7 questions à se poser sur la sécurisation d`un data

La sécurité :
un monde de
possibilités
pour
l’entreprise
Certes, le recours à la virtualisation et à d'autres technologies nouvelles s'avère rentable, mais le rôle capital que joue
aujourd'hui le réseau fait qu'il est essentiel de remettre à plat la façon dont on le sécurise. Les choix effectués en la
matière peuvent avoir une incidence sur les coûts d'exploitation d'aujourd'hui et de demain, la durée de fonctionnement
des services de sécurité et la précision avec laquelle l'accès des utilisateurs à telle ou telle application est contrôlé. Ce
document aborde les choix envisageables en matière de sécurité réseau et leur rentabilité en matière de protection du
réseau, des données qui transitent à travers ce réseau et donc de la réputation de l'organisation.
Les data center consolidés et virtualisés sont devenus la norme pour les
applications classiques mais aussi pour les applications évolutives dans le
cloud. Pour sécuriser ces data center, un large éventail d'outils de protection
est toutefois nécessaire. Un simple périmètre de sécurité ne constitue plus une
solution viable.
Avec des menaces toujours plus complexes et qui font leur apparition tous les
jours, il n'est plus raisonnable de définir une stratégie de sécurité réseau statique
de type « Set and forget » (Configurez et oubliez). D'une part, votre solution
de sécurité du réseau doit conserver une longueur d'avance sur le nombre
croissant d'attaques et leurs mécanismes toujours plus complexes. D'autre
part, elle doit aussi composer avec des exigences de plus en plus élevées en
matière de performances réseau et de disponibilité permanente. Par ailleurs,
avec les contraintes budgétaires actuelles, il convient d'étudier quelques pistes
permettant une consolidation rentable pouvant aboutir à une amélioration des
performances et à une meilleure disponibilité de l'infrastructure de sécurité de
votre réseau.
d'application adapte les performances de la même façon, qu'il s'agisse du
premier ou du huitième module processeur d'applications (APM). La gamme
X-Series de Blue Coat vous permet de débloquer vos investissements en
fonction de l'évolution de vos besoins. Vous ajoutez de la performance quand
c'est nécessaire, sans passer par une mise à niveau radicale ou par une
restructuration du réseau.
2. La solution de sécurité réseau sera-t-elle cohérente avec les objectifs de
durée de fonctionnement de votre entreprise ?
Les pannes de pare-feu ou d'autres appliances de sécurité engendrent
généralement des interventions manuelles fastidieuses en vue de résoudre les
incidents. Ces désagréments peuvent peser temporairement sur l'activité de
votre entreprise. Quand vous songez à des solutions de sécurité réseau, il est
essentiel de comprendre dans quelle mesure les pannes peuvent être néfastes
pour la continuité de service. Par exemple :
CONFIGURATION
IMPACT D'UNE
PANNE
TÂCHES DE CORRECTION
ET DE RESTAURATION ENVISAGEABLES :
ACTIVE : PAIRE ACTIVE
Performances réseau
ACTIVE : PAIRE DE
SECOURS
Retards pendant la transition ; intervention manuelle
possible
APPLICATION IPS
Ne traite plus le trafic
(échec des flux de trafic ouverts sans inspection IPS)
1. Trouver ou récupérer un équipement de
remplacement
2. Mettre cet équipement à jour avec la
version de correctif actuelle
3. Configurer l'équipement pour le relier au
réseau
4. Effectuer les ajustements réseau requis
pour mettre en service l'équipement
Quand vous remettez la sécurité de votre réseau à plat, posez-vous les questions
suivantes :
7 QUESTIONS À SE POSER SUR LA
SÉCURISATION D’UN DATA CENTER
NOUVELLE GÉNÉRATION
©
BLUE COAT SYSTEMS, INC
LIVRE BLANC
7 QUESTIONS À SE POSER SUR LA SÉCURISATION
D'UN DATA CENTER NOUVELLE GÉNÉRATION
1. Quand les besoins de capacité évolueront, l'infrastructure de sécurité
de votre réseau sera-t-elle suffisamment souple et évolutive pour y faire
face ?
