firewall+segmentation+interne-solution+guide

GUIDE DES SOLUTIONS

Firewall de Segmentation Interne (Internal Segmentation Firewall - ISFW)Contrôle et protection du réseau interne contre les dommages et la propagation des menaces

2 www.fortinet.com

IntroductionLes cyberattaques prennent de l’ampleur tant en nombre, qu’en termes de qualité et d’incidence. Les failles de sécurité se concrétisent par une

notoriété indésirable, ainsi que par une perte de réputation et de la confiance des clients qui peut induire des coûts de récupération conséquents

pour l’entreprise.

Tandis que les entreprises adoptent les dernières technologies informatiques comme Mobility et le Cloud, les frontières des réseaux traditionnels

sont de plus en plus complexes à contrôler et à sécuriser. Les réseaux comprennent désormais de nombreuses failles de sécurité.

Les entreprises investissent dans la protection périphérique à différents niveaux de leur réseau (filiales, campus et datacenter) pour prévenir

l’infiltration du réseau par les menaces. Pendant une décennie, cette stratégie s’est avérée précieuse et efficace.

En plus de l’installation de Firewalls en périphérie du réseau, d’autres solutions de sécurité sont ajoutées pour garantir une protection

multicouche contre les menaces persistantes avancées, ainsi qu’une protection au niveau des applications. Malgré tout, des attaques complexes

parviennent toujours à pénétrer le réseau des entreprises.

Partant du principe que des menaces franchiront le périmètre, il est nécessaire d’installer une couche de protection supplémentaire au réseau

interne qui permet de segmenter l’accès des vecteurs d’attaque potentiels aux ressources stratégiques, afin de fournir une sécurité de nouvelle

génération et une meilleure visibilité tout en limitant les dommages potentiels résultant d’une brèche.

3

GUIDE DES SOLUTIONS : FIREWALL DE SEGMENTATION INTERNE (ISFW)

Le défiFait 1 – Le nombre, la complexité et l'impact des menaces sont en augmentation : dans les environnements actuels, les points d’accès aux

réseaux d’entreprise ont connu une croissance exponentielle. Mobility, les appareils intelligents et le Cloud représentent tous une surface d’attaque

croissante par laquelle un plus grand nombre d’attaques complexes peut pénétrer le réseau.

Fait 2 - Le réseau interne est plat et ouvert : pour garantir une plus grande flexibilité et souplesse, les réseaux deviennent de plus en plus plats

et ouverts. Dans la plupart des cas, la mise en œuvre de la sécurité au sein du réseau interne est élémentaire et limitée aux réseaux locaux virtuels

et aux listes d’accès de couche 4. Par conséquent, au-delà du périmètre de sécurité, la propagation des programmes d’exploitation et l’accès

étendu des hackers aux identifiants, aux ressources et aux données sont libres et simples. De plus, le manque d’infrastructure de sécurité au sein

du réseau interne limite de manière significative la visibilité de l’entreprise quant au comportement suspect du trafic, aux menaces et aux flux de

données, ce qui entrave sa capacité à détecter une brèche.

Fait 3 - La segmentation des réseaux locaux virtuels (VLAN) n’est pas suffisante : traditionnellement, la segmentation du réseau interne est

réalisée par le biais du déploiement de réseaux locaux virtuels, la communication intra-VLAN résultant d’une fonction de routage. La segmentation

des réseaux locaux virtuels peut limiter la propagation d’une menace simple aux membres du même VLAN. Cependant, des menaces plus

complexes peuvent facilement se propager d’un VLAN à l’autre, les routeurs n’étant pas des appliances de sécurité et ne disposant pas

de la reconnaissance et des services de sécurité indispensables pour identifier et bloquer efficacement les menaces.

Le modèle de segmentation VLAN possède une évolutivité très restreinte. Il ne peut prendre en charge que les VLAN 4K, ce qui limite sa capacité

à garantir la micro-segmentation requise au sein des environnements d’entreprise actuels, ces derniers pouvant comprendre des milliers

de serveurs et de machines virtuelles.

La solution : Firewall de Segmentation InternePour résoudre plus facilement les problèmes ci-dessus, les entreprises doivent déployer des Firewalls d’entreprise dotés de fonctionnalités

de nouvelle génération au niveau de points stratégiques du réseau interne afin d’apporter une couche de sécurité supplémentaire. Le déploiement

de tels Firewalls, appelés Firewalls de Segmentation Interne (ISFW), confèrera les avantages suivants en termes de sécurité :

1. Contrôle des accès aux ressources aussi proche que possible de l’utilisateur par le biais d’une segmentation basée sur la stratégie en vigueur.

