Christophe Auberger,
Directeur Technique France
Une Security Fabric intègre les technologies traditionnellement offertes par une plateforme, mais elle propose également la sécurité des terminaux, des points d’accès, une segmentation du réseau, des dispositifs et technologies de sécurité tierces, des outils SIEM et de gestion et même une sécurité intégrée directement au sein des équipements réseau.
Fabric contre plateforme
Nombre de fournisseurs de plateformes de sécurité affirment disposer d’une solution de bout en bout. Mais un des défis des plateformes de sécurité reste, néanmoins, qu’elles démarrent avec un élément spécifique de sécurité, comme un pare-feu next-gen, pour ensuite intégrer de nouveaux outils selon les besoins. Cette approche progressive induit plusieurs problématiques de sécurité.
- Évolutivité : les réseaux s’inscrivent toujours davantage dans le temps-réel et le multisite et les technologies de sécurité doivent faire preuve d’évolutivité. Les plateformes sont conçues autour d’un matériel statique et leur évolutivité implique donc d’être remplacées par des plateformes plus récentes et performantes, ou de rajouter des plateformes, sans se préoccuper des fonctionnalités nécessaires pour une zone précise. En activant de nouvelles fonctionnalités ou face à des pics de charge, les plateformes tendent à perdre en performances.La Security Fabric va, quant à elle, intégrer un large panel de technologies, avec notamment un matériel conçu spécifiquement pour s’adapter à un trafic en croissance, des solutions virtualisées disponibles à la demande, des dispositifs uniques et dédiés aux zones du réseau qui n’exigent que certains types d’inspection, et la capacité à basculer les charges importantes de trafic vers d’autres équipements.
- Visibilité : les plateformes étant constituées d’ensembles prédéfinis de technologies déployées en un lieu unique, elles connaissent souvent des angles morts. Par exemple, des technologies de sécurité tierces peuvent recueillir des données qui ne seront pas facilement partagées avec la plateforme.De plus, l’ajout de technologies à la plateforme ne permet pas de disposer d’une interface d’administration intégrée. En réalité, la majorité des plateformes dispose de tableaux de bord distincts, ce qui pèse sur la visibilité en temps réel, puisque les informations sur les menaces et l’orchestration des règles doivent être gérées manuellement.
Standards ouverts et API
La Security Fabric tire parti de tous les équipements de sécurité déployés, même ceux proposés par des équipementiers tiers. L’utilisation de standards ouverts et d’API facilite la collecte, le partage et la corrélation des données, tandis que les modifications automatiques de règles et la prise en charge des menaces peuvent être synchronisées entre les dispositifs, sur l’ensemble du réseau multisite.
- Ouvert/Fermé : l’intégration avec des outils tiers est complexe sur une plateforme de sécurité, chaque produit utilisant des protocoles et des interfaces propriétaires, ce qui nuit à la visibilité, au contrôle, à l’orchestration et à la prise en charge des incidents.La Security Fabric, de son côté, privilégie des API ouvertes, une technologie d’authentification ouverte et des données au format standardisé, ce qui facilite l’intégration avec des outils de sécurité déjà en place.
- Coût : une approche de type plateforme de sécurité implique d’investir dans du matériel adapté aux technologies déployées, ce qui est, au final, plutôt onéreux compte tenu de la multitude de technologies. D’autre part, le risque est d’investir dans des ressources CPU trop importantes, car non utilisées lorsqu’une fonction particulière n’est pas nécessaire, ou, a contrario, que ces ressources connaissent leurs limites en cas de pics d’activité.
S’adapter en temps réel
En associant des systèmes de détection et de prise en charge de nouvelle génération, une segmentation réseau intelligente et une orchestration à partir d’une interface unique, la Security Fabric est capable d’identifier et de prendre en charge les menaces les plus sophistiquées, tout en s’adaptant en temps réel aux architectures réseau qui évoluent.
Les solutions peuvent ainsi recueillir et partager activement les informations sur les menaces et améliorer la connaissance de leur situation. Cette approche permet d’envoyer automatiquement les instructions de prise en charge d’une menace pour ainsi encourager une prise en charge synchronisée et intégrale.