Barracuda full logo

Élaborer une stratégie de défense à plusieurs niveaux avec un Firewall-as-a-service et une passerelle Web sécurisée intégrés

Thèmes:
6 avr. 2023
|
Stefan Schachinger

Les attaques par ransomware sont une préoccupation majeure pour les entreprises et autres organisations. Le rapport « Barracuda 2023 Ransomware Insights Report » révèle qu'en dépit des tendances mondiales en matière de ransomware, 27 % des entreprises interrogées déclarent ne pas être totalement en mesure de faire face à une attaque par ransomware. Un grand nombre des personnes interrogées se sont dites dépassées par le nombre élevé de cyberattaques.

Les entreprises disposant d'un grand nombre de données et d'une surface d'attaque importante courent un plus grand risque d'attaque. Le trafic web ou les applications web, la messagerie électronique et d'autres types de trafic réseau sont des points de départ classiques pour les attaques par ransomware.  Les tendances en matière d'attaques révèlent différents points de départ en fonction du secteur d'activité, mais toutes les entreprises doivent se protéger contre tous les vecteurs de menace afin d'être pleinement sécurisées. Cela signifie qu'il faut utiliser une stratégie de défense à plusieurs niveaux qui protège les surfaces d'attaque par-delà le firewall de l'entreprise.  

Firewall-as-a-service (FWaaS)

Après la popularisation du cloud public il y a une dizaine d'années, il est devenu évident que les capacités des firewalls classiques n'étaient plus suffisantes pour protéger les entreprises. Les firewalls basés sur du matériel ne pouvaient pas se déployer au-delà des locaux de l'entreprise, la protection du firewall ne s'étendait donc pas au cloud.  La solution immédiate consistait alors à déployer des appliances virtuelles dans le cloud public pour protéger et connecter principalement les offres d'Infrastructure-as-a-Service (IaaS).  

La croissance et l'évolution du cloud public ont mis en évidence certaines failles dans la stratégie des firewalls virtuels.  Les appliances virtuelles fonctionnaient comme prévu, mais elles n'avaient pas la polyvalence requise par l'évolution de l'infrastructure cloud. Les applications SaaS (Software-as-a-Service) se développent rapidement. L'adoption du cloud public a donné lieu à de nouvelles considérations concernant l'évolutivité, les licences, la gestion des ressources et les coûts. Une conception plus adaptée des firewalls était nécessaire pour répondre à ces besoins.

Le FWaaS est la nouvelle forme de firewall pour le cloud. Il s'agit d'un firewall fourni en tant que service « cloud-native », mais c'est bien plus qu'un service de protection du cloud. Dans le cadre du développement de la plateforme Secure Access Service Edge (SASE), le FWaaS peut déployer toutes ses capacités. Cela signifie que vous pouvez utiliser votre FWaaS pour protéger non seulement les ressources cloud, mais aussi les utilisateurs et les sites.

Qu'est-ce qui rend FWaaS si spécial ? Voici quelques informations sur le service Firewall-as-a-Service :

  • Comme tous les meilleurs firewalls modernes, FWaaS inclut l'ensemble des fonctionnalités de sécurité de la prochaine génération, y compris un ensemble de règles basées sur les applications et les intentions, IPS/IDS, sandboxing (protection avancée contre les menaces), et bien plus. Il protège les ressources contre les menaces internes et externes.
  • Le FWaaS est le point d'entrée pour se connecter à de nombreux services hébergés dans le cloud qui ne sont pas accessibles au public.  Cela permet au FWaaS de protéger les workloads du cloud et les utilisateurs qui accèdent à ces applications.
  • Les capacités de sécurité et d'inspection d'un FWaaS s'étendent au-delà du cloud pour englober les activités sur site. Le Firewall-as-a-Service peut inspecter le trafic utilisateur en même temps que les firewalls matériels sur site. Cela permet de réduire la dépendance à l'égard de ces firewalls et les pénibles problèmes de retransmission. La configuration du FWaaS pour l'inspection du trafic utilisateur renforce également la sécurité du point d'accès. Une solution intelligente pour les terminaux effectue une inspection basée sur l'intention et identifie le trafic qui nécessite une inspection supplémentaire. Le terminal acheminera le trafic en conséquence.
  • Un FWaaS est géré par une interface cloud simple mais puissante et est beaucoup plus rapide à configurer et à déployer que les solutions de firewall traditionnelles. Bien que de nombreuses entreprises adoptent une approche « cloud-first », très peu sont purement « cloud-only ». Il est donc particulièrement important de regrouper les capacités de gestion dans un seul et même espace. Cela est particulièrement vrai en présence d'autres composants de sécurité tels que les solutions ZTNA (Zero Trust Network Access) ou les firewalls. La plateforme SASE permet de gérer ces composants de sécurité comme autant d'éléments d'une solution unique.
  • Comme pour la plupart des offres « as-a-Service », l'octroi de licences est simple et flexible, et les conditions d'accès sont peu contraignantes.

Le FWaaS transpose le firewall de l'entreprise dans le cloud public et se présente en tant que service. Cette solution peut être utilisée de manière autonome ou combinée avec des composants sur site dans le cadre de déploiements hybrides.  

