Qu’est-ce qu’un pare-feu interne ?
Un pare-feu interne est une solution de sécurité conçue pour protéger un réseau contre les attaques qui ont déjà franchi le périmètre. Un pare-feu, en général, est un dispositif ou un logiciel conçu pour surveiller le trafic et empêcher tout accès non autorisé ; un pare-feu interne est une application avancée de ce concept.
Lorsque l’on compare un pare-feu interne à un pare-feu de périmètre, il existe plusieurs différences essentielles. Contrairement à un pare-feu de périmètre traditionnel, un pare-feu interne doit fournir de manière proactive une visibilité et une protection contre les menaces internes, et doit être suffisamment rapide pour répondre aux exigences du trafic interne. De nos jours, les cyber-attaques sont de plus en plus susceptibles de franchir le périmètre du réseau, et les pare-feu internes minimisent les dommages que celles-ci peuvent causer.
Bien qu’il soit recommandé que toutes les entreprises disposent de pare-feu internes et de mesures de sécurité similaires, les pare-feu internes sont particulièrement utiles pour les très grandes entreprises qui exploitent plusieurs segments de réseau pour différents services, ainsi que pour les réseaux qui présentent de grandes surfaces d’attaque en raison de l’exécution de services distribués dans des Clouds publics et privés.
Protéger votre Data Center au moyen d’un pare-feu interne dédié
Offrez une sécurité intrinsèque avec le pare-feu service-defined
Comment fonctionne un pare-feu interne ?
- Réduire la surface d’attaque à l’aide de la micro-segmentation, qui divise le réseau en zones granulaires sécurisées séparément
- Utiliser une automatisation intelligente pour déployer et mettre à jour des règles de sécurité à partir d’un « bon comportement connu »
Au lieu d’essayer d’identifier et de neutraliser chaque menace individuellement, un pare-feu interne s’appuie sur une compréhension approfondie du trafic interne pour identifier les activités qui ne sont pas conformes au comportement que les administrateurs s’attendent à voir. Il définit des règles au niveau du réseau et des processus en vue d’atténuer les menaces qui exploitent plusieurs vecteurs d’attaque. Un pare-feu interne réside à des points stratégiques du réseau interne et utilise une approche zéro confiance pour isoler les menaces et limiter les dommages potentiels. Autrement dit, il part du principe que les menaces se sont déjà frayé un chemin et les empêche de se déplacer librement au sein du réseau interne.
En quoi cela diffère-t-il d’un pare-feu externe ?
Un pare-feu interne surveille et sécurise le trafic réseau est-ouest (interne), plutôt que le trafic nord-sud, au niveau du périmètre. Un pare-feu externe surveille le périmètre du réseau et empêche tout accès non autorisé depuis l’extérieur. Les deux types de pare-feu sont destinés à résoudre des problèmes différents : Alors qu’un pare-feu externe protège simplement contre les intrusions extérieures, un pare-feu interne doit surveiller l’ensemble du trafic sur le réseau afin d’identifier les utilisateurs malveillants et les menaces potentielles. Pour cette raison, la conception des pare-feu internes et externes présente deux différences essentielles :
Un pare-feu interne ne peut pas s’appuyer sur les méthodes traditionnelles d’identification des menaces basées sur les ports, et doit suivre le rythme d’un volume élevé de trafic interne. Il doit donc être plus évolué qu’un pare-feu de périmètre classique afin d’identifier intelligemment les activités malveillantes.
D’autre part, comme les pare-feu internes traitent les applications et les services propres à une entreprise, ils peuvent mieux comprendre ce trafic en vue d’automatiser les règles de sécurité et de bloquer les comportements suspects. En apprenant ce qui constitue un « bon comportement connu », un pare-feu interne intelligent peut identifier les activités qui ne correspondent pas au profil autorisé et y réagir.
Les entreprises ont-elles besoin d’un pare-feu interne ?
