Qu'est-ce que le Firewall-as-a-Service (FWaaS) ?

Aller à une section

Comment fonctionne un pare-feu en tant que service ? Pourquoi le FWaaS est-il important ? Quelles sont les principales caractéristiques de FWaaS ?

Inspection approfondie des paquets et prévention des intrusions Filtrage DNS et URL Console de gestion centralisée Visibilité et enregistrement Évolutivité et capacité élastique Intégration aux réseaux modernes Infrastructure gérée par le fournisseur

Quels sont les avantages du FWaaS ? Quels sont les défis potentiels du FWaaS ? FWaaS vs NGFW FWaaS vs SWG Quel est le rôle de FWaaS dans SASE ? Quelle est l'approche de Netskope en matière de déploiement de solutions FWaaS ? Foire aux questions

Qu'est-ce qu'un pare-feu ? Qu'est-ce qu'un pare-feu en nuage ? Quelle est la place du FWaaS dans le réseau ? Le FWaaS peut-il remplacer le VPN ou le SD-WAN ? Quels sont les éléments à prendre en compte lors du choix d'un FWaaS ?

Comment fonctionne un pare-feu en tant que service ?

Le FWaaS achemine le trafic réseau sortant par l'intermédiaire d'un service de pare-feu en nuage, où les politiques de sécurité sont appliquées et où l'inspection a lieu avant que le trafic n'atteigne les sites web, les applications ou les services en nuage. Au lieu de déployer et de gérer des dispositifs de pare-feu sur chaque site, les entreprises envoient le trafic vers un point d'application basé dans le nuage à proximité de l'utilisateur ou de la succursale et gèrent la politique de manière centralisée.

Le trafic est acheminé vers le service de pare-feu en nuage.
Les utilisateurs et les succursales envoient du trafic au pare-feu dans le nuage (souvent via des clients ou des tunnels).
Appliquer d'abord les règles
Le service applique des ensembles de règles de pare-feu, tels que les adresses IP/ports/protocoles autorisés, les contrôles de la couche application, les règles relatives aux utilisateurs/groupes et les règles de destination FQDN.
L'inspection s'effectue sur le trafic réseau
Le service de pare-feu en nuage inspecte le trafic de sortie du réseau à l'aide de fonctionnalités telles que les règles de pare-feu à 5 tuiles, la prévention des intrusions (IPS), les contrôles de sécurité DNS et le filtrage des URL DNS par domaine.
La décision est prise d'autoriser, de bloquer, d'alerter ou d'enregistrer un événement.
En fonction de la politique et des résultats de l'inspection du pare-feu, le trafic de sortie du réseau est autorisé ou bloqué. Les utilisateurs peuvent également recevoir des alertes et les événements peuvent être enregistrés à des fins d'examen et d'audit.
Une console centrale gère la politique FWaaS au niveau mondial
Les administrateurs créent et mettent à jour les politiques de pare-feu une seule fois, puis les appliquent de manière cohérente à tous les utilisateurs, sites et environnements en nuage.
Les journaux alimentent les flux de travail de surveillance et d'investigation
Les journaux de trafic alimentent généralement les outils de surveillance et, le cas échéant, les plates-formes SIEM/SOAR pour répondre aux besoins en matière de détection, d'investigation et de conformité.

Le FWaaS est un point de contrôle de sortie du réseau d'application des politiques dans le nuage qui se trouve entre les utilisateurs ou les succursales et la destination souhaitée de l'internet ou des ressources du nuage.

Pourquoi le FWaaS est-il important ?

Le FWaaS est important car de nombreuses organisations n'opèrent plus à l'intérieur d'un périmètre de réseau unique. Les utilisateurs travaillent à partir de différents endroits, les applications se trouvent dans plusieurs nuages et les succursales se connectent directement à l'internet. Un service de sécurité pare-feu aide les responsables de la sécurité à maintenir des contrôles cohérents sans avoir à déployer et à entretenir des appareils partout ou à rétrocéder le trafic, ce qui aurait un impact négatif sur l'expérience des utilisateurs.

