GS Mag : A l’ère du Cloud Computing, à quoi peut servir un UTM ?

Laurent Hausermann : La porte d’entrée du réseau doit rester un point de contrôle fort et assurer une étanchéité nette : protection des données topologiques des réseaux, filtrage des protocoles et des couches réseaux, établissement de tunnels sécurisés, un filtre antimalware. Le concept de défense en profondeur, propre à l’UTM, continue de s’appliquer.

Par ailleurs, il apparaît essentiel de migrer d’infrastructures de firewalling « stateful » vers des firewalls de niveau 7. En effet, la plupart des offres du marché définissent le firewall comme un routeur incluant des ACLs améliorés ou de l’analyse de niveau 3 /4. A contrario, Arkoon propose depuis 2001, la technologie FAST permettant l’inspection profonde des protocoles au niveau 7. FAST vérifie la syntaxe – le message est-il bien formé ? - et la dynamique – ce message est-il autorisé à ce stade de la communication ?– des protocoles vis-à-vis des standards (RFC), des usages et de la configuration. A ce titre, FAST est une véritable technologie zero-day, car elle bloque les attaques illégitimes, celles qui ne respectent pas le protocole.

GS Mag : Dans ce contexte, quel type de sécurité périmétrique est-il pertinent de déployer en entreprise ?

Laurent Hausermann : La sécurité périmétrique doit faire face à plusieurs évolutions simultanées :
• l’augmentation des bandes passantes des infrastructures
• le déplacement des menaces vers les couches applicatives nécessitant des filtrages toujours plus gourmands en ressources
• le développement d’appliances équipées de processeurs réseaux privilégiant le filtrage réseau par rapport au filtrage de données

Dans ce contexte, les solutions de sécurité des infrastructures de type UTM peuvent tirer parti de la virtualisation pour rendre la sécurité plus facile à administrer et surtout évolutive (jusqu’à 6 000 utilisateurs toutes fonctions de sécurité activées Firewall, Antivirus, Antispam, Filtrage URL, VPN SSL), malgré les évolutions rapides du réseau.

L’architecture-cible proposée par ARKOON Network Security est une architecture hybride qui met en oeuvre :
• des appliances matérielles FAST360 NPA pour filtrer les flux au niveau OSI 4 à 7 et fournir la connectivité d’infrastructure (VPN IPsec).
• des appliances virtuelles bénéficiant de ressources importantes et/ou évolutives pour filtrer les données applicatives : filtrage anti-virus, anti-spam, etc.
Cette architecture hybride, en combinant appliance matérielle et appliance virtuelle, apporte à l’administrateur de sécurité :
• une solution de filtrage frontale très performante permettant d’accommoder les flux temps réel et de protéger l’infrastructure interne d’attaques de type déni de service.
• une solution de filtrage applicatif fiable, puissante et évolutive grâce aux apports de la virtualisation.
Grâce à ce découpage, FAST360 Virtual Edition Web&Mail apporte une sécurité web (Antivirus, AntiMalware, Filtrage URL avec catégories standards et personnalisables, Filtrage par horaires, Proxy HTTP) et une sécurité mail (Antivirus, AntiSpam, Filtrage SMTP (DNSBL, Domain routing), Proxy SMTP, Proxy POP3).
Ce type d’architecture est particulièrement adapté pour les grosses infrastructures (plusieurs milliers d’utilisateurs) ou les infrastructures de service de type SaaS.

GS Mag : Sur quelle partie du SI doit-on déployer ces firewalls ?

Laurent Hausermann : Les firewalls doivent être déployés partout où la notion de périmètre fait du sens. A ce titre, il est recommandé de les déployer :
• en entrée du réseau d’entreprise, c’est-à-dire juste après la connexion internet
• en entrée des différents réseaux annexes comme derrière les accès points Wifi
• en entrée des différents réseaux sensibles de l’entreprise, tels ceux d’une R&D ou son infrastructure de service
• en entrée des datacenters, des private ou public clouds de l’entreprise
• enfin, il ne faut pas oublier d’intégrer du filtrage applicatif dans les datacenters virtualisés. A ce titre, Arkoon propose un produit de sécurité tournant dans les environnements VMWare VSphere 4.

GS Mag : Comment faire pour administrer les UTMs sur le long terme ?

