par Franck Trognee, Country Manager France de SonicWALL
Les administrateurs informatiques s’efforcent de fournir les meilleures solutions de sécurité réseau mais doivent faire face à des collaborateurs utilisant de plus en plus de logiciels encombrants, dangereux et surtout ayant un comportement à risque en termes d’utilisation d’Internet.
Les firewalls utilisés aujourd’hui dans de nombreuses entreprises se réfèrent uniquement aux ports et aux protocoles et ne sont donc pas en mesure d’identifier les applications cloud et SaaS ainsi que les multiples services web 2.0 qui reposent sur le navigateur. Par conséquent, ces équipements ne peuvent distinguer le trafic productif de l’improductif. De ce fait, l’informatique en est réduite à un contrôle binaire du trafic, ne laissant le choix qu’entre blocage et autorisation. Faut-il donc bloquer des ports ou des protocoles entiers à seule fin de filtrer quelques applications indésirables ? Ou bien faut-il plutôt ouvrir les vannes et autoriser l’accès à toute application susceptible d’être utile, même au risque de saper la productivité et d’exposer l’entreprise aux menaces ? Le choix est cornélien.
Pour s’épargner ce dilemme il faut s’équiper d’un firewall de nouvelle génération (NGF, Next-Generation Firewall), offrant des fonctions complètes d’information, de contrôle, d’identification et de visualisation pour l’ensemble des applications transportées sur leurs réseaux. Ces NGF sont d’une grande efficacité car ils peuvent intégrer étroitement le contrôle des applications avec d’autres fonctionnalités telles que la prévention d’intrusion et la protection antimalware. Ils permettent d’améliorer la productivité du réseau et des utilisateurs en allouant en priorité la bande passante aux applications critiques et en bridant l’accès aux médias sociaux et aux jeux.
Pour gérer les applications efficacement, le firewall de nouvelle génération doit répondre à chacun des critères suivants :
1- Un scanning de l’ensemble du trafic applicatif
Tout d’abord, un NGF doit pouvoir scruter la totalité du trafic, y compris au niveau des couches réseau et application. Cela implique d’aller au-delà de la simple inspection « stateful » pour procéder à une analyse approfondie des paquets, indépendamment du port et du protocole utilisés. En outre, le moteur d’inspection approfondie des paquets intégré au firewall doit être mis à jour de façon dynamique afin d’identifier les plus récentes menaces d’intrusion, attaques de malware ou de spyware ou encore les sites web susceptibles de compromettre la sécurité de votre réseau. Le plus important est que le firewall puisse bloquer ces menaces pour la sécurité sans introduire de temps de latence ni dégrader la capacité d’utilisation du réseau.
2- Identification de l’empreinte et visualisation des applications traversant le firewall
Pour permettre d’établir et d’ajuster des règles de contrôle des applications en fonction d’observations critiques, le NGF doit offrir la possibilité de surveiller et de visualiser l’ensemble du trafic applicatif sur votre réseau. Dans un souci d’efficacité, il doit identifier « l’empreinte » des applications spécifiques fonctionnant sur le réseau et comprendre à qui leur trafic est destiné. Il doit présenter ces informations sous une forme graphique intuitive, afin de permettre à l’administrateur d’observer en temps réel l’activité des applications, dresser des rapports de tendances sur celles-ci, ainsi que sur la bande passante en entrée et en sortie, les sites Web visités et toutes les autres activités des utilisateurs.
