Ressources Livres blancs

Au-delà de la protection avancée contre les menaces

Introduction

Alors que les menaces persistantes avancées (APT) dominent le paysage des logiciels malveillants, la détection basée sur les signatures n'offre plus une sécurité adéquate pour cet environnement de menaces en évolution rapide. La détection basée sur les signatures repose sur les fournisseurs qui fournissent des mises à jour de signature à leurs plateformes. Malheureusement, de nombreuses menaces actuelles visent à infiltrer une organisation spécifique, sont utilisées une fois, puis reconditionnées et modifiées pour échapper à la détection.

Contrairement aux solutions limitées de détection et de prévention des intrusions, les systèmes de protection avancée contre les menaces (ATP) piègent et exécutent les objets suspects avant qu'ils ne traversent le fil, garantissant que le trafic inspecté ne présente pas de danger pour le point de terminaison. Les systèmes ATP peuvent également arrêter une menace qui n’a jamais été vue auparavant, comme une attaque zero-day.

Les systèmes ATP étant si efficaces pour arrêter les logiciels malveillants, de plus en plus de ces systèmes sont déployés pour protéger une part croissante du trafic entrant et sortant. Cependant, le déploiement accru des systèmes ATP a révélé trois domaines dans lesquels ils peuvent être encore renforcés par l’utilisation de technologies complémentaires qui augmentent leur efficacité : Assistance SSL/TLS, haute disponibilité et pilotage du trafic. Cet article examine comment les solutions F5 et FireEye fonctionnent ensemble pour offrir des performances et des résultats améliorés dans ces trois domaines.

Au-delà de la protection avancée contre les menaces

Plusieurs tendances rendent nécessaire une amélioration de l’inspection SSL/TLS, notamment l’utilisation croissante de SSL/TLS, la complexité accrue (comme des longueurs de clé plus longues) des protocoles cryptographiques et une tendance de la part des « méchants » à crypter les charges utiles malveillantes afin qu’elles ne puissent pas être détectées. Ces tendances représentent une charge toujours croissante pour les systèmes ATP existants et ont été un facteur déterminant derrière le développement de F5® SSL Orchestrator™, une solution qui fournit un décryptage et un recryptage hautes performances du trafic SSL/TLS entrant et sortant, un chaînage de services dynamique et une gestion du trafic basée sur des politiques pour une gestion intelligente des flux de trafic cryptés sur l'ensemble de la chaîne de sécurité, libérant ainsi les systèmes ATP pour se concentrer exclusivement sur la détection des objets malveillants.

F5 SSL Orchestrator apporte une flexibilité accrue à vos systèmes de détection et d'atténuation des menaces et améliore considérablement votre capacité à évoluer sans interruption. Comme toute solution, il est possible que les systèmes ATP et leurs capteurs critiques tombent en panne, et une telle panne peut facilement finir par bloquer le trafic. F5 SSL Orchestrator permet de garantir que les sites critiques atteignent leurs objectifs de disponibilité et de disponibilité, même en cas de défaillance d'un capteur ou d'un appareil. F5 SSL Orchestrator équilibre intelligemment le trafic sur plusieurs systèmes ATP pour garantir qu'un site reste disponible même en cas de panne ou de surcharge d'un capteur. De plus, cette configuration permet aux administrateurs d’ajouter ou de supprimer des capteurs sans affecter la disponibilité globale du site.

La solution de sécurité réseau intégrée F5 et FireEye

F5 SSL Orchestrator, associé à FireEye Network Security, offre des options de déploiement flexibles et une évolutivité pour une protection optimale contre les menaces. Lorsqu'il est déployé sur le câble entre un intranet et Internet, F5 SSL Orchestrator crée une zone de décryptage/texte clair entre le client et le serveur Web, qui agit comme un point de visibilité d'agrégation pour les périphériques de sécurité FireEye afin d'inspecter le trafic. Grâce à la gestion SSL/TLS et à la visibilité sur le trafic SSL/TLS entrant et sortant et aux options de déploiement en ligne et hors bande, les APT peuvent être contenues rapidement et efficacement en temps réel. Cela permet aux administrateurs de mettre en quarantaine ou de supprimer les données nuisibles avant qu’elles ne s’infiltrent dans le réseau.

Diagramme de la solution conjointe F5 SSL Orchestrator et FireEye, montrant le trafic entrant et sortant.
Figure 1 : La solution conjointe F5 SSL Orchestrator et FireEye, affichant le trafic entrant et sortant.

La figure 1 illustre la solution complète d’orchestration SSL F5 et FireEye, exploitant toutes les capacités des technologies combinées pour fournir une évolutivité élastique et un chaînage de services.

Orchestrateur SSL F5 déployé en ligne sur le trafic Web :

1.     Décrypte le trafic SSL pour le livrer au pool de sécurité réseau FireEye.

2.     Chiffre le trafic SSL qui a transité par le périphérique FireEye Network Security.

3.     Effectue l'équilibrage de charge sur le pool FireEye, offrant une disponibilité optimale.

4.     Active un contournement de pool lorsque tous les membres sont en panne.

5.     Détermine si le trafic doit être déchiffré ou s'il peut contourner le pool FireEye sans être déchiffré, réduisant ainsi la charge sur les périphériques.

Cette architecture permet aux périphériques FireEye de fonctionner de manière plus efficace et à pleine capacité sans compromettre le débit du trafic. La gestion des clés est centralisée dans F5 SSL Orchestrator, ce qui libère le pool FireEye de l'obligation d'exécuter une quelconque fonctionnalité SSL, tout en lui offrant une visibilité complète du trafic.

Le chaînage de services dynamique et le pilotage du trafic basé sur des politiques de F5 SSL Orchestrator vous permettent de gérer intelligemment les flux de trafic cryptés sur l'ensemble de la chaîne de sécurité avec une disponibilité optimale. La direction du trafic permet au trafic déterminé comme ne nécessitant pas de décryptage (comme VDI) de contourner le pool ATP, augmentant ainsi la capacité effective du pool. Cette configuration permet également un flux de trafic continu en cas de ralentissement ou de panne des capteurs FireEye. De cette manière, l’architecture protège le trafic au maximum, en exposant les menaces et en arrêtant les attaques, tout en augmentant l’efficacité et en éliminant les goulots d’étranglement des performances.

Conclusion

Les défis de sécurité actuels nécessitent à la fois une protection avancée contre les menaces et la capacité de garantir la disponibilité des application . F5 et FireEye travaillent ensemble pour fournir des solutions offrant la technologie, l'intelligence et l'expertise les plus efficaces pour identifier et arrêter les activités malveillantes avant qu'elles ne se produisent. Les solutions F5 et FireEye vous permettent de trouver les menaces cachées grâce à une visibilité SSL améliorée, d'assurer une sécurité et des performances optimales grâce au chaînage de services dynamique et à la direction du trafic basée sur des politiques, d'offrir une protection avancée contre les menaces avec une plus grande évolutivité et d'améliorer l'efficacité opérationnelle avec une architecture améliorée.

Pour découvrir comment F5 et FireEye peuvent aider votre entreprise à réussir, visitez f5.com/fireeye .

Publié le 13 décembre 2018
  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager par e-mail
  • Partager via AddThis

Connectez-vous avec F5

Laboratoires F5

Les dernières nouveautés en matière de renseignement sur les menaces applicatives.

Accéder aux laboratoires F5

DevCentral

La communauté F5 pour les forums de discussion et les articles d'experts.

Accéder à DevCentral

Salle de presse F5

Actualités, blogs F5 et plus encore.

Accéder à la salle de presse