Laurent Hausermann : Les entreprises, particulièrement le SMB et le MidMarket jusqu’à 6 000 utilisateurs, s’intéressent fortement au déploiement sur un seul boîtier de l’ensemble des fonctions de sécurité : ils n’ont qu’une administration à gérer, même si des centaines de boîtiers sont déployés.
Cette unification permet de diminuer les coûts de formation des personnels et optimise la gestion des compétences au sein des DSI.
Aujourd‘hui, d’une part, les directions générales manquent d’information synthétique pour mesurer le ROI des solutions de sécurité, et, d’autre part, les exploitants ne peuvent ni réaliser des diagnostics avancés, ni exprimer des requêtes complexes.
C’est pourquoi Arkoon a introduit Arkoon Control Center qui permet de traiter des dizaines de giga-octets de journaux par jour. ACC permet alors de créer un reporting consolidé et personnalisé sur l’ensemble des services de sécurité. Il permet aussi de retrouver un événement passé parmi plusieurs dizaines de milliards de journaux.

GS Mag : A l’ère de l’encapsulation, à quoi peut servir un firewall ?

Laurent Hausermann : Les firewalls sont là pour mettre en place une étanchéité au niveau du réseau (niveau 2 et 3) et au niveau applicatif (niveau 7, niveau des protocoles comme http et SIP).
L’encapsulation pose le problème générique du contrôle du contenu en plus du contrôle du contenant.
Tout d’abord, ce problème générique est adressé aujourd’hui au niveau protocolaire par la technologie FAST. C’est pourquoi nous possédons, par exemple, un procédé anti-canaux cachés (sur le protocole ICMP) pour éviter la fuite d’information depuis les réseaux protégés.
Ensuite, les contenus sont analysés par des technologies d’analyses de contenu, comme par exemple notre moteur anti-malware (partenariat avec SOPHOS) ou notre filtrage d’URL. Ces technologies permettent d’éviter les attaques des sites web malveillants, car elles fournissent une analyse fine et complète.

GS Mag : A quoi ressembleront les UTMs de demain ?

Laurent Hausermann : Les UTMs de demain devront poursuivre leur évolution pour prendre en compte le besoin d’un bon niveau de sécurité, à moindre coût, avec un niveau de disponibilité garanti, tout en fournissant des rapports pour que les directions générales puissent comprendre l’utilité de la sécurité.
Nous vivons deux tendances qui vont structurer massivement les réseaux et l’internet. Premièrement, l’usage exponentiel du web avec les sites web 2.0, les applications SaaS ou l’e-commerce. Ensuite, le nombre de menaces (trojans, malware, attaques protocolaires, DDoS, botnet) détectés chaque jour, suit également une courbe exponentielle.
Pour faire face, les firewalls de demain devront concilier performance et niveau de sécurité. Il serait catastrophique pour la sécurité des entreprises, que l’augmentation des performances – dictées par l’usage – conduise à un appauvrissement des contrôles. Ceci laisserait alors la porte ouverte aux attaquants et aux pratiques criminelles de tout genre.
Enfin, il est primordial de fournir des outils et des solutions permettant une gestion optimale des équipements. C’est pourquoi Arkoon a investi énormément dans sa solution de management et a poursuivi cet investissement pour lancer sur le marché une solution de diagnostique et de reporting orienté business.

GS Mag : Quel est votre message à nos lecteurs ?

Laurent Hausermann : La porte d’entrée du réseau doit rester un point de contrôle fort et assurer une étanchéité nette : protection des données topologiques des réseaux, filtrage des protocoles et des couches réseaux, établissement de tunnels sécurisés, un filtre antimalware. Le concept de défense en profondeur continue de s’appliquer.

Aujourd’hui, le marché tend vers un cloud hybride où les fonctions de sécurité seront pour partie chez nos clients et pour partie en mode cloud. La valeur ajoutée des partenaires restera centrale dans cette architecture dans un rôle d’agrégation globale des solutions (sécurité, mais aussi réseaux, voire systèmes) .

Par ailleurs, il est cohérent d’imaginer une collaboration entre le poste de travail et les appliances de sécurité réseau. Ce rapprochement permettra de réaliser des fonctions de sécurité étendues et de mettre en œuvre une politique de sécurité cohérente via une administration unifiée. Arkoon travaille sur cette approche.

Arkoon est idéalement placé pour aller dans le sens de cette convergence. Nous sommes présents sur ces deux marchés : sécurité des réseaux au travers de nos UTM et sur le poste de travail (au travers des produits host IPS, de contrôle de ports et des applications de SkyRecon). Cette tendance en est aujourd’hui aux prémisses, mais s’annonce probablement demain comme le nouveau concept de défense en profondeur.