Offrira-t-elle une extension incrémentielle et rentable échelonnée dans
le temps ou devrez-vous acheter des appliances de sécurité réseau
complémentaires ou de plus grande capacité pour remplacer les appareils
existants ? Ces ajouts nécessiteront-ils des changements structurels du
réseau qui pourraient nuire à sa disponibilité ? La consolidation d'un centre de
traitement des données peut amplifier les exigences en matière de débit, ou du
moins, peser temporairement sur le débit s'il s'avère nécessaire de déplacer
des données vers un nouveau data center. Bénéficierez-vous de la souplesse
nécessaire pour mener à bien ce projet ?Ce niveau de performances évolutives
est possible dès aujourd'hui si vous choisissez la plate-forme X-Series de
Blue Coat. Elle fournit la souplesse dont vous avez besoin pour évoluer de
manière incrémentielle puisqu'elle s'adapte de façon linéaire. Chaque module
Les efforts nécessaires à une remise en service complète ne doivent pas être
sous-estimés. L'opération peut s'étaler sur toute une journée, moyennant
tâches fastidieuses et casse-têtes, avant que l'équipement de remplacement
ne soit relié au réseau. A contrario, la gamme X-series de Blue Coat contient
des modules redondants qui traitent immédiatement et automatiquement
la charge d'un module défaillant, sans immobiliser le réseau ni nécessiter
l'identification et la mise en service d'une appliance de remplacement. Cette
approche d'auto-réparation adaptative proposée par Blue Coat permet de
1
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
DOMAINE FONCTIONNEL
DESCRIPTION
IMPACT DE L'UTILISATION
PARE-FEU PROXY
Interrompt les demandes entrantes, les inspecte puis recrée chaque connexion
S'assure qu'aucun flux de trafic n'entre sur le réseau sans être contrôlé. Aucune
faille de pare-feu dans ce cas !
IPS
Prévention des intrusions
Détecte les demandes inconnues ou suspectes
ANTIVIRUS, ANTI-SPAM ROBUSTE CONTRE LES BOTNETS
Inspecte les logiciels malveillants connus et les courriers indésirables
Élimine les menaces connues du trafic entrant
FILTRAGE DES URL
Utilise SmartFilter, logiciel de pointe en matière de filtrage du Web, pour un filtrage intelligent basé sur la
surveillance de plus de 35 millions de sites Web pouvant être bloqués via l'outil Global Threat Intelligence
Empêche l'utilisation de votre réseau pour accéder à des sites qui pourraient
présenter un risque pour votre organisation.
CONTRÔLE PRÉCIS DES APPLICATIONS
Inspecte et identifie les applications et les fonctions secondaires des applications
Détecte les flux de trafic et les applications qui entrent dans le réseau
VPN IPSEC
Crée et gère des réseaux privés virtuels
Préserve la confidentialité des données transmises ; sécurise les accès
PREND EN CHARGE LES FICHIERS
COMPRESSÉS
Analyse les fichiers compressés
Tous les types de trafic sont inspectés
PREND EN CHARGE SSL/SSH
Décryptage SSL/SSH pour inspecter le trafic crypté
Tous les types de trafic sont inspectés
répondre aux besoins de niveaux de service les plus stricts sans passer par
des ajustements du réseau ni par de nouveaux câblages pour rétablir une
situation normale après une panne. Ce système permet ainsi d'atteindre une
disponibilité de 99,999 % ou de 99,99999 % pour un couplage DB (Dual Box).
3. Quel sera le niveau de protection de votre pare-feu ?
L'efficacité en termes de sécurité varie sensiblement d'un produit à un autre,
suivant le vecteur de menace : application, fichier, Web, e-mail ou réseau.
Pour une garantie optimale, les produits de sécurité qui surveillent tous ces
vecteurs doivent être intégrés, ce qui peut exiger un effort considérable.