La répartition des utilisateurs et des succursales modifie le périmètre
Le trafic ne passe plus par un seul centre de données, de sorte que les pare-feux de réseau traditionnels nécessitent un backhauling du trafic ou l'ajout d'appliances de pare-feux ou de machines virtuelles là où se trouvent les utilisateurs et les succursales, ce qui entraîne des dépenses importantes et une complexité opérationnelle accrue.
La cohérence des règles entre les sites est plus difficile qu'il n'y paraît
Lorsque chaque site distribué a sa propre configuration, les règles de pare-feu peuvent dériver au fil du temps. La solution FWaaS permet d'appliquer les mêmes règles de pare-feu aux utilisateurs et aux succursales, quel que soit leur emplacement.
La gestion centralisée réduit les lacunes et les frais généraux d'exploitation
Un plan de contrôle unique facilite la mise à jour des politiques, réduit les erreurs de configuration et permet de réagir plus rapidement lorsque les menaces ou les besoins de l'entreprise évoluent.

Quelles sont les principales caractéristiques de FWaaS ?

Le FWaaS regroupe généralement des fonctionnalités de politique de pare-feu de nouvelle génération dans des services de pare-feu en nuage qui sont fournis et gérés de manière centralisée dans un grand nombre de centres de données situés au plus près des utilisateurs distants et des succursales pour une expérience utilisateur de haute performance. La plupart des solutions de services de pare-feu en nuage se concentrent sur une application cohérente, une inspection à grande échelle et des opérations simplifiées.

Inspection approfondie des paquets et prévention des intrusions

A pare-feu en nuage inspecte le trafic au-delà des ports et des adresses IP des premiers paquets. Il peut examiner les sessions à travers les paquets, identifier les modèles à risque et bloquer les exploits connus ou les comportements suspects à l'aide de contrôles de type IPS. Dans la pratique, cette capacité se traduit par trois contrôles de base :

Inspecter le trafic de la couche application (couche 7) à travers les paquets
Détecter et bloquer les exploits et les techniques d'attaque courantes
Prise en charge des décisions stratégiques basées sur les règles de pare-feu 5-tuple, la couche d'application, l'utilisateur et le groupe, les FQDN et le contexte.

Filtrage DNS et URL

FWaaS fonctionne aux niveaux 3 et 4 pour l'inspection du trafic, ce qui inclut les requêtes du service de noms de domaine (DNS) sur le port 53. Ces demandes sont des requêtes DNS visant à traduire un domaine lisible par l'homme (par ex, www.icecube.com) à une adresse IP routable. C'est un moment très efficace pour vérifier si le domaine présente des risques de sécurité connus ou pour valider sa catégorisation. C'est pourquoi le FWaaS inclut souvent des contrôles de sécurité DNS et un filtrage basé sur le domaine pour les catégories liées à la sécurité et à l'entreprise afin d'empêcher les utilisateurs d'atteindre des destinations web malveillantes ou violant les politiques. Ces vérifications DNS et ces contrôles de catégorie de filtrage de domaine réduisent l'exposition avant qu'une connexion ne soit complètement établie. Dans une console, vous verrez généralement plusieurs contrôles de politique DNS, tels que :

Possibilité de définir des profils DNS
Filtres de catégories configurables en fonction du domaine (par exemple, jeux d'argent, jeux de hasard, etc.)
Vérifications DNS pour les mauvais domaines connus ou les risques de sécurité basés sur le DNS

Console de gestion centralisée

La plupart des fournisseurs de services de pare-feu en nuage proposent une console unique pour créer, tester et déployer des politiques de pare-feu sur l'ensemble des sites. Cela permet aux équipes de sécurité de réduire la dérive des règles et d'appliquer les changements plus rapidement. La plupart des plates-formes le permettent :

Un seul endroit pour gérer les règles et les exceptions des pare-feux
Objets partagés, modèles et groupes de stratégies
Accès basé sur les rôles pour les équipes chargées du réseau et de la sécurité

Visibilité et enregistrement

FWaaS produit des journaux cohérents pour l'ensemble des utilisateurs et des sites, ce qui facilite les enquêtes et les audits. Les journaux s'intègrent généralement aux outils de surveillance et de SIEM pour la corrélation et l'alerte. Vous disposez généralement de trois types de journaux et de sorties :