2. Établissement de barrières de sécurité permettant d’interrompre et de limiter la propagation incontrôlée des menaces et de l’activité des hackers au sein du réseau interne par le biais de la mise en œuvre d’une segmentation physique à l’aide de mécanismes de sécurité avancés.

3. Limitation des dommages potentiels inhérents aux menaces au sein du périmètre.

4. Augmentation de la visibilité des menaces et amélioration de la détection et de la neutralisation des brèches.

5. Renforcement de la stratégie de sécurité globale de l’entreprise.

Pour garantir et optimiser un contrôle efficace des menaces et la limitation des dommages potentiels, le déploiement d’un ISFW repose sur deux bases :

n Segmentation du Firewall basée sur la stratégie en vigueur

n Segmentation physique et virtuelle du Firewall

ISFW : segmentation du Firewall basée sur la stratégie en vigueurLa segmentation du Firewall basée sur la stratégie en vigueur a pour objet de segmenter l’accès de l’utilisateur au réseau, aux applications et aux

ressources en associant l’identité de l’utilisateur à l’application des stratégies de sécurité de façon à limiter les menaces et les vecteurs d’attaque

potentiels véhiculés par l’utilisateur.

La segmentation basée sur la stratégie en vigueur associe automatiquement l’identité de l’utilisateur à la stratégie de sécurité appliquée.

L’identité de l’utilisateur peut être définie comme un ensemble d’attributs : emplacement physique, type d’appareil utilisé pour accéder au réseau,

application utilisée, etc. Comme l’identité de l’utilisateur peut changer de manière dynamique, la stratégie de sécurité appliquée doit s’adapter

automatiquement et de manière dynamique également. Par exemple, différentes stratégies peuvent s’appliquer à un utilisateur en fonction du type

d’appareil utilisé pour accéder au réseau.

4 www.fortinet.com


Afin d’obtenir l’identification utilisateur requise et les paramètres globaux indispensables à la création de stratégies de sécurité granulaires,

un ISFW doit pouvoir :

1. Autoriser l’identification de l’utilisateur, de l’appareil et de l’application

2. Garantir l’intégration à la solution de services d’annuaire de l’entreprise, comme Microsoft Active Directory notamment, afin d’identifier l’identité de l’utilisateur de manière dynamique

3. Mapper de manière dynamique l’identité de l’utilisateur en fonction d’une application et d’une stratégie de sécurité spécifiques

L’association d’un profil utilisateur soumis à une stratégie de sécurité spécifique doit intervenir aussi près que possible de la source ou du point

d’accès. Par conséquent, tous les Firewalls déployés, aux divers niveaux de l’entreprise (de la filiale au campus/siège social) doivent pouvoir

identifier l’utilisateur de manière dynamique et appliquer la stratégie appropriée au sein de l’entreprise. L’intégralité de l’infrastructure de Firewall

se transforme alors en une structure de segmentation intelligente basée sur la stratégie en vigueur.

ISFW : segmentation physique et virtuelle du FirewallLa segmentation basée sur la stratégie en vigueur définit également les services de sécurité appliqués par le Firewall, comme l’antivirus, l’IPS

et le contrôle des applications. Quelle que soit leur efficacité, il est clair qu’une menace inconnue peut pénétrer le réseau. Il est indispensable

d’instaurer une segmentation physique du Firewall pour optimiser la détection et la protection contre les menaces, de même que pour limiter

la propagation des menaces au sein du réseau interne. La nécessité de segmenter physiquement le Firewall résulte de la cruelle réalité des

brèches et de l’adaptation croissante du concept de confiance nulle ; cela implique la micro-segmentation de toutes les ressources au sein

du réseau de l’entreprise par le biais du déploiement d’une infrastructure et de mécanismes de sécurité adaptés pour isoler efficacement les

serveurs, les répertoires de données et les applications.

Fonctionnalités de l’ISFW à l’échelle de l’entrepriseISFW virtuel du Datacenter reposant sur des solutions logicielles (SDDC) : du fait du déploiement massif de la virtualisation et de solutions

logicielles sur les datacenters de l’entreprise dans le monde entier, la micro-segmentation est déjà mise en œuvre par le biais du déploiement

d’appliances de Firewall virtuel avancés, segmentant chaque machine virtuelle (VM). Ces ISFW virtuels, comme FortiGate-VM et FortiGate-VMX,

fournissent les services de sécurité requis pour assurer la visibilité, l’analyse et la protection des flux de trafic (également appelé trafic

« est-ouest ») entre les machines virtuelles.