3- Mise en place de règles granulaires de contrôle des applications
Le NGF doit permettre de créer des règles applicatives avec facilité et souplesse, sur la base de critères contextuels, par exemple en fonction d’un utilisateur, d’un groupe, d’une application ou d’un moment de la journée. Il pourrait ainsi s’agir de donner accès à une application particulière suivant le rôle de son utilisateur au sein de l’entreprise. Un membre d’une équipe marketing pourra notamment avoir des raisons légitimes d’accéder à Twitter et Facebook pour des campagnes sur ces médias sociaux, alors que ce n’est peut-être pas le cas d’une personne de la comptabilité. De plus, dans l’optique d’une gestion facilitée et efficace, chaque règle doit être centralisée, unifiée et orientée objet. Les NGF dotés d’une intelligence applicative et donc capables de contrôler les applications autorisent la mise en place de règles de pare-feu granulaires dans ce domaine, aidant à retrouver une pleine maîtrise du trafic applicatif en gérant la bande passante. Il en résulte des gains de productivité, une prévention des fuites de données et une protection contre les codes malveillants véhiculés par les applications.
4- Gestion de la bande passante des applications
Pour aider à gérer la bande passante des applications, un NGF doit permettre d’allouer en priorité la bande passante aux applications essentielles et sensibles aux temps de latence (par exemple, Salesforce.com, LiveMeeting ou la VoIP), mais aussi de limiter la bande passante allouée aux applications non essentielles (telles que YouTube, MySpace ou Facebook). En outre, le firewall doit aider à améliorer encore la productivité en contrôlant l’accès à des sites Web applicatifs (ESPN, par exemple,). A tout le moins, l’administrateur doit avoir la possibilité de limiter l’accès à des fonctionnalités spécifiques au sein des applications, par exemple autoriser l’accès à Facebook mais bloquer celui à Farmville et à d’autres jeux sur cette plate-forme.
5- Blocage des codes malveillants véhiculés par les applications
Les malwares n’ont plus besoin d’une intervention de l’utilisateur pour s’exécuter. Leur diffusion ne passe plus simplement par l’envoi d’exécutables infectés par un virus et l’attaque de systèmes sur des réseaux locaux, mais désormais par l’exploitation de failles dans des documents, fichiers ou navigateurs traditionnellement considérés comme sûrs. A titre d’exemple, les fichiers Adobe PDF et Flash sont devenus des cibles privilégiées en raison de leur compatibilité multiplate-forme et de la nature invisible des attaques qu’ils peuvent renfermer. Ces menaces s’infiltrent dans les réseaux via divers canaux et ne peuvent être déjouées que par des boitiers employant des services de sécurité dynamiques et recevant en continu des informations sur les malwares, fournies par des laboratoires de recherche spécialisés.
6- Contrôle des applications distribuées
Une fois la passerelle centrale équipée d’un NGF, l’étape logique suivante consiste à mettre en œuvre les règles de contrôle des applications et de gestion de la bande passante sur les sites distribués de chaque filiale. Du fait que les réseaux des filiales sont aujourd’hui directement connectés à Internet, il faut faire preuve d’une égale vigilance dans la sécurisation du trafic applicatif à destination et en provenance des sites correspondants. La gestion de la bande passante est elle aussi cruciale pour optimiser les performances des réseaux distribués et la productivité des collaborateurs distants. Le contrôle des applications permet de définir des règles en fonction des besoins spécifiques de chaque zone géographique ou site (par exemple, une succursale ayant besoin de bande passante prioritaire pour une application transactionnelle en mode cloud). Les mêmes contrôles granulaires facilitent également l’administration en offrant la possibilité d’appliquer, à partir d’une console centrale, des règles normalisées pour des rôles et groupes à base d’objets sur les différents sites distribués. En outre, de robustes capacités de visualisation sont indispensables à la sécurité des réseaux largement distribués, car elles permettront de surveiller et suivre les tendances en matière d’utilisation, de trafic et de performances, afin d’adapter les règles en conséquence sur l’ensemble du réseau.
7- Performances optimales
Enfin, tout cela ne sert à rien si le firewall n’offre pas une puissance à la hauteur de la tâche. Il doit en effet présenter les performances nécessaires pour un contrôle total des applications, sans que le débit du réseau s’en trouve pénalisé. Une technologie performante (par exemple, une architecture multicœur et un scanning sans réassemblage ni buffer (RFDPI) peut considérablement renforcer la viabilité de la solution de contrôle intelligent des applications.
