protection avancée contre les menaces et des analyses de trafic réseau. Avec le pare-feu VMware NSX défini par service, les équipes de sécurité peuvent protéger leurs organisations contre les cyberattaques qui dépassent le périmètre du réseau classique et tentent de se déplacer latéralement.
Atouts du pare-feu défini par le service
- Application distribuée et granulaire : le pare-feu NSX défini par le service fournit une application distribuée et granulaire des politiques de sécurité pour assurer une protection jusqu’au niveau de la charge de travail, éliminant ainsi le besoin de changements au réseau.
- Évolutivité et débit : dans la mesure où il est distribué, le pare-feu défini par le service est élastique. Il permet d’évoluer automatiquement à mesure que les charges de travail augmentent ou diminuent.
- Visibilité intra-application : le pare-feu défini par le service détermine automatiquement les modèles de communication pour tous les types de charges de travail, formule des recommandations de politique de sécurité en fonction de ces modèles et vérifie que les flux de trafic sont conformes aux politiques déployées.
- API déclarative : grâce au pare-feu NSX défini par le service, les équipes de sécurité peuvent suivre la vitesse de développement pour offrir une véritable expérience de nuage public sur place.
- Prévention avancée des menaces : grâce au pare-feu NSX défini par le service, les équipes de sécurité peuvent déployer facilement des capacités évoluées de prévention des menaces, notamment des systèmes distribués de détection/prévention des intrusions (IDS/IPS), des systèmes de bac à sable, d’analyse/détection de trafic réseau et de réponse (NTA/NDR) pour se protéger contre les menaces connues et les menaces du jour zéro.
Grâce à ces capacités, les clients peuvent déployer rapidement des segments de réseau pour obtenir la vitesse et la flexibilité dont ils ont besoin pour créer et reconfigurer rapidement des segments de réseau ou des zones de sécurité virtuelles en les définissant entièrement dans le logiciel. Le pare-feu NSX défini par le service permet également aux utilisateurs de prévenir le mouvement latéral des attaques en étendant la sécurité est-ouest avec un pare-feu dynamique de couche 7, comprenant des politiques basées sur l’ID d’application et l’ID d’utilisateur, ainsi qu’une protection avancée contre les menaces.
La solution de VMware permet aux clients de répondre aux exigences réglementaires par son inspection de tout le trafic, ce qui offre une couverture complète pour éliminer les angles morts grâce à un système distribué de détection/prévention des intrusions (IDS/IPS) dans le logiciel. Pour finir, les clients peuvent facilement créer, appliquer et gérer automatiquement des politiques de microsegmentation granulaire entre les applications, les services et les charges de travail, dans des environnements multinuages, afin de bénéficier d’un modèle à vérification systématique.
Pour en savoir plus sur les solutions VMware, visitez CDW.ca/VMware