Nouvelles applications, nouveaux risques : est-ce une fatalité ?
Nous sommes entrés dans l’ère des applications génératrices de gains de productivité, mais aussi de risques. Une main-d'œuvre plus mobile et des menaces plus sophistiquées obligent à repenser la sécurité. C'est là que la nouvelle génération de pare-feu (NGFWs) entre en jeu.
Alors que les NGFWs vous fournissent une plus grande granularité de contrôle, ils peuvent, aussi, à leur tour, accroître la complexité de vos politiques et exiger une planification et des considérations supplémentaires.
L'avènement des pare-feu
de nouvelle génération
Les pare-feu traditionnels, qui bloquent les IP sources, IP destinations et
les ports, ont été positionnés sur les passerelles depuis qu’elles existent.
Bien qu'ils continuent à jouer un rôle important dans la sécurité de votre
réseau, les attaquants ciblent les données et utilisent la couche applicative
afin de les obtenir. La nouvelle génération de pare-feu va au delà du filtrage
des ports 80 ou 443 et vous permet un plus grand contrôle en vous fournissant
la possibilité d’effectuer un filtrage en fonction du type d'application et de
l'identité de l'utilisateur. Avec cette plus grande granularité, vous pouvez
définir ce que certains groupes d'utilisateurs peuvent faire avec une
application particulière, permettant ainsi d’obtenir une meilleure sécurité et,
en conséquence, un avantage concurrentiel (par exemple, l'équipe de marketing
doit être capable de poster sur Facebook, mais pas un développeur).
Considérations concernant les politiques
de pare-feu
Une plus grande granularité de contrôle apporte plus
de complexité. Plus vos politiques
de réseau sont complexes,
plus grande est la possibilité d’avoir des pare-feu mal configurés. Et selon Gartner, 95% des violations de pare-feu sont causées par des erreurs de configuration – et non par des défauts de ces pare-feu. Si vous définissez des politiques au niveau des applications,
vous devez comprendre
chaque application,
sa valeur ajoutée pour les
différents utilisateurs et les risques potentiels qui y sont associés.
Les décisions politiques en matière de pare-feu ne sont plus entièrement noires ou entièrement
blanches. Comme les ensembles de règles et les nombres de caractéristiques augmentent,
la complexité augmente
également. Voici
quelques questions que vous devez vous poser (et auxquelles il faut que vous apportiez
des réponses !) avant d’exploiter des politiques par type d'application et par type d’identité des
utilisateurs que permettent les pare-feu de nouvelle génération :
* Combien de demandes de changement
de plus par semaine
devez-vous vous attendre
à avoir à traiter ?
* Votre équipe existante peut-elle absorber la charge supplémentaire sans dégradation des délais
d'exécution ?
* Aurez-vous besoin d’effectifs
supplémentaires ?
* Quel est l'impact si vous définissez
la politique par des règles telles que «bloquer les
réseaux sociaux, le
partage de fichiers et le
streaming vidéo, et
autoriser tout le trafic
Web restant » ?
Votre IT doit comprendre
quelles sont les applications
nécessaires pour quels
utilisateurs et
doit fournir un accès - sans
ralentir la
productivité et sans
ouvrir des
failles de sécurité qui provoqueraient des fuites de données ou des intrusions de logiciels malveillants.
Voici quelques recommandations à
garder à l'esprit
lors du déploiement de
politiques de pare-feu
de nouvelle génération à
granularité plus fine :
* Exécutez vos NGFWs dans un « mode
d'apprentissage » de
sorte que vous puissiez
voir ce
pourquoi les applications sont utilisées dans votre environnement et par qui. Cela peut, pour commencer, vous fournir
des informations essentielles
pour définir des politiques plus
granulaires.
* Simplifiez et automatisez la
gestion de vos
politiques de pare-feu
de nouvelle génération en
tandem avec vos
politiques traditionnelles.
Alors que les NGFWs fournissent plus de détails
et plus de contrôle,
vous voulez vous assurer que
vous pouvez ajouter,
mettre à jour, modifier,
supprimer les
politiques à
travers tout
votre domaine protégé par les pare-feu de manière normalisée pour garantir la productivité
et l'efficacité
opérationnelle.
* Exécutez des requêtes à
risque contre
des applications
spécifiques, comme
autre contrôle
de sécurité, et démultipliez les risques tiers dans vos bases de données pour
obtenir des informations précises.
La nouvelle génération de
pare-feu apporte,
sans nul doute, des avantages supplémentaires par rapport aux pare-feu
traditionnels.
Mais pour vraiment
tirer profit de ces avantages
sans ajouter de la complexité
et donc des éléments de risque,
vous devez, à l'avance, élaborer un plan de mise en œuvre et un processus vous permettant de gérer ces
politiques dans le temps et dans le cadre de votre environnement réseau au sens large.