firewall+segmentation+interne-solution+guide
DESCRIPTION
Firewall Segmentation Interne - GuideTRANSCRIPT
GUIDE DES SOLUTIONS
Firewall de Segmentation Interne (Internal Segmentation Firewall - ISFW)Contrôle et protection du réseau interne contre les dommages et la propagation des menaces
2 www.fortinet.com
IntroductionLes cyberattaques prennent de l’ampleur tant en nombre, qu’en termes de qualité et d’incidence. Les failles de sécurité se concrétisent par une
notoriété indésirable, ainsi que par une perte de réputation et de la confiance des clients qui peut induire des coûts de récupération conséquents
pour l’entreprise.
Tandis que les entreprises adoptent les dernières technologies informatiques comme Mobility et le Cloud, les frontières des réseaux traditionnels
sont de plus en plus complexes à contrôler et à sécuriser. Les réseaux comprennent désormais de nombreuses failles de sécurité.
Les entreprises investissent dans la protection périphérique à différents niveaux de leur réseau (filiales, campus et datacenter) pour prévenir
l’infiltration du réseau par les menaces. Pendant une décennie, cette stratégie s’est avérée précieuse et efficace.
En plus de l’installation de Firewalls en périphérie du réseau, d’autres solutions de sécurité sont ajoutées pour garantir une protection
multicouche contre les menaces persistantes avancées, ainsi qu’une protection au niveau des applications. Malgré tout, des attaques complexes
parviennent toujours à pénétrer le réseau des entreprises.
Partant du principe que des menaces franchiront le périmètre, il est nécessaire d’installer une couche de protection supplémentaire au réseau
interne qui permet de segmenter l’accès des vecteurs d’attaque potentiels aux ressources stratégiques, afin de fournir une sécurité de nouvelle
génération et une meilleure visibilité tout en limitant les dommages potentiels résultant d’une brèche.
3
GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)
Le défiFait 1 – Le nombre, la complexité et l'impact des menaces sont en augmentation : dans les environnements actuels, les points d’accès aux
réseaux d’entreprise ont connu une croissance exponentielle. Mobility, les appareils intelligents et le Cloud représentent tous une surface d’attaque
croissante par laquelle un plus grand nombre d’attaques complexes peut pénétrer le réseau.
Fait 2 - Le réseau interne est plat et ouvert : pour garantir une plus grande flexibilité et souplesse, les réseaux deviennent de plus en plus plats
et ouverts. Dans la plupart des cas, la mise en œuvre de la sécurité au sein du réseau interne est élémentaire et limitée aux réseaux locaux virtuels
et aux listes d’accès de couche 4. Par conséquent, au-delà du périmètre de sécurité, la propagation des programmes d’exploitation et l’accès
étendu des hackers aux identifiants, aux ressources et aux données sont libres et simples. De plus, le manque d’infrastructure de sécurité au sein
du réseau interne limite de manière significative la visibilité de l’entreprise quant au comportement suspect du trafic, aux menaces et aux flux de
données, ce qui entrave sa capacité à détecter une brèche.
Fait 3 - La segmentation des réseaux locaux virtuels (VLAN) n’est pas suffisante : traditionnellement, la segmentation du réseau interne est
réalisée par le biais du déploiement de réseaux locaux virtuels, la communication intra-VLAN résultant d’une fonction de routage. La segmentation
des réseaux locaux virtuels peut limiter la propagation d’une menace simple aux membres du même VLAN. Cependant, des menaces plus
complexes peuvent facilement se propager d’un VLAN à l’autre, les routeurs n’étant pas des appliances de sécurité et ne disposant pas
de la reconnaissance et des services de sécurité indispensables pour identifier et bloquer efficacement les menaces.
Le modèle de segmentation VLAN possède une évolutivité très restreinte. Il ne peut prendre en charge que les VLAN 4K, ce qui limite sa capacité
à garantir la micro-segmentation requise au sein des environnements d’entreprise actuels, ces derniers pouvant comprendre des milliers
de serveurs et de machines virtuelles.
La solution : Firewall de Segmentation InternePour résoudre plus facilement les problèmes ci-dessus, les entreprises doivent déployer des Firewalls d’entreprise dotés de fonctionnalités
de nouvelle génération au niveau de points stratégiques du réseau interne afin d’apporter une couche de sécurité supplémentaire. Le déploiement
de tels Firewalls, appelés Firewalls de Segmentation Interne (ISFW), confèrera les avantages suivants en termes de sécurité :
1. Contrôle des accès aux ressources aussi proche que possible de l’utilisateur par le biais d’une segmentation basée sur la stratégie en vigueur.