Passerelle Web sécurisée (SWG)

La façon dont nous utilisons le web a évolué parallèlement à l'adoption du cloud public. Les équipes de sécurité avaient l'habitude de se défendre contre les menaces basées sur le web à l'aide d'un dispositif de filtrage web installé en un lieu central. Cette approche ne permet pas de protéger les utilisateurs qui opèrent hors de ce lieu.  Maintenant que de nombreuses ressources sont disponibles sous forme d'applications web, les utilisateurs peuvent travailler depuis n'importe quel endroit disposant d'une connexion Internet. La retransmission du trafic web vers un centre de données à des fins d'inspection entraîne une latence supplémentaire et peut interférer avec l'accès aux ressources en fonction de l'emplacement. Le filtre web classique sur site ne peut pas protéger l'utilisateur actuel. La sécurité web doit être mise en œuvre là où elle est nécessaire : au niveau du terminal.

L'évolution de l'utilisation du web ne se limite pas à l'emplacement où les utilisateurs se trouvent lorsqu'ils accèdent au web. La quasi-totalité du trafic des utilisateurs sur l'internet est aujourd'hui du trafic web, et il s'agit principalement de trafic HTTPS crypté. D'autres protocoles comme FTP ou SSH (vous vous en souvenez ?) ont presque complètement disparu de la vie courante au cours des deux dernières années. On pourrait dire que le firewall Internet pour le trafic sortant est le filtrage web moderne. C'est pourquoi la SWG et le FWaaS se complètent si bien.

Quelques informations sur la passerelle Web sécurisée :

  • Une solution SWG devrait disposer d'un filtrage simple basé sur le DNS sur le terminal afin de bloquer immédiatement les catégories de sites web indésirables ou inappropriés et les sites réputés malveillants. Cette solution empêche tout accès à ces menaces.  Il s'agit d'une méthode techniquement simple mais très efficace pour assurer un bon niveau de sécurité.
  • Des ensembles de règles granulaires peuvent être configurés pour bloquer, autoriser ou inspecter minutieusement des applications spécifiques.
  • Tout trafic suspect ou inconnu doit passer par l'inspection SWG, où une protection avancée contre les menaces est appliquée. Cela permet de s'assurer qu'aucune menace ne passe inaperçue et n'est transférée à l'utilisateur.
  • La SWG est capable d'intercepter le protocole SSL. Cette capacité est nécessaire car la majeure partie du trafic web est cryptée par le protocole HTTPS. L'inspection du trafic web ne peut protéger les utilisateurs que si elle est capable d'analyser le trafic crypté.

Comment cela fonctionne-t-il ?

Le FWaaS et la SWG sont tous deux des composants d'une solution SASE moderne. Et comme pour tous les éléments SASE, les avantages croissent au fur et à mesure que les cas d'utilisation se multiplient. Une plus grande intégration des composants techniques offre à l'administrateur de nouveaux avantages en matière de configuration et de déploiement. Cela permet de renforcer la sécurité des utilisateurs.  

Les avantages de l'intégration du FWaaS et de la SWG sont évidents, mais un déploiement SASE implique également un ZTNA en tant que composant terminal. Dans un contexte professionnel itinérant, un ZTNA est essentiel pour fournir le même niveau de sécurité au terminal et à l'utilisateur, où qu'il se trouve, que ce soit à la maison ou au bureau. Les décisions de base, telles que les règles basées sur les applications et le filtrage des URL, peuvent être appliquées au niveau du terminal. En fonction de l'endroit où se trouve l'utilisateur, le trafic qui nécessite une inspection supplémentaire est traité soit par une appliance classique, soit par le firewall cloud.  Les capacités de firewall cloud fournies par le FWaaS et la SWG combinés exécuteront l'inspection du trafic réseau sur la couche de transport OSI 4 (OSI Transport Layer 4), ainsi que l'interception du protocole SSL et d'autres inspections approfondies sur le web.

Dans le cas où l'utilisateur tente d'accéder à des ressources privées, le FWaaS serait de toute façon le point d'entrée pour établir une connexion, à défaut de quoi le trafic de l'utilisateur serait inspecté et réacheminé après avoir été autorisé à accéder aux ressources privées. 

Les entreprises disposant d'appliances matérielles et de passerelles SDWAN protégeant les ressources sur site peuvent intégrer ces solutions dans la plateforme SASE basée sur le cloud. Cela rend l'ensemble de l'architecture plus polyvalente et multiplie les avantages pour les administrateurs informatiques et les utilisateurs finaux. Dans ce cas, il est évident qu'il faut toujours en faire plus.

Premier pas avec les solutions SASE et la sécurité multicouche 

Barracuda propose des solutions complètes de firewall et de sécurité web qui peuvent être entièrement intégrées à l'accès Zero Trust. Nos experts peuvent répondre à vos questions et vous présenter nos solutions dans le cadre d'une démonstration, ou vous aider à déployer une version d'essai gratuite dans votre propre environnement.Pour vous lancer, rendez-vous sur notre site Web.

 

 

 

 

Stefan Schachinger

Stefan Schachinger est chef de produit, sécurité réseau, dans les domaines de l'IoT/OT/ICS. Il travaille avec l'équipe de Barracuda à Innsbruck, en Autriche, depuis 2013. Retrouvez-le sur LinkedIn ici.

Billets associés :
Prochains webinaires à ne pas manquer
Prochains webinaires à ne pas manquer
 Sécurisez durablement votre accès Internet grâce à la nouvelle génération d’appareils de sécurité Web
Sécurisez durablement votre accès Internet grâce à la nouvelle génération d’appareils de sécurité Web
Avec l’essor des agents d’IA, l’application de la confiance zéro devrait finalement s’imposer
Avec l’essor des agents d’IA, l’application de la confiance zéro devrait finalement s’imposer
 Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.