Qu’est-ce qu’un pare-feu cloud ? | Le pare-feu en tant que service

Un pare-feu cloud protège l’infrastructure dans le cloud en dépit de l’absence d’un périmètre de réseau clairement défini. Savoir comment cela fonctionne et la différence par rapport aux pare-feux nouvelles génération (NGFW).

Share facebook icon linkedin icon twitter icon email icon

Les pare-feux cloud

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce qu’est un pare-feu
  • Explorer comment l’informatique en cloud modifie le périmètre réseau
  • Connaître la différence entre les pare-feux cloud et les pare-feux traditionnels
  • Faire la différence entre les pare-feux nouvelle génération et les pare-feux cloud
  • Comprendre ce que « Firewall-as-a-Service » signifie

Qu’est-ce qu’un pare-feu cloud ?

Les banques disposent de nombreuses mesures de sécurité physique. La plupart des agences traditionnelles sont équipées de dispositifs de sécurité comme des caméras et des guichets protégés par une vitre blindée. Les agents de sécurité et les employés de banque contribuent également à dissuader les voleurs potentiels, et l'argent est stocké dans des coffres-forts hautement sécurisés.

Mais imaginez un instant qu'au lieu d'être conservé sur place, l'argent des différentes agences bancaires soit stocké dans des coffres-forts répartis dans tout le pays et exploité par une entreprise spécialisée dans la protection des fonds. Comment la banque pourrait-elle être sûre que son argent est sécurisé sans déployer des ressources de sécurité supplémentaires autour de ses coffres ainsi dispersés ? C'est précisément ce que font les pare-feu cloud.

Pare-feu cloud

Le cloud peut être comparé à une banque dont les ressources sont dispersées, mais au lieu de contenir de l'argent, le cloud contient des données et de la puissance de calcul. Les utilisateurs autorisés peuvent se connecter au cloud depuis n’importe quel emplacement et presque n’importe quel réseau. Les applications qui fonctionnent dans le cloud peuvent être exécutées n’importe où, et cela s’applique également aux plateformes et aux infrastructures dans le cloud.

Les pare-feu cloud bloquent les cyberattaques dirigées contre ces actifs cloud. Comme son nom l'indique, un pare-feu cloud est un pare-feu hébergé dans le cloud. Les pare-feux basés sur le cloud forment une barrière virtuelle autour des plateformes, des infrastructures et des applications cloud, de la même manière que les pare-feux traditionnels forment une barrière autour du réseau interne d'une entreprise. Le déploiement d'un pare-feu cloud revient à remplacer les caméras de sécurité locales et l'agent de sécurité d'une agence bancaire par un centre de sécurité mondial 24 h/24 et 7 j/7 disposant d'un personnel centralisé et de caméras de sécurité surveillant tous les endroits où les actifs d'une banque sont stockés.

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un dispositif de sécurité qui bloque le trafic malveillant. Traditionnellement, les pare-feux fonctionnaient entre un réseau interne de confiance et un réseau non sécurisé (par exemple, entre un réseau privé et Internet). Les premiers pare-feux étaient des dispositifs physiques connectés à l’infrastructure interne d’une entreprise. Les pare-feux bloquent et autorisent le trafic réseau en fonction d’un ensemble de règles internes. Certains pare-feux permettent aux administrateurs de personnaliser ces règles.

pare-feu traditionnel

Toutefois, avec la popularité croissante du cloud computing, la séparation entre un réseau de confiance et un réseau plus étendu comme Internet a disparu. Il est donc nécessaire de recourir à des pare-feux cloud qui forment une barrière virtuelle entre les actifs cloud de confiance et le trafic Internet non sécurisé.

Que signifie Firewall-as-a-Service (FWaaS) ?

Firewall-as-a-Service, ou FWaaS en abrégé, est une autre expression pour désigner les pare-feux cloud. Comme d’autres catégories « as-a-service », c'est-à-dire en tant que service, telles que Software-as-a-Service ou Platform-as-a-Service, un FWaaS fonctionne dans le cloud et est accessible via Internet. Des fournisseurs tiers proposent les FWaaS « en tant que services » qu'ils mettent à jour et maintiennent.