Journaux de session pour le trafic autorisé et bloqué
Journaux des menaces pour les détections et les occurrences de règles
Exportations ou intégrations pour le flux de travail SIEM

Évolutivité et capacité élastique

L'un des principaux avantages des services de pare-feu basés sur l'informatique en nuage est l'évolutivité sans expédition de matériel. La capacité peut être étendue en fonction de l'augmentation du nombre d'utilisateurs, de la largeur de bande ou de la demande. Cela se manifeste généralement de trois manières pratiques :

Augmentation de la capacité d'inspection en fonction de l'accroissement de la demande
Éviter les cycles de dimensionnement et de rafraîchissement de l'appliance par site
Prise en charge de l'expansion rapide des succursales ou des utilisateurs sur New

Intégration aux réseaux modernes

FWaaS est conçu pour fonctionner avec des architectures cloud et hybrides, y compris SD-WAN et des constructions de réseaux cloud. Cela permet de réduire les frictions lors de l'acheminement du trafic par les points d'inspection. Cette fonction est généralement activée par l'intermédiaire de :

Intégrations avec SD-WAN et modèles de routage dans le nuage
Prise en charge des environnements en nuage et des déploiements multirégionaux
Travailler avec les contrôles d'identité et d'accès pour le contexte politique

Infrastructure gérée par le fournisseur

De nombreux fournisseurs de services de pare-feu en nuage gèrent l'infrastructure sous-jacente, y compris les mises à jour et la disponibilité. Cela réduit les efforts de maintenance, mais accroît la dépendance à l'égard de la fiabilité du fournisseur. Cela signifie que :

Les fournisseurs s'occupent des correctifs et de la disponibilité de la plate-forme
Accès plus rapide aux capacités et protections de New
Des accords de niveau de service clairs et une planification de la résilience

Quels sont les avantages du FWaaS ?

Le FWaaS peut améliorer la cohérence opérationnelle et réduire les frais généraux liés à la maintenance des pare-feu distribués. En tant que service de pare-feu en nuage géré, ou FWaaS, il transfère une plus grande partie du travail de plateforme au fournisseur, tout en conservant un contrôle centralisé des politiques. Les avantages comprennent

Déploiement et maintenance simplifiés : Les équipes peuvent déployer des politiques sans avoir à expédier, ranger et rafraîchir le matériel sur chaque site. De nombreuses mises à jour et changements de plateforme sont pris en charge dans le cadre des services gérés de pare-feu.
Évolutivité : La capacité peut s'étendre au fur et à mesure que les utilisateurs, les succursales et le trafic réseau augmentent, sans qu'il soit nécessaire de redéfinir l'empreinte du pare-feu de chaque site.
Visibilité de la sécurité : L'enregistrement centralisé et l'inspection cohérente améliorent la surveillance et les enquêtes sur tous les sites et pour tous les utilisateurs distants.
Gestion centralisée des politiques : Un service de gestion de pare-feu unique gère généralement les règles, les objets et les exceptions de manière globale, ce qui permet de réduire la dérive des politiques.
Considérations relatives au modèle de coût : Le FWaaS déplace généralement les dépenses du matériel initial vers la tarification par abonnement. Cela peut améliorer la prévisibilité du budget, mais les coûts à long terme doivent être évalués en fonction des modèles de propriété des appareils et de la bande passante.

Le FWaaS est généralement bien adapté lorsque les entreprises ont besoin d'une application cohérente de la loi pour les utilisateurs distribués et les sites de filiales, et qu'elles souhaitent des services de gestion de pare-feu centralisés sans avoir à maintenir des piles d'appareils complètes sur chaque site.

Les principaux composants et capacités du SASE comprennent le Software-Defined WAN (SD-WAN), le Cloud Access Security Broker (CASB), les Security Web Gateways (SWG), le Firewall-as-a-Service (FWaaS) et le Zero Trust Network Access (ZTNA).

Quels sont les défis potentiels du FWaaS ?

