Courtier de paquets réseauCes dispositifs traitent le trafic réseau afin d'optimiser le fonctionnement des autres dispositifs de surveillance, notamment ceux dédiés à la surveillance des performances réseau et à la sécurité. Ils offrent des fonctionnalités telles que le filtrage des paquets pour identifier les niveaux de risque et la charge réseau, ainsi que l'insertion d'horodatages matériels.
Architecte de sécurité réseauCela concerne un ensemble de responsabilités liées à l'architecture de sécurité du cloud, à l'architecture de sécurité du réseau et à l'architecture de sécurité des données. Selon la taille de l'organisation, un membre peut être responsable de chaque domaine. L'organisation peut également désigner un superviseur. Dans tous les cas, il est essentiel de définir les responsabilités et de donner aux personnes concernées les moyens de prendre des décisions stratégiques.
L'évaluation des risques réseau dresse une liste exhaustive des méthodes utilisées par les attaques malveillantes ou mal ciblées, internes ou externes, pour connecter les ressources. Une évaluation complète permet à une organisation de définir les risques et de les atténuer grâce à des mesures de sécurité. Ces risques peuvent inclure :
- Compréhension insuffisante des systèmes ou des processus
- Systèmes dont les niveaux de risque sont difficiles à mesurer
- Systèmes « hybrides » confrontés à des risques commerciaux et techniques
L'élaboration d'estimations efficaces exige une collaboration entre les parties prenantes des services informatiques et des métiers afin de bien cerner l'étendue des risques. Travailler ensemble et mettre en place un processus permettant d'appréhender le tableau d'ensemble des risques est tout aussi important que la définition finale des risques.
Architecture Zero Trust (ZTA)Il s'agit d'un paradigme de sécurité réseau qui part du principe que certains visiteurs du réseau sont dangereux et que le nombre de points d'accès est trop important pour garantir une protection totale. Par conséquent, il s'agit de protéger efficacement les ressources du réseau plutôt que le réseau lui-même. Associé à l'utilisateur, l'agent décide d'approuver ou non chaque demande d'accès en fonction d'un profil de risque calculé à partir d'une combinaison de facteurs contextuels tels que l'application, la localisation, l'utilisateur, l'appareil, la période, la sensibilité des données, etc. Comme son nom l'indique, ZTA est une architecture, et non un produit. On ne peut pas l'acheter, mais on peut la développer à partir de certains de ses éléments techniques.
Pare-feu réseauIl s'agit d'un produit de sécurité éprouvé et reconnu, doté de nombreuses fonctionnalités conçues pour empêcher l'accès direct aux applications et serveurs de données hébergés au sein de l'organisation. Les pare-feu réseau offrent une grande flexibilité, tant pour les réseaux internes que pour le cloud. Concernant ce dernier, il existe des solutions dédiées, ainsi que des méthodes mises en œuvre par les fournisseurs IaaS pour proposer des fonctionnalités similaires.
Passerelle SecurewebLes technologies ont évolué, passant de l'optimisation de la bande passante Internet à la protection des utilisateurs contre les attaques malveillantes provenant d'Internet. Le filtrage des URL, l'antivirus, le déchiffrement et l'inspection des sites web accessibles via HTTPS, la prévention des fuites de données (DLP) et certaines formes d'agent de sécurité d'accès au cloud (CASB) sont désormais des fonctionnalités standard.
Accès à distances'appuie de moins en moins sur le VPN, mais de plus en plus sur l'accès réseau zéro confiance (ZTNA), qui permet aux utilisateurs d'accéder à des applications individuelles à l'aide de profils de contexte sans être visibles par les ressources.
Systèmes de prévention des intrusions (IPS)Pour prévenir l'exploitation des vulnérabilités non corrigées, il est essentiel de connecter des dispositifs IPS aux serveurs non patchés afin de détecter et de bloquer les attaques. Les fonctionnalités IPS sont désormais souvent intégrées à d'autres produits de sécurité, mais il existe encore des solutions autonomes. Les IPS connaissent un regain d'intérêt grâce à l'intégration progressive des solutions de contrôle natives du cloud.