2. Établissement de barrières de sécurité permettant d’interrompre et de limiter la propagation incontrôlée des menaces et de l’activité des hackers au sein du réseau interne par le biais de la mise en œuvre d’une segmentation physique à l’aide de mécanismes de sécurité avancés.
3. Limitation des dommages potentiels inhérents aux menaces au sein du périmètre.
4. Augmentation de la visibilité des menaces et amélioration de la détection et de la neutralisation des brèches.
5. Renforcement de la stratégie de sécurité globale de l’entreprise.
Pour garantir et optimiser un contrôle efficace des menaces et la limitation des dommages potentiels, le déploiement d’un ISFW repose sur deux bases :
n Segmentation du Firewall basée sur la stratégie en vigueur
n Segmentation physique et virtuelle du Firewall
ISFW : segmentation du Firewall basée sur la stratégie en vigueurLa segmentation du Firewall basée sur la stratégie en vigueur a pour objet de segmenter l’accès de l’utilisateur au réseau, aux applications et aux
ressources en associant l’identité de l’utilisateur à l’application des stratégies de sécurité de façon à limiter les menaces et les vecteurs d’attaque
potentiels véhiculés par l’utilisateur.
La segmentation basée sur la stratégie en vigueur associe automatiquement l’identité de l’utilisateur à la stratégie de sécurité appliquée.
L’identité de l’utilisateur peut être définie comme un ensemble d’attributs : emplacement physique, type d’appareil utilisé pour accéder au réseau,
application utilisée, etc. Comme l’identité de l’utilisateur peut changer de manière dynamique, la stratégie de sécurité appliquée doit s’adapter
automatiquement et de manière dynamique également. Par exemple, différentes stratégies peuvent s’appliquer à un utilisateur en fonction du type
d’appareil utilisé pour accéder au réseau.
4 www.fortinet.com
GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)
Afin d’obtenir l’identification utilisateur requise et les paramètres globaux indispensables à la création de stratégies de sécurité granulaires,
un ISFW doit pouvoir :
1. Autoriser l’identification de l’utilisateur, de l’appareil et de l’application
2. Garantir l’intégration à la solution de services d’annuaire de l’entreprise, comme Microsoft Active Directory notamment, afin d’identifier l’identité de l’utilisateur de manière dynamique
3. Mapper de manière dynamique l’identité de l’utilisateur en fonction d’une application et d’une stratégie de sécurité spécifiques
L’association d’un profil utilisateur soumis à une stratégie de sécurité spécifique doit intervenir aussi près que possible de la source ou du point
d’accès. Par conséquent, tous les Firewalls déployés, aux divers niveaux de l’entreprise (de la filiale au campus/siège social) doivent pouvoir
identifier l’utilisateur de manière dynamique et appliquer la stratégie appropriée au sein de l’entreprise. L’intégralité de l’infrastructure de Firewall
se transforme alors en une structure de segmentation intelligente basée sur la stratégie en vigueur.
ISFW : segmentation physique et virtuelle du FirewallLa segmentation basée sur la stratégie en vigueur définit également les services de sécurité appliqués par le Firewall, comme l’antivirus, l’IPS
et le contrôle des applications. Quelle que soit leur efficacité, il est clair qu’une menace inconnue peut pénétrer le réseau. Il est indispensable
d’instaurer une segmentation physique du Firewall pour optimiser la détection et la protection contre les menaces, de même que pour limiter
la propagation des menaces au sein du réseau interne. La nécessité de segmenter physiquement le Firewall résulte de la cruelle réalité des
brèches et de l’adaptation croissante du concept de confiance nulle ; cela implique la micro-segmentation de toutes les ressources au sein
du réseau de l’entreprise par le biais du déploiement d’une infrastructure et de mécanismes de sécurité adaptés pour isoler efficacement les
serveurs, les répertoires de données et les applications.
Fonctionnalités de l’ISFW à l’échelle de l’entrepriseISFW virtuel du Datacenter reposant sur des solutions logicielles (SDDC) : du fait du déploiement massif de la virtualisation et de solutions
logicielles sur les datacenters de l’entreprise dans le monde entier, la micro-segmentation est déjà mise en œuvre par le biais du déploiement
d’appliances de Firewall virtuel avancés, segmentant chaque machine virtuelle (VM). Ces ISFW virtuels, comme FortiGate-VM et FortiGate-VMX,
fournissent les services de sécurité requis pour assurer la visibilité, l’analyse et la protection des flux de trafic (également appelé trafic
« est-ouest ») entre les machines virtuelles.