Toutefois, McAfee a conçu la solution Firewall Enterprise. Elle présente un
large éventail de services de sécurité pouvant fonctionner de manière intégrée
et extrêmement performante sur une plate-forme X-series de Blue Coat :
7 QUESTIONS À SE POSER SUR LA
SÉCURISATION D’UN DATA CENTER
NOUVELLE GÉNÉRATION
©
BLUE COAT SYSTEMS, INC
4. Qu'ai-je à gagner en renforçant la consolidation de mes services de sécurité ?
Avec la pression constante qui pousse à maximiser les ressources et à
faire face aux contraintes budgétaires, data centers de grande capacité
sont devenus la norme. La concentration de l'informatique, du stockage
et de l'infrastructure réseau dans des data centers consolidés ou nouvelle
génération augmente l'importance de la disponibilité du réseau et de
performances adaptées. Consolider l'ensemble des services de sécurité dans
une plate-forme unique, comme celle de la gamme X-series de Blue Coat,
vous permet d'accroître le contrôle des flux de trafic et donc votre sécurité
de manière très abordable. Comme nous avons recours à de plus en plus de
services de sécurité, ils peuvent avoir un impact majeur sur les performances
du réseau. Les capacités de la plate-forme de sécurité réseau en matière de
performances sont ainsi devenues critiques. Par exemple, la solution McAfee
Firewall Enterprise peut être utilisée en association avec d'autres applications
de sécurité haut de gamme, comme les outils développés par Check Point,
Sourcefire et Imperva. Tous vous protègent simultanément contre de nombreux
vecteurs de menaces critiques sur une seule et même plate-forme.
5. Combien de temps avant que vos règles de pare-feu et vos politiques de
sécurité ne deviennent obsolètes ?
Un ensemble statique de règles de pare-feu ne suffit plus dans un
environnement de menaces aujourd'hui en constante mutation. Les
fonctionnalités de sécurité doivent reposer sur des informations actuelles à
la minute près pour permettre un filtrage basé sur des réputations. L'un des
moyens de rester à jour face aux menaces est de faire appel au système
Global Threat Intelligence (GTI) de McAfee à partir de la solution McAfee
Firewall Enterprise. GTI est un service de protection contre les menaces basé
sur le cloud, complet et fonctionnant en temps réel. Il permet aux produits
de sécurité McAfee de détecter et de suivre les menaces Web inconnues
et nouvelles. GTI recueille des données à partir d'une centaine de millions
de capteurs et les croise avec les informations de McAfee Labs, McAfee
TrustedSource et de la technologie Geo-location, ce qui lui permet de fournir à
la solution McAfee Firewall Enterprise des informations à jour sur les menaces.
Pour couronner le tout, ce service peut être activé sur la base de règles et ne
se limite pas à la technologie NAT (traduction d'adresses réseau).
6. Dans quelle mesure la sécurité de votre réseau sera-t-elle assez souple
pour une éventuelle restructuration future du réseau ?
Puisque la transition depuis des serveurs physiques vers plusieurs machines
virtuelles offre une certaine souplesse en termes de charges de travail des
applications, ces dernières peuvent passer de manière transparente d'un
serveur physique à un autre en fonction des pics et des creux des accès
utilisateur. La gestion de ces pics passe par une sécurité souple du trafic au
sein du serveur. L'un des avantages de la plate-forme Blue Coat, véritable
« réseau en boîte », c'est sa capacité d'adaptation grâce à laquelle elle
contrôle les flux et séquence les différentes applications de sécurité. Les flux
des segments du réseau peuvent être ajustés sans aucune reconfiguration de
réseau ni aucun recâblage. Ce traitement de flux fournit la flexibilité nécessaire
pour adapter et consolider les applications de sécurité du réseau au besoin.
2
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
Vous accédez alors à une gestion holistique et efficace du réseau et non à un
verrouillage du côté de votre infrastructure réseau ni à un bouleversement de la
topologie du réseau pour mener à bien vos modifications.
7. La gestion de votre sécurité sera-t-elle simple ?
Pour réduire l'impact des pannes de réseau, il est extrêmement avantageux
de passer par des fonctionnalités de gestion automatisées. Vous devez
gérer de manière centralisée les applications auxquelles accèdent les
utilisateurs. Offrez-vous un système simple pour identifier, configurer et
gérer les utilisateurs de votre choix et leurs accès à des parties données des
applications pour réduire l'OpEx à la fois sur le court et le long termes. En
centralisant ces politiques de sécurité au sein de l'organisation, vous réalisez
également des économies significatives sur le plan opérationnel, comme avec
l'intégration du clic droit entre McAfee ePolicy Orchestrator et la solution
McAfee Firewall Enterprise, ainsi qu'une protection éprouvée des terminaux
et un outil de migration évolué pour ne plus passer par les pare-feu hérités
existants.L'efficacité énergétique joue aussi sur les coûts opérationnels. Si
plusieurs fonctionnalités de sécurité peuvent être consolidées en un seul
boîtier économe en énergie, de réelles économies peuvent être réalisées au
fil du temps. La gamme X-series de Blue Coat permet à certains clients de
réduire de 96 % leurs émissions de CO2 et leurs coûts énergétiques, ainsi que
de diviser par deux leurs dépenses de fonctionnement.