Contrôle d'accès au réseauIl offre une visibilité complète sur le contenu du réseau et un contrôle d'accès à l'infrastructure réseau d'entreprise basée sur des politiques. Ces politiques peuvent définir l'accès en fonction du rôle de l'utilisateur, de son authentification ou d'autres critères.
Nettoyage DNS (Système de noms de domaine aseptisé)est un service fourni par un prestataire qui fonctionne comme le système de noms de domaine d'une organisation afin d'empêcher les utilisateurs finaux (y compris les télétravailleurs) d'accéder à des sites douteux.
Atténuation des attaques DDoS (DDoS Mitigation)Ce produit limite l'impact destructeur des attaques par déni de service distribué (DDoS) sur le réseau. Il adopte une approche multicouche pour protéger les ressources réseau situées à l'intérieur du pare-feu, celles déployées en amont de celui-ci et celles situées à l'extérieur de l'organisation, telles que les réseaux de ressources des fournisseurs d'accès Internet ou de diffusion de contenu.
Gestion des politiques de sécurité réseau (NSPM)L'outil NSPM comprend l'analyse et l'audit visant à optimiser les règles de sécurité réseau, ainsi que les flux de travail de gestion des changements, les tests de règles, l'évaluation de la conformité et la visualisation. Il peut utiliser une carte réseau visuelle pour afficher tous les périphériques et les règles d'accès du pare-feu couvrant plusieurs chemins réseau.
MicrosegmentationIl s'agit d'une technique qui empêche les attaques réseau en cours de se propager horizontalement pour accéder aux ressources critiques. Les outils de microisolation pour la sécurité réseau se répartissent en trois catégories :
- Outils réseau déployés au niveau du réseau, souvent en conjonction avec des réseaux définis par logiciel, pour protéger les actifs connectés au réseau.
- Les outils basés sur l'hyperviseur sont des formes primitives de segments différentiels pour améliorer la visibilité du trafic réseau opaque circulant entre les hyperviseurs.
- Outils basés sur des agents hôtes qui installent des agents sur les hôtes qu'ils souhaitent isoler du reste du réseau ; La solution d'agent hôte fonctionne tout aussi bien pour les charges de travail cloud, les charges de travail d'hyperviseur et les serveurs physiques.
Service d'accès sécurisé Edge (SASE)SASE est un cadre émergent qui combine des fonctionnalités complètes de sécurité réseau, telles que SWG, SD-WAN et ZTNA, ainsi que des fonctionnalités WAN complètes pour répondre aux besoins d'accès sécurisé des organisations. Plus un concept qu'un cadre, SASE vise à fournir un modèle de service de sécurité unifié offrant des fonctionnalités sur l'ensemble des réseaux de manière évolutive, flexible et à faible latence.
Détection et réponse du réseau (NDR)Ce système analyse en continu le trafic entrant et sortant ainsi que les journaux de trafic afin d'enregistrer le comportement normal du réseau, permettant ainsi d'identifier les anomalies et d'alerter les organisations. Ces outils combinent apprentissage automatique, heuristique, analyse et détection basée sur des règles.
Extensions de sécurité DNSDNSSEC est un module complémentaire au protocole DNS, conçu pour vérifier les réponses DNS. Pour garantir la sécurité des données DNS authentifiées, il est nécessaire de procéder à une signature numérique, un processus gourmand en ressources processeur.
Pare-feu en tant que service (FWaaS)Le FWaaS est une technologie récente étroitement liée au SWGS basé sur le cloud. La différence réside dans son architecture : le FWaaS utilise des connexions VPN entre les terminaux et les périphériques en périphérie du réseau, ainsi qu'une infrastructure de sécurité dans le cloud. Il permet également de connecter les utilisateurs finaux aux services locaux via des tunnels VPN. Le FWaaS est actuellement beaucoup moins répandu que le SWGS.
Date de publication : 23 mars 2022