Quelle est la différence entre un pare-feu cloud et un pare-feu nouvelle génération (NGFW) ?

Un pare-feu nouvelle génération (NGFW) est un pare-feu qui inclut de nouvelles technologies qui n'étaient pas disponibles dans les produits de pare-feu antérieurs, tels que :

  • Le système de prévention d'intrusion (IPS) : un système de prévention d'intrusion détecte et bloque les cyberattaques.
  • L'inspection approfondie des paquets (DPI) : les NGFW inspectent les en-têtes et la payload des paquets de données, et non simplement les en-têtes. Cette inspection permet de détecter les logiciels malveillants et d'autres types de données malveillantes.
  • Le contrôle des applications : les NGFW peuvent contrôler l'accès aux applications individuelles ou bloquer complètement les applications.

Les NGFW peuvent également avoir d'autres capacités avancées.

L'expression « pare-feu nouvelle génération » est largement utilisée, mais les NGFW ne fonctionnent pas nécessairement dans le cloud. Un pare-feu basé sur le cloud peut avoir des capacités NGFW, mais un pare-feu local peut également être un NGFW.

Quel est le périmètre réseau ? Comment le cloud computing affecte-t-il le périmètre réseau ?

Le périmètre réseau est la séparation entre le réseau interne géré par une organisation et l'accès au réseau fourni par un fournisseur externe, généralement un fournisseur d'accès Internet (FAI). En d'autres termes, le périmètre réseau correspond à la périphérie contrôlé par une organisation. Les réseaux peuvent également être verrouillés physiquement : un salarié peut par exemple se trouver dans un bureau et devoir utiliser un appareil géré par sa société pour se connecter au réseau de l'entreprise. Les pare-feux ont été initialement conçus pour contrôler ce type de périmètre réseau et bloquer les menaces.

Le périmètre réseau disparaît généralement dans le cloud computing. Les utilisateurs accèdent aux services sur l'Internet non contrôlé. L'emplacement physique d'un utilisateur, et parfois l'appareil qu'il utilise, n'ont plus d'importance. Il est difficile d'établir une couche de sécurité autour des ressources de l'entreprise, car il est presque impossible de déterminer l'endroit où la couche de sécurité devra être placée. Certaines entreprises combinent différents produits de sécurité, notamment les pare-feux traditionnels, les VPN, le contrôle d'accès et les produits IPS, mais de telles solutions complexifient les systèmes informatiques et les rendent difficiles à gérer.

Comment les pare-feu basés sur le Cloud s’intègrent-ils dans le cadre du SASE ?

Secure Access Service Edge, ou SASE, est une architecture de réseau basée sur le Cloud qui combine des fonctions de réseau, comme les réseaux étendus définis par logiciel, avec un ensemble de services de sécurité, dont FWaaS. Contrairement aux modèles de réseau traditionnels, où le périmètre des datacenters sur site doit être protégé par des pare-feu sur site, le SASE offre une sécurité et un contrôle d’accès complets en périphérie du réseau.

Dans le cadre d’un modèle de réseau SASE, les pare-feu basés sur le Cloud fonctionnent en tandem avec d’autres produits de sécurité pour défendre le périmètre réseau contre les attaques, les violations de données et d’autres cybermenaces. Plutôt que d’utiliser plusieurs fournisseurs tiers pour déployer et gérer chaque service, les entreprises peuvent embaucher un fournisseur unique qui regroupe FWaaS, Cloud Access Security Brokers (CASB), Secure Web Gateways (SWG) et Zero Trust Network Access (ZTNA) avec des fonctionnalités SD-WAN.

Que fait le pare-feu applicatif web de Cloudflare ?

Le pare-feu applicatif web de Cloudflare (WAF) protège les propriétés du cloud contre les exploits de vulnérabilité, il aide à stopper les attaques DDoS et permet aux administrateurs informatiques d'écrire leurs propres règles de pare-feu personnalisées. Les entreprises peuvent déployer le WAF de Cloudflare face à tout type de déploiement cloud : un cloud hybride, un multicloud, un cloud public, etc.