Le FWaaS peut simplifier les opérations de sécurité, mais il introduit également des compromis que les responsables de la sécurité doivent prendre en compte lorsqu'ils comparent les fournisseurs de FWaaS.

Coût de l'abonnement permanent vs. coût initial : Les frais d'abonnement annuels peuvent dépasser les coûts de l'appareil au fil du temps.
- Atténuation : Modéliser le coût total sur 3 à 5 ans, y compris les frais généraux de gestion et les cycles de rafraîchissement.
Migration et modifications de l'acheminement : Le transfert du trafic vers un service de pare-feu en nuage peut nécessiter de repenser les sorties, les tunnels et le routage des branches.
- Atténuation : Adoptez une approche progressive par site ou application, validez les temps de latence et conservez des voies de retour en arrière.
Limites de la personnalisation (en fonction du fournisseur) : Certains fournisseurs de FWaaS offrent moins d'options de réglage de bas niveau que les appliances.
- Atténuation : Confirmez rapidement la granularité de la politique, les détails de la journalisation et les objets des règles.
Dépendance à l'égard d'Internet et planification de la résilience : Si la connectivité diminue, l'inspection peut se dégrader.
- Atténuation : Utilisez deux fournisseurs d'accès Internet, le basculement et la survivabilité locale si nécessaire.
Confidentialité des données et conformité : Le trafic peut traverser des infrastructures et des régions tierces.
- Atténuation : Validez la résidence des données, les certifications, le cryptage et les journaux d'audit.
Intégration avec les systèmes existants : Les anciens réseaux, proxies ou piles d'identité peuvent compliquer le déploiement.
- Atténuation : Tester l'interopérabilité et la prise en charge des protocoles requis.
Fiabilité du fournisseur / accords de niveau de service : Des pannes, des retards dans l'assistance ou des accords de niveau de service insuffisants peuvent vous exposer à des risques.
- Atténuation : Examinez l'historique du temps de fonctionnement, la réponse aux incidents et les accords de niveau de service (SLA) contractuels.
Visibilité pour le trafic est/ouest sur le site uniquement : L'inspection pure et simple de l'informatique en nuage peut ne pas tenir compte des flux de trafic internes.
- Atténuation : Utilisez une approche hybride lorsqu'une segmentation interne est nécessaire.

FWaaS vs NGFW

Le FWaaS et le pare-feu de nouvelle génération (NGFW) appliquent tous deux la politique de sécurité du réseau, mais ils diffèrent dans la manière dont ils sont fournis et exploités. FWaaS est un modèle en nuage optimisé pour les utilisateurs distribués et le trafic de sortie des succursales. Un NGFW est généralement un appareil ou un pare-feu virtuel que vous déployez et exécutez vous-même (ou via un service NGFW géré) et qui prend en charge les règles de pare-feu relatives au trafic entrant et sortant.

Comparaisons clés	FWaaS	NGFW
Deployment	Service en nuage ; voies de circulation vers les points de présence du fournisseur	Appliance ou instance virtuelle dans un centre de données, une succursale ou un nuage.
Gestion	Console centrale pour les politiques concernant les sites et les utilisateurs	Opérations souvent distribuées à travers de nombreux pare-feux (peuvent être centralisées avec des outils)
Écaille	Capacité élastique ; s'adapte à la demande	Planification de la capacité liée aux limites du matériel/de l'instance
Environnements les mieux adaptés	Travail à distance, nombreuses succursales, organisations multinationales et dispersées	Sites fixes, besoins stricts sur site, conception de réseaux spécialisés
Considérations sur le temps de latence	Dépend de la proximité du PoP et du chemin d'acheminement	Souvent faible pour le trafic local ; peut ajouter de la latence en cas de backhauling vers un hub
Contrôle/personnalisation	Varie selon le fournisseur ; peut être limité par le modèle de service	Souplesse de réglage et de déploiement généralement plus grande

En ce qui concerne votre organisation, choisissez FWaaS lorsque la cohérence des politiques et l'échelle des sites sont les plus importantes, et choisissez NGFW lorsque le contrôle local et le déploiement sur mesure sont la priorité.

