11 juin 2013

La réponse se trouve tout simplement être le principal concept du Firewall de « Next Generation », l’écriture de politiques de sécurité basées sur des applications. Et non plus sur des ports TCP/UDP. Bien évidemment il est techniquement possible d’effectuer un déploiement « statefull » c’est-à-dire en utilisant les (seuls) critères d’adressage et de ports mais ça n’a pas sens.

La technologie « statefull inspection » date d’une quinzaine d’années, à cette époque, de part le faible nombre d’applications il était aisé d’associer (de manière arbitraire) un port TCP/UDP à une application. Aujourd’hui la multitude d’applications orientées web, la montée en force du Software As Service font que ce modèle est dépassé et présente un risque important pour les sociétés.

Un firewall de « Next Generation » permet donc de mettre en place une politique de contrôle basé sur un « default Deny » au niveau application et non plus au niveau ports TCP/UDP. De ce fait il est alors possible d’appliquer pleinement la politique de filtrage positionnée dans une PSSI (Politique de Sécurité du Système d’Information) mais surtout de l’enrichir avec les nouvelles capacités à notre disposition. Non seulement nous serons en mesure de dire que le flux port 25 est bien du flux SMTP mais nous pourrons aller au-delà en indiquant, par exemple, que seule l’équipe commerciale peut accéder à l’application salesforce. Il y a donc généralement un travail d’écriture de la politique de flux (ou de réécriture si elle est présente) à réaliser en amont de l’intégration à proprement parlé.

La migration d’un firewall traditionnel vers un firewall Next Generation est généralement l’occasion d’épurer la politique et de la durcir en supprimant les règles trop permissives et les règles inutiles qui se sont accumulées au fil des années en créant une politique exploitable basée sur les applications. Il est tout à fait possible de travailler en amont de la migration. L’autre méthode est de migrer à isopérimètre et ensuite de s’appuyer, post-migration, sur la détection applicative pour durcir et épurer la politique de sécurité.

Lors de l’intégration ou de la migration vers un firewall de « Next Generation » il est nécessaire et impératif d’effectuer un travail de définition ou de révision de la politique de filtrage pour être en mesure d’utiliser pleinement les capacités de filtrage applicatives de la solution.

« Ce type de chantier n’est pas forcément compliqué, mais requiert souvent un œil externe et critique. Nous sommes évidemment à votre disposition pour en discuter avec vous, et vous aider si besoin ! »

Partager :

Auteurs