Un pare-feu interne est un élément essentiel de la sécurité du réseau, en particulier parce que les réseaux sont de plus en plus distribués et qu’il devient de plus en plus difficile de maintenir les intrus en dehors du périmètre du réseau. Il complète le pare-feu de périmètre et fournit une couche de sécurité supplémentaire pour verrouiller le trafic est-ouest et empêcher le déplacement latéral des menaces au sein de votre entreprise. Les cyberattaques étant de plus en plus nombreuses et sophistiquées, il est pratiquement inévitable que le périmètre du réseau d’une organisation fasse l’objet d’une violation. Lorsque cela se produit, un pare-feu interne minimise les dommages que les attaquants peuvent causer.
Pourquoi vous avez besoin d’un pare-feu interne
Les pare-feu de périmètre constituent une première ligne de défense contre les attaques extérieures, mais ne suffisent plus à protéger votre entreprise contre les menaces sophistiquées. Avec un nombre d’utilisateurs et de terminaux plus élevé que jamais sur le réseau et une surface d’attaque plus grande en raison de l’augmentation des services distribués fonctionnant dans des Clouds publics et privés, il est risqué de supposer que le fait de sécuriser le périmètre soit suffisant. Si une menace parvient à franchir le périmètre du réseau, elle peut accéder sans entrave à vos réseaux internes, sauf si une mesure de protection telle qu’un pare-feu interne est en place.
Selon un rapport récent, 59 % des attaques impliquent des tentatives de déplacement latéral. Il est donc essentiel de défendre votre réseau contre ces menaces. Un pare-feu interne empêche les menaces de se propager sur votre réseau et limite les dégâts qu’elles peuvent occasionner.
Meilleures pratiques pour un pare-feu interne
Bien que l’objectif et la conception d’un pare-feu interne diffèrent de ceux d’un pare-feu de périmètre, les meilleures pratiques en matière de pare-feu interne sont similaires à celles employées avec un pare-feu de réseau standard. Voici quelques principes courants :
- Documentez les règles de votre pare-feu et leur objectif. Il est facile d’oublier la raison pour laquelle une règle particulière a été mise en œuvre à l’origine, en particulier si l’informaticien qui l’a créée a depuis quitté l’entreprise. La documentation est importante pour la maintenance au fil du temps, car elle vous permet de réévaluer les règles de sécurité et de supprimer celles qui ne sont plus utiles.
- Procédez à un audit régulier des journaux d’événements. Vous pourrez ainsi déterminer les règles de sécurité qui sont ou ne sont pas utilisées, et ainsi supprimer celles qui sont inutilisées et ajuster les autres en vue de renforcer la sécurité et d’éviter les lacunes.
- Utilisez l’automatisation pour maintenir les règles à jour. Sans surveillance, les longues listes de règles de pare-feu risquent d’entraîner une « hypertrophie de règles », d’augmenter la surcharge et les lacunes en matière de sécurité. Pour éviter ces problèmes et tenir le rythme des changements, faites appel à l’automatisation pour réduire la charge de travail du personnel informatique.
- Pratiquer la sécurité zéro confiance. Pour arrêter les attaques, il est essentiel de n’accorder votre confiance à personne par défaut, à l’intérieur ou à l’extérieur du réseau. Avec l’augmentation du nombre de cyberattaques, il n’est plus possible de partir du principe que des intrus ne parviendront pas à s’introduire dans le réseau. Une approche de sécurité zéro confiance est essentielle pour limiter l’impact des menaces qui parviennent à franchir le périmètre.
Solutions et produits connexes
NSX Distributed Firewall
Sécurisez votre Data Center avec un pare-feu de pile complète distribué à chaque charge de travail.
NSX
Plate-forme de virtualisation du réseau et de la sécurité
NSX Advanced Threat Prevention
Analyse du trafic réseau et prévention des intrusions pour NSX Distributed Firewall.