FWaaS vs SWG

FWaaS vs passerelle web sécurisée (SWG) est un point de confusion courant, car tous deux se trouvent dans le nuage et inspectent le trafic, mais ils résolvent des problèmes différents.

FWaaS applique la politique de pare-feu du réseau pour des types de trafic plus larges. Il peut appliquer des contrôles sur les adresses et plages IP, les ports, les protocoles, les utilisateurs et les lieux, et inclut souvent des contrôles de la couche 7 (applications), la prévention des intrusions et la journalisation des connexions réseau, et pas seulement de la navigation sur le web.
Le SWG se concentre spécifiquement sur le trafic web (HTTP/HTTPS). Il est conçu pour le filtrage des URL/catégories, la protection contre les logiciels malveillants et le phishing, les contrôles de navigation sécurisée et l'application de politiques spécifiques aux objets web (plus de 500).

Ils se complètent souvent. De nombreuses organisations gèrent ces deux types d'activités dans le cadre de leurs activités de recherche et de développement. bord du service de sécurité (SSE) ou SASE afin qu'ils puissent appliquer une politique cohérente pour l'accès général au réseau (FWaaS) et la protection du web profond pour l'utilisation du navigateur et du SaaS (SWG et CASB en ligne).

Le SSE modernise efficacement votre architecture informatique en regroupant votre proxy Web (SWG), votre ZTNA, votre CASB et votre DLP en une seule solution extrêmement puissante.

Quel est le rôle de FWaaS dans SASE ?

Accès sécurisé à la périphérie des services (SASE) combine le réseau et la sécurité dans un modèle fourni par le cloud, aidant les organisations à appliquer un accès cohérent, une protection des données et une protection contre les menaces lorsque les utilisateurs se connectent à partir de leurs agences, de leur domicile ou de leur téléphone portable.

Dans une architecture SASE (Secure Access Service Edge), le firewall-as-a-service (FWaaS) fournit la fonction de firewall sous la forme d'un service basé sur le cloud, ce qui permet aux entreprises d'appliquer des politiques de sécurité réseau de manière cohérente pour tous les utilisateurs et tous les sites, sans dépendre d'appareils physiques dans les succursales ou les environnements domestiques. Parce que SASE fusionne le réseau et la sécurité dans un cadre unifié fourni par le cloud, FWaaS fonctionne avec des composants tels que SD-WAN et d'autres services de sécurité cloud, y compris la passerelle web sécurisée (SWG), le courtier de sécurité d'accès au cloud (CASB) et l'accès au réseau de confiance zéro (ZTNA), pour fournir une protection complète pour les applications web, cloud et privées. Son rôle principal est d'assurer une gestion centralisée des politiques, des contrôles uniformes et une visibilité totale sur l'ensemble de la pile de sécurité en nuage, afin que les utilisateurs bénéficient du même niveau de sécurité, quel que soit l'endroit d'où ils se connectent.

Quelle est l'approche de Netskope en matière de déploiement de solutions FWaaS ?

Le FWaaS est une solution clé qui permet d'ajouter des défenses de sécurité non liées au trafic web. Les utilisateurs distants et les succursales bénéficient de contrôles du trafic de sortie du réseau FWaaS ainsi que d'un proxy web pour inspecter le trafic web, les applications SaaS et l'IA générative. Sur la base du FWaaS, un système de prévention des intrusions (IPS) peut être ajouté, ainsi que des contrôles de sécurité DNS, un filtrage des catégories de domaines DNS, un proxy SOCKS pour le trafic sur les ports standard et non standard (par exemple, FTP, SFTP, FTPS, Telent, etc.), et la configuration de la prévention des pertes de données (DLP) et des défenses en ligne de protection contre les menaces. En savoir plus sur FWaaS.

Foire aux questions

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un dispositif de sécurité qui surveille le trafic sur le réseau et applique des règles sur ce qui peut être connecté. Il décide si le trafic est autorisé, bloqué ou enregistré sur la base de signaux tels que les IP, les ports, les protocoles, les utilisateurs et les applications. Les pare-feu modernes intègrent souvent une inspection approfondie des paquets afin de détecter les menaces et d'identifier les applications, et ne se contentent pas de règles d'autorisation/refus de base.