Résumé
Quel que soit le niveau de consolidation de l'infrastructure de sécurité de
votre réseau aujourd'hui, une virtualisation et une adoption plus poussées des
applications dans le cloud peuvent vous permettre de réduire les dépenses de
fonctionnement et les risques si vous remettez la sécurité de votre réseau à plat.
La gamme X-series de Blue Coat présente un intérêt en termes de performances
et de disponibilité élevée et peut être complétée par la solution McAfee Firewall
Enterprise pour Blue Coat pour des résultats optimaux. Pare-feu nouvelle
génération extrêmement fiable, la solution McAfee Firewall Enterprise pour Blue
Coat fournit la solution de sécurité réseau la plus fiable, la plus durable et la plus
intégrée du marché, conçue pour protéger les environnements professionnels et
organisationnels critiques contre les menaces grandissantes.
7 QUESTIONS À SE POSER SUR LA
SÉCURISATION D’UN DATA CENTER
NOUVELLE GÉNÉRATION
©
BLUE COAT SYSTEMS, INC
3
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l’entreprise
Blue Coat Systems Inc.
www.bluecoat.com
Siège social
Sunnyvale, CA, États-Unis
+1 408 220 2200
Siège social pour la
région EMEA
Hampshire, Royaume-Uni
+44 1252 554600
© 2013 Blue Coat Systems, Inc. Tous droits réservés. Aucune partie de ce
document ne doit être reproduite par quelque moyen, ni transférée sur quelque
support électronique que ce soit sans l'accord écrit de Blue Coat Systems, Inc.
Les informations contenues dans ce document sont considérées comme exactes
et fiables à la date de publication ; cependant, elles ne représentent en aucun
cas un engagement de la part de Blue Coat. Blue Coat ne peut pas garantir
l'exactitude des informations présentées à compter de la date de publication.
Ce document est proposé à titre d'information uniquement. Blue Coat n'offre
aucune garantie explicite, implicite ni statutaire quant aux informations contenues
dans ce document. Les informations contenues dans ce document ont été
rédigées pour les produits et services proposés aux États-Unis. Il se peut que
Blue Coat ne propose pas dans d'autres pays les fonctionnalités, produits ou
services décrits dans le présent document. Pour obtenir des renseignements
sur les produits et services actuellement disponibles dans votre région, veuillez
contacter votre représentant Blue Coat. Les produits, services techniques et
autres données techniques Blue Coat mentionnés dans ce document sont soumis
aux contrôles à l'export, aux sanctions pénales, règlementations et exigences en
vigueur aux Etats-Unis et peuvent être soumis aux réglementations importation et
d'exportation en vigueur dans les autres pays. Vous acceptez de vous conformer
strictement à ces lois, réglementations et exigences et reconnaissez qu'il est de
votre responsabilité d'obtenir tout permis, licence ou approbation susceptible
d'être requis pour exporter, réexporter, transférer dans un pays ou importer après
la livraison. Blue Coat peut disposer de brevets ou de demandes de brevet en
cours couvrant un point abordé dans le présent document. La remise du présent
document ne vous accorde aucune licence relative aux dits brevets. Blue Coat,
ProxySG, PacketShaper, CacheFlow, IntelligenceCenter et BlueTouch sont des
marques déposées de Blue Coat Systems, Inc. aux États-Unis et dans le monde.
Toutes les autres marques déposées mentionnées dans le présent document
appartiennent à leurs propriétaires respectifs.
v.WP-7QUESTIONS-TO-CONSIDER-IN-SECURING-YOUR-NEXT-GENERATIONDATA CENTER-A4-EN-v2b-0413
Siège social pour
la France
Montigny Le Bretonneux
+33130577417
4