 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Alain Thibaud (F5 Networks) : "Nos solutions continuent à pouvoir exister indépendamment les unes des autres" |
| Bien connu pour ses solutions de répartition de charge et de compression de flux, F5 Networks mise désormais sur les fonctions de sécurité VPN SSL et pare-feu applicatif de ses boîtiers pour répondre aux attentes de ses clients.
(12/04/2006) |
|
F5 Networks est présent depuis près de 6 mois sur le marché de la sécurité des applications côté réseau. Alain Thibaud en est le responsable technique.
JDN Solutions. Pourquoi avoir rapproché deux activités a priori distinctes : un pare-feu et de la répartition de charge. N'est-ce pas faire courir un plus grand risque au système d'information ?
 Alain Thibaud. Pas vraiment. D'abord, les solutions F5 Networks continuent à pouvoir exister indépendamment les unes des autres. Il est toujours possible d'accéder à la répartition de charge sur un boîtier à part. Mais rejoindre les deux domaines permet de donner plus d'intelligence à la notion de sécurité et plus de sécurité à la répartition de charge. Nos clients nous demande d'ailleurs la solution de répartition de charge la plus intelligente possible en frontal.
Or, en plaçant un pare-feu au niveau de la répartition de charge, le boîtier peut prendre des décisions du type : je protège telle partie de l'activité informatique et pas telle autre, je chiffre certaines informations ou cookies et pas celles-ci. En plaçant ce pare-feu, nous obtenons en plus des fonctions d'accélération SSL [NDLR : trafic sécurisé] afin d'analyser la trame HTTP au niveau applicatif. Avec une solution de détection d'intrusion classique, il faut analyser la trame entre les échanges avec le serveur et donc décrypter le message pour le lire. A l'inverse, avec cette solution, c'est la réponse en elle-même qui est analysée et non la trame, ce qui évite de compiler et décompiler les informations.
Toute la partie chiffrement s'effectue au niveau du matériel, pas sur le processeur directement afin de limiter l'impact sur la répartition de charge et le pare-feu.
Comment vous positionnez-vous par rapport à la concurrence ?
Notre stratégie consiste à travailler de plus en plus proche de l'application, aussi bien pour la sécurité que pour l'accélération d'application ou la répartition de charge. Le réseau se résume à une notion de commodité. Par exemple, notre pare-feu établit ses règles en fonction d'un premier apprentissage du site client. Tout ce qui n'est pas connu du site est interdit par défaut. A partir de cet apprentissage, l'entreprise établit différents niveaux de règles et peut continuer ainsi à exploiter un site très volatile d'un coté, et être strict sur des domaines plus transactionnels.
| Notre stratégie consiste à travailler de plus en plus proche de l'application |
La problématique de nos clients porte actuellement sur la mise à jour de ces appliances. Comment conserver un système à jour sans rentrer en contradiction avec les règles de firewalling ? Ce découpage le tolère avec certains domaines stricts où les mises à jour seront forcées et d'autres plus souples où elles pourront être lancées plus tard afin d'en limiter l'impact sur les utilisateurs.
Enfin, nous proposons des fonctions de réseau privé virtuel en SSL par le biais d'un matériel à part. A terme, ce produit s'intègrera dans notre système d'exploitation spécifique, baptisé TMOS, soit avec le pare-feu, soit avec la répartition de charge ou encore avec les deux fonctions en même temps. Ces fonctions de sécurité proviennent de nos différents rachats, Magnifire pour la partie pare-feu et uRoam pour le réseau privé virtuel en SSL.
Ces produits sont-ils interopérables avec d'autres solutions du marché ?
Communiquer avec des produits tiers fait partie des plans inscrits sur la feuille de route de F5 Networks. Au niveau de la supervision, nous sommes déjà capable de proposer du XML SOAP chiffré en SSL. Le produit peut donc être administré et piloté à distance par des plates-formes de supervision. L'administrateur réseau peut ainsi limiter les connexions, remonter des alarmes ou des statistiques. D'autre part, des applications comme Oracle peuvent, par le biais des services Web, activer à distance certaines fonctions de sécurité sans intervention humaine. |
| |
| |
|
|
|
|
|
|
Dossier 