ISFW physique : dans le cadre des flux de trafic pénétrant et quittant le périmètre du réseau et le datacenter (également appelé trafic

« nord-sud »), l’implémentation d’ISFW physiques est indispensable pour garantir une méthode fiable et économique d’extension de la visibilité

et de la segmentation de la sécurité à l’échelle de l’entreprise :

n du déploiement d’ISFW virtuels pour la micro-segmentation des machines virtuelles ;

n en passant par les ISFW physiques au sein du réseau interne pour garantir une meilleure segmentation de la sécurité des serveurs, des

applications, des données, des fonctions et des services ;

n à la segmentation logique de l’accès de l’utilisateur aux ressources sensibles par le biais de la segmentation axée sur la stratégie de l’ISFW.

Contrairement à l’implémentation d’un ISFW dans un environnement virtuel où un seul ISFW FortiGate virtuel va segmenter et protéger toutes

les machines virtuelles appartenant à un serveur, la détermination de la granularité de la segmentation physique du Firewall (taille, performances

et nombre de ports Ethernet) dépend de plusieurs facteurs comme l’emplacement physique du Firewall, l’architecture du réseau, la structure

de confiance de l’entreprise et la criticité et l’emplacement des ressources du datacenter.

5


ISFW de bout en bout : bien qu’indépendants, combiner un ISFW virtuel/physique et basé sur la stratégie en vigueur offre les avantages suivants :

1. ISFW basé sur la stratégie en vigueur limitant l’accès des utilisateurs et des vecteurs de menace aux ressources sensibles

2. Capacité à fournir une segmentation interne physique et virtuelle à travers le réseau

3. Limitation des menaces et des incidences correspondantes au segment de réseau pénétré

4. Meilleure visibilité sur le réseau interne concernant les applications, les utilisateurs, les appareils et les flux de données

5. Diminution du délai de détection et de neutralisation des brèches

Prise en considération de l’ISFW : l’implémentation d’une infrastructure ISFW peut être réalisée en :

1. Modifiant l’infrastructure du Firewall existant de l’entreprise

2. Ajoutant des Firewalls faisant office d’ISFW

Ajouter des Firewalls FortiGate faisant office d’ISFW permet de simplifier et d’accélérer le déploiement à l’aide d’un mode transparent. Dans ce

mode, le Firewall constitue une architecture BITW (bump in the wire) et n’est pas perçu comme un saut de routeur vers les appareils connectés.

Par conséquent, aucune modification de l’adresse IP n’est requise.

Quelle que soit l’option de déploiement choisie, les critères suivant doivent être pris en compte :

n ISFW virtuel et physique pour une solution complète de bout en bout

n Intégration aux services d’annuaire

n Amélioration des stratégies de sécurité en vigueur pour permettre la segmentation basée sur la stratégie en vigueur

n Si nécessaire, des ports réseau de Firewall supplémentaires pour une meilleure segmentation physique

n Les performances de l’ISFW doivent correspondre au débit et à la latence exigés lors de la fourniture d’une sécurité de nouvelle génération

dans un environnement hautement segmenté

Firewall de Segmentation Interne avec FortinetFortinet a lancé le concept et le déploiement des Firewalls de Segmentation Interne dans le cadre de son infrastructure de protection contre les

menaces avancées (ATP) des entreprises contre la majorité des menaces complexes actuelles.

Fortinet propose une solution ISFW dynamique, gérable et évolutive :

1. Les stratégies de Firewall FortiGate centrées sur les utilisateurs, les appareils et les applications pour la segmentation basée sur la stratégie

en vigueur

2. L’intégration à RADIUS, LDAP, Active Directory pour l’authentification et la gestion des utilisateurs

3. Les Firewalls FortiGate offrent de nombreux services de sécurité, y compris un antivirus, un IPS et le contrôle des applications, pour garantir

une protection maximale du réseau interne

4. Les appliances FortiGate physiques reposent sur ASIC pour garantir les hautes performances, la vitesse et la faible latence requises dans

un environnement hautement segmenté

5. Les Firewalls virtuels FortiGate proposent des solutions ISFW sur le SDDC et les Clouds publics

6. Nombreuses appliances FortiGate ISFW physiques et virtuelles nécessitant une segmentation optimisée sur le réseau

7. Solution de bout en bout évolutive, gérable et automatique avec FortiManager, FortiAnalyzer/FortiView et FortiAuthenticator

6 www.fortinet.com


GestionISFW est un composant de la plateforme de sécurité de bout en bout de Fortinet qui comprend un accès sans fil sécurisé aux Firewalls

de datacenter physique et virtuel et aux appliances de sécurité au niveau des applications dont la gestion est assurée depuis un point unique

avec FortiManager et FortiAnalyzer.

