Alors que de nouvelles formes de cyberattaques se développent à un rythme effréné, les pare-feux doivent pouvoir s’adapter rapidement afin de se protéger contre l’évolution des techniques malveillantes. La conteneurisation et l’orchestration des conteneurs permettent de rendre nos logiciels plus flexibles et adaptables, mais également plus faciles à mettre à jour pour nos clients.
Autrefois, les solutions de protection réseau étaient monolithiques. Les pare-feux étaient conçus comme un ensemble de technologies vaste et puissant, mais ils ne pouvaient pas être subdivisés ou modularisés, et devaient être développés et mis à jour de manière globale. Cette contrainte les rendait ainsi plus lents en termes de changement.
Ce problème était moindre lorsque les systèmes de sécurité étaient conçus pour protéger des appareils et des applications spécifiques. Les produits monolithiques étaient utilisés au niveau de cet unique endroit et y restaient. Mais la manière avec laquelle nous travaillons tous aujourd’hui a changé et les périphéries des systèmes des entreprises sont devenues de plus en plus distribuées, avec plusieurs appareils répartis au niveau d’un ensemble de réseaux.
La flexibilité est devenue un facteur déterminant concernant les meilleures pratiques de travail. Avec un périmètre changeant à protéger, il est clair que la flexibilité doit également devenir un facteur déterminant au niveau des systèmes de sécurité. Les nouvelles méthodes de travail ne sont pas les seules à devoir être prises en compte sérieusement. En effet, les nouvelles formes de cyberattaques impliquent que vos systèmes de sécurité doivent pouvoir évoluer aussi rapidement que les malwares.
Pour vous aider à suivre le rythme, nous avons changé la manière avec laquelle nous développons les nouveaux produits de sécurité réseau, notamment les pare-feux. Nous développons des moyens d’intégrer la modularité et la flexibilité, pour nous assurer que les produits et services de sécurité soient rapidement mis à jour lorsque de nouvelles menaces apparaitront. L’une des méthodes utilisées est la conteneurisation.
Flexible et agile de par sa conception
Imaginez que les fonctions du logiciel soient des pièces de Lego. Les conteneurs sont des briques de différentes couleurs, et elles s’empilent toutes parfaitement ensemble pour former différents systèmes. En hébergeant différentes fonctions dans des blocs séparés, nous pouvons sélectionner précisément celles qui sont nécessaires pour une tâche de sécurité spécifique ou bien une topologie de déploiement, par exemple, protéger les applications sur-site (on-prem) par rapport aux données Cloud.
La conteneurisation des charges de travail nous donne la rapidité et la flexibilité nécessaires pour ajouter ou mettre à jour des fonctionnalités à mesure que de nouveaux types de cyberattaques augmentent l’importance des différentes capacités. Un pare-feu peut contenir, aujourd’hui, des dizaines de fonctionnalités. Avec la conteneurisation, nous pouvons facilement déplacer ces fonctionnalités pour optimiser la protection contre les menaces émergentes, ce qui n’était pas possible avec les anciens systèmes monolithiques, voire même remplacer rapidement certaines fonctionnalités par de nouvelles.
Standardisation de votre protection
Nous pouvons également utiliser le même type de brique dans plusieurs produits, augmentant ainsi la cohérence, et donc la protection, entre différentes solutions. En plaçant les fonctions, les politiques et la gestion de la configuration dans des conteneurs, nous pouvons améliorer votre capacité à adopter une vision unique et cohérente, quelle que soit la combinaison de solutions que vous déployez.
Par exemple, un pare-feu peut contenir les mêmes fonctions et politiques, qu’il soit déployé sur-site (on –prem) ou dans le Cloud. Ainsi, lorsqu’il s’agit de sécuriser l’accès aux données de l’entreprise, les conteneurs facilitent l’application de politiques et de points de décision cohérents au niveau des pare-feux/passerelles, que les ressources soient sur-site (on-prem), dans le Cloud ou bien accessibles via une solution ZTNA.
Si vous souhaitez intégrer des solutions spécialisées pour étendre davantage les capacités de votre pare-feu, nous pouvons nous associer à un tiers certifié. Nous pouvons utiliser leur conteneur avec cette fonction spécifique et l’exécuter sur notre système.
Cette approche permettrait ainsi de créer un écosystème de partenariats et d’alliances où nous pourrons travailler avec les principaux éditeurs pour créer de nouvelles technologies et stratégies et vous permettre de contrôler les solutions de type Best-of-Breed au niveau d’un seul et même emplacement.
Créer une infrastructure sécurisée et intégrée
Un exemple concret illustrant la manière avec laquelle la conteneurisation peut accélérer notre réponse à l’évolution des menaces consiste à donner aux utilisateurs l’accès à des applications distantes.
Alors que les entreprises adoptent une approche de Zero-Trust (Confiance Zéro), nous ne voulons pas utiliser un VPN (Virtual Private Network) pour percer de grandes ouvertures à travers les pare-feux afin d’atteindre plusieurs applications différentes. Nous voulons, à la place, utiliser une passerelle Zero Trust Network Access (ZTNA) pour créer une micro connexion au niveau de l’application distante. Ensuite nous ajouterons une autre couche de sécurité en déployant un WAF (Web Application Firewall) entre la passerelle et l’application distante elle-même.
Actuellement, ce sont deux processus distincts mais, en utilisant la conteneurisation, nous pourrions ajouter la brique WAF au niveau de la passerelle ZTNA pour créer une solution unique et protégée. Ainsi, vous aurez un élément d’infrastructure de moins à déployer et à gérer, simplifiant ainsi l’environnement et réduisant votre charge de travail ainsi que vos coûts.
Une façon plus fluide de mettre à jour une technologie
Voici la partie vraiment intelligente : ce n’est pas parce que la conteneurisation nous permet d’accélérer le développement que vos mises à jour et correctifs logiciels deviendront plus onéreux. En fait, c’est tout le contraire. Les conteneurs nous permettent de mettre à jour votre logiciel de pare-feu de manière transparente, sans temps d’arrêt.
En utilisant le déploiement bleu/vert (blue/green), nous continuerons à faire fonctionner l’ancienne et la nouvelle version ensemble jusqu’à ce que tout votre trafic soit déplacé vers le logiciel mis à jour. Ce n’est qu’à ce moment-là que nous supprimerons la version obsolète. Ainsi, la mise à jour n’interrompra pas le trafic de votre système, tout en nous donnant la possibilité de déployer de nouvelles mises à jour et technologies sans jamais mettre vos environnements hors service.
Cette approche supprime également le besoin de déploiements monolithiques et chronophages. Si vous souhaitez simplement mettre à jour votre WAF, vous le pouvez. Grâce à la conteneurisation, la complexité des opérations et les temps d’arrêt sont réduits, vous permettant ainsi d’intégrer rapidement les dernières fonctionnalités de protection.
Les futurs composants
La beauté de la conteneurisation est qu’elle est aussi facile à gérer qu’à construire. Vous pouvez gérer votre Sophos Firewall avec vos autres solutions Sophos grâce à la plateforme de management Sophos Central qui vous permet de tout voir et de tout contrôler à partir d’un seul et même endroit. Vos politiques et fonctions peuvent être intégrées dans toutes vos applications et vous pouvez les gérer de manière centralisée.
Cette approche unique de gestion et de construction est l’avenir du secteur.
Si vous souhaitez en savoir plus sur les nouvelles fonctionnalités et capacités que nous apportons à nos pare-feux, contactez votre représentant Sophos dès aujourd’hui.
Billet inspiré de How containerization helps security keep pace with new threats, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.