ISFW physique : dans le cadre des flux de trafic pénétrant et quittant le périmètre du réseau et le datacenter (également appelé trafic
« nord-sud »), l’implémentation d’ISFW physiques est indispensable pour garantir une méthode fiable et économique d’extension de la visibilité
et de la segmentation de la sécurité à l’échelle de l’entreprise :
n du déploiement d’ISFW virtuels pour la micro-segmentation des machines virtuelles ;
n en passant par les ISFW physiques au sein du réseau interne pour garantir une meilleure segmentation de la sécurité des serveurs, des
applications, des données, des fonctions et des services ;
n à la segmentation logique de l’accès de l’utilisateur aux ressources sensibles par le biais de la segmentation axée sur la stratégie de l’ISFW.
Contrairement à l’implémentation d’un ISFW dans un environnement virtuel où un seul ISFW FortiGate virtuel va segmenter et protéger toutes
les machines virtuelles appartenant à un serveur, la détermination de la granularité de la segmentation physique du Firewall (taille, performances
et nombre de ports Ethernet) dépend de plusieurs facteurs comme l’emplacement physique du Firewall, l’architecture du réseau, la structure
de confiance de l’entreprise et la criticité et l’emplacement des ressources du datacenter.
5
GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)
ISFW de bout en bout : bien qu’indépendants, combiner un ISFW virtuel/physique et basé sur la stratégie en vigueur offre les avantages suivants :
1. ISFW basé sur la stratégie en vigueur limitant l’accès des utilisateurs et des vecteurs de menace aux ressources sensibles
2. Capacité à fournir une segmentation interne physique et virtuelle à travers le réseau
3. Limitation des menaces et des incidences correspondantes au segment de réseau pénétré
4. Meilleure visibilité sur le réseau interne concernant les applications, les utilisateurs, les appareils et les flux de données
5. Diminution du délai de détection et de neutralisation des brèches
Prise en considération de l’ISFW : l’implémentation d’une infrastructure ISFW peut être réalisée en :
1. Modifiant l’infrastructure du Firewall existant de l’entreprise
2. Ajoutant des Firewalls faisant office d’ISFW
Ajouter des Firewalls FortiGate faisant office d’ISFW permet de simplifier et d’accélérer le déploiement à l’aide d’un mode transparent. Dans ce
mode, le Firewall constitue une architecture BITW (bump in the wire) et n’est pas perçu comme un saut de routeur vers les appareils connectés.
Par conséquent, aucune modification de l’adresse IP n’est requise.
Quelle que soit l’option de déploiement choisie, les critères suivant doivent être pris en compte :
n ISFW virtuel et physique pour une solution complète de bout en bout
n Intégration aux services d’annuaire
n Amélioration des stratégies de sécurité en vigueur pour permettre la segmentation basée sur la stratégie en vigueur
n Si nécessaire, des ports réseau de Firewall supplémentaires pour une meilleure segmentation physique
n Les performances de l’ISFW doivent correspondre au débit et à la latence exigés lors de la fourniture d’une sécurité de nouvelle génération
dans un environnement hautement segmenté
Firewall de Segmentation Interne avec FortinetFortinet a lancé le concept et le déploiement des Firewalls de Segmentation Interne dans le cadre de son infrastructure de protection contre les
menaces avancées (ATP) des entreprises contre la majorité des menaces complexes actuelles.
Fortinet propose une solution ISFW dynamique, gérable et évolutive :
1. Les stratégies de Firewall FortiGate centrées sur les utilisateurs, les appareils et les applications pour la segmentation basée sur la stratégie
en vigueur
2. L’intégration à RADIUS, LDAP, Active Directory pour l’authentification et la gestion des utilisateurs
3. Les Firewalls FortiGate offrent de nombreux services de sécurité, y compris un antivirus, un IPS et le contrôle des applications, pour garantir
une protection maximale du réseau interne
4. Les appliances FortiGate physiques reposent sur ASIC pour garantir les hautes performances, la vitesse et la faible latence requises dans
un environnement hautement segmenté
5. Les Firewalls virtuels FortiGate proposent des solutions ISFW sur le SDDC et les Clouds publics
6. Nombreuses appliances FortiGate ISFW physiques et virtuelles nécessitant une segmentation optimisée sur le réseau
7. Solution de bout en bout évolutive, gérable et automatique avec FortiManager, FortiAnalyzer/FortiView et FortiAuthenticator
6 www.fortinet.com
GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)
GestionISFW est un composant de la plateforme de sécurité de bout en bout de Fortinet qui comprend un accès sans fil sécurisé aux Firewalls
de datacenter physique et virtuel et aux appliances de sécurité au niveau des applications dont la gestion est assurée depuis un point unique
avec FortiManager et FortiAnalyzer.