Qu'est-ce qu'un pare-feu en nuage ?

Un pare-feu en nuage est une protection de pare-feu fournie par une infrastructure en nuage au lieu d'un appareil physique dans un centre de données. Il peut appliquer des règles aux utilisateurs, aux succursales et aux charges de travail en nuage, même lorsque le trafic ne passe pas par un bureau central. De nombreux services de pare-feu en nuage incluent des contrôles de pare-feu de nouvelle génération (NGFW) tels que la connaissance des applications, la prévention des menaces et la journalisation. Le Firewall-as-a-Service (FWaaS) est une version plus spécifique d'un pare-feu en nuage qui se concentre sur le trafic de sortie des utilisateurs distants et des succursales et fait souvent partie d'une plateforme de services de sécurité en périphérie (SSE) combinée avec des solutions SWG, CASB et ZTNA pour l'inspection du trafic en un seul passage.

Quelle est la place du FWaaS dans le réseau ?

Le FWaaS se trouve sur le chemin du nuage où le trafic de sortie peut être dirigé pour inspection. Les entreprises acheminent généralement le trafic des utilisateurs, des succursales ou des réseaux en nuage vers le service de pare-feu en nuage à l'aide d'un tunnel, d'une intégration SD-WAN, d'un routage en nuage ou d'une redirection basée sur un agent. À partir de là, FWaaS applique une politique, inspecte le trafic de sortie et envoie les sessions autorisées vers leur destination tout en enregistrant les résultats.

Le FWaaS peut-il remplacer le VPN ou le SD-WAN ?

L'accès au réseau sans confiance (ZTNA) est la solution la plus privilégiée pour remplacer les VPN. ZTNA utilise une approche interne pour sécuriser l'identité et l'accès tout en supprimant les services VPN publics exposés et en réduisant les mouvements latéraux. Les navigateurs d'entreprise suscitent également de plus en plus d'intérêt pour les périphériques non gérés utilisés par des sous-traitants ou des tiers pour accéder aux ressources de l'entreprise, ainsi que pour l'utilisation des navigateurs d'entreprise pour l'accès aux applications privées à l'adresse ZTNA.

Le FWaaS ne remplace donc pas directement les VPN. FWaaS peut aider à acheminer le trafic plus efficacement pour les SD-WAN et à appliquer les règles de pare-feu du trafic réseau de manière cohérente.

Quels sont les éléments à prendre en compte lors du choix d'un FWaaS ?

Les équipes évaluent généralement les FWaaS en fonction de l'expérience utilisateur, des performances, de l'adéquation, de la couverture et des réalités opérationnelles. L'objectif est d'assurer une protection cohérente, d'offrir une excellente expérience à l'utilisateur et de ne pas créer de complexité de routage ou de lacunes en matière de visibilité.

Les principaux éléments à prendre en compte sont les suivants :

Expérience de l'utilisateur à distance : Une UX performante dans le cadre d'une plateforme SASE
Couverture du trafic : Utilisateurs, succursales et sites distants
Profondeur d'inspection : Règles de pare-feu à cinq niveaux, inspection des paquets, IPS, contrôles de sécurité DNS, contrôles des noms de domaine DNS URL et politiques de contrôle des applications de la couche 7.
Modèle de politique : Facilité de création de règles, d'exceptions et de segmentation par utilisateur/application/contexte
Enregistrement et visibilité : Niveau de détail, rétention, exportation et intégration SIEM
Performance et résilience : Options de routage, basculement, couverture POP et accords de niveau de service
Intégration : Fournisseurs d'identité, SD-WAN, routage dans le cloud et pile de sécurité existante.
Frais généraux opérationnels : Qui gère les mises à jour, les réglages et le contrôle des modifications ?

Pour les organisations qui utilisent des architectures SSE/SASE, Netskope est généralement positionné pour appliquer des contrôles cohérents sur l'accès au web, au cloud et aux applications privées en utilisant une politique et une visibilité centralisées avec une inspection à passage unique.