Dans le contexte du déploiement d’un ISFW, le nombre de stratégies définies devrait augmenter avec la segmentation interne basée sur la

stratégie en vigueur. De plus, chaque Firewall du réseau de l’entreprise doit pouvoir appliquer la segmentation basée sur la stratégie en vigueur

de manière dynamique, chaque Firewall devant connaître la gamme complète des stratégies définies.

Ces exigences peuvent potentiellement entraîner des problèmes de gestion et avoir une incidence sur les ressources des Firewalls.

FortiManager, FortiAnalyzer et FortiAuthenticator de Fortinet résolvent ces problèmes :

1. Définition des stratégies une fois sur FortiManager

2. FortiManager distribue automatiquement les stratégies aux Firewalls au sein de la segmentation fonctionnelle de l’ISFW

3. L’évolutivité de la prise de conscience de l’utilisateur et de la segmentation basée sur la stratégie en vigueur résulte de l’intégration

de FortiAuthenticator qui garantit l’intégration et l’automatisation des Firewalls FortiGate et des services d’annuaire

4. FortiAnalyzer et FortiView offrent une visibilité granulaire et agrégée du trafic (utilisateurs, appareils, applications, menace, etc.) à l’échelle

de l’entreprise

RésuméAu fur et à mesure que le nombre de menaces, la complexité et l’incidence augmentent, il apparaît clairement qu’accorder la priorité à la

périphérie du réseau en matière de sécurité ne suffit pas.

Les Firewalls de Segmentation Interne fournissent aux entreprises une couche de protection supplémentaire dans le périmètre du réseau en

protégeant les ressources stratégiques tout en améliorant la capacité de détection des brèches et en réduisant les délais de neutralisation.

Grâce à des ISFW virtuels et physiques hautes performances gérés depuis un point unique, Fortinet s’impose en leader et propose une solution

ISFW granulaire, économique et hautement performante aux entreprises et aux environnements les plus exigeants.

7


www.fortinet.com

SIÈGE SOCIAL MONDIALFortinet Inc.899 Kifer RoadSunnyvale, CA 94086États-UnisTél. : +1 408 235 7700www.fortinet.com/sales

SUCCURSALE EMEA120, rue Albert Caquot06560, Sophia Antipolis, FranceTél. : +33 (0)4 89 87 05 10

SUCCURSALE APAC300 Beach Road 20-01The ConcourseSingapour 199555Tél. : +65 6513 3730

SUCCURSALE AMÉRIQUE LATINEProl. Paseo de la Reforma 115 Int. 702Col. Lomas de Santa Fe,C.P. 01219 Del. Alvaro ObregónMexico D.F.Tél. : 011 52 (55) 5524 8480

FRANCE TOUR ATLANTIQUE 11ème étage, 1 place de la Pyramide 92911 Paris La Défense Cedex France Ventes: +33-1-8003-1655

Copyright © 2015 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare®, FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., et les autres dénominations Fortinet mentionnées sont susceptibles d’être également détenues par Fortinet. Toutes les autres marques appartiennent à leurs détenteurs respectifs. Les performances et autres mesures présentées dans ce document ont été évaluées dans un laboratoire interne et dans des conditions optimales. Elles peuvent varier en conditions réelles. Les variations réseau, la diversité des environnements réseau et d’autres éléments sont susceptibles d’affecter ces performances. Rien dans le présent document ne tient lieu d’autorisation formelle de la part de Fortinet, et Fortinet s’exonère de toute garantie sur le contenu de ce document, implicite ou explicite, sauf si cette garantie résulte d’une obligation contractuelle, signée par le Directeur des affaires juridiques de Fortinet, avec un acheteur, avec mention expresse de la garantie que le produit respecte les performances et spécifications indiquées dans ce document et, dans un tel cas, que seules les performances et spécifications indiquées dans le cadre de cette obligation contractuelle engagent Fortinet. Pour éviter toute confusion, une telle garantie ne s’appliquera que si les performances sont évaluées dans des conditions aussi optimales que celles des laboratoires de test de Fortinet. Fortinet décline toute responsabilité concernant les clauses, représentations et garanties, explicites ou implicites, définies en vertu du présent document. Fortinet se réserve le droit de changer, modifier, transférer ou réviser de quelque manière que ce soit cette publication sans avis préalable. La version anglaise la plus récente de ce document fait foi, en cas d’erreur de traduction notamment. 20 nov. 2015 – 11:53 AM d:\Users\mmrozek\Desktop\P-11165\FR\01.ISFW Solution Guide\Folder SG-Internal Segmentation Firewall-FR\SG-Internal Segmentation Firewall-FR

firewall+segmentation+interne-solution+guide

Documents