Dans le contexte du déploiement d’un ISFW, le nombre de stratégies définies devrait augmenter avec la segmentation interne basée sur la
stratégie en vigueur. De plus, chaque Firewall du réseau de l’entreprise doit pouvoir appliquer la segmentation basée sur la stratégie en vigueur
de manière dynamique, chaque Firewall devant connaître la gamme complète des stratégies définies.
Ces exigences peuvent potentiellement entraîner des problèmes de gestion et avoir une incidence sur les ressources des Firewalls.
FortiManager, FortiAnalyzer et FortiAuthenticator de Fortinet résolvent ces problèmes :
1. Définition des stratégies une fois sur FortiManager
2. FortiManager distribue automatiquement les stratégies aux Firewalls au sein de la segmentation fonctionnelle de l’ISFW
3. L’évolutivité de la prise de conscience de l’utilisateur et de la segmentation basée sur la stratégie en vigueur résulte de l’intégration
de FortiAuthenticator qui garantit l’intégration et l’automatisation des Firewalls FortiGate et des services d’annuaire
4. FortiAnalyzer et FortiView offrent une visibilité granulaire et agrégée du trafic (utilisateurs, appareils, applications, menace, etc.) à l’échelle
de l’entreprise
RésuméAu fur et à mesure que le nombre de menaces, la complexité et l’incidence augmentent, il apparaît clairement qu’accorder la priorité à la
périphérie du réseau en matière de sécurité ne suffit pas.
Les Firewalls de Segmentation Interne fournissent aux entreprises une couche de protection supplémentaire dans le périmètre du réseau en
protégeant les ressources stratégiques tout en améliorant la capacité de détection des brèches et en réduisant les délais de neutralisation.
Grâce à des ISFW virtuels et physiques hautes performances gérés depuis un point unique, Fortinet s’impose en leader et propose une solution
ISFW granulaire, économique et hautement performante aux entreprises et aux environnements les plus exigeants.
7
GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)
www.fortinet.com
SIÈGE SOCIAL MONDIALFortinet Inc.899 Kifer RoadSunnyvale, CA 94086États-UnisTél. : +1 408 235 7700www.fortinet.com/sales
SUCCURSALE EMEA120, rue Albert Caquot06560, Sophia Antipolis, FranceTél. : +33 (0)4 89 87 05 10
SUCCURSALE APAC300 Beach Road 20-01The ConcourseSingapour 199555Tél. : +65 6513 3730
SUCCURSALE AMÉRIQUE LATINEProl. Paseo de la Reforma 115 Int. 702Col. Lomas de Santa Fe,C.P. 01219 Del. Alvaro ObregónMexico D.F.Tél. : 011 52 (55) 5524 8480
FRANCE TOUR ATLANTIQUE 11ème étage, 1 place de la Pyramide 92911 Paris La Défense Cedex France Ventes: +33-1-8003-1655
Copyright © 2015 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres dénominations Fortinet mentionnées sont susceptibles d’être également détenues par Fortinet. Toutes les autres marques appartiennent à leurs détenteurs respectifs. Les performances et autres mesures présentées dans ce document ont été évaluées dans un laboratoire interne et dans des conditions optimales. Elles peuvent varier en conditions réelles. Les variations réseau, la diversité des environnements réseau et d’autres éléments sont susceptibles d’affecter ces performances. Rien dans le présent document ne tient lieu d’autorisation formelle de la part de Fortinet, et Fortinet s’exonère de toute garantie sur le contenu de ce document, implicite ou explicite, sauf si cette garantie résulte d’une obligation contractuelle, signée par le Directeur des affaires juridiques de Fortinet, avec un acheteur, avec mention expresse de la garantie que le produit respecte les performances et spécifications indiquées dans ce document et, dans un tel cas, que seules les performances et spécifications indiquées dans le cadre de cette obligation contractuelle engagent Fortinet. Pour éviter toute confusion, une telle garantie ne s’appliquera que si les performances sont évaluées dans des conditions aussi optimales que celles des laboratoires de test de Fortinet. Fortinet décline toute responsabilité concernant les clauses, représentations et garanties, explicites ou implicites, définies en vertu du présent document. Fortinet se réserve le droit de changer, modifier, transférer ou réviser de quelque manière que ce soit cette publication sans avis préalable. La version anglaise la plus récente de ce document fait foi, en cas d’erreur de traduction notamment. 20 nov. 2015 – 11:53 AM d:\Users\mmrozek\Desktop\P-11165\FR\01.ISFW Solution Guide\Folder SG-Internal Segmentation Firewall-FR\SG-Internal Segmentation Firewall-FR