Zpedia 

/ Pare-feu réseau, pare-feu de nouvelle génération et pare-feu Zero Trust

Pare-feu réseau, pare-feu de nouvelle génération et pare-feu Zero Trust

Découvrez les principales différences entre les pare-feu réseau traditionnels, les pare-feu de nouvelle génération (NGFW) et le pare-feu Zero Trust.

Lire la fiche technique
Zero trust
  1. Vue d’ensemble
  2. Comparatif des pare-feu
  3. Lequel choisir ?
  4. Zscaler Advanced Zero Trust Firewall
  5. FAQ
  6. Autres thèmes similaires

Tous les pare-feu ne se valent pas

Les pare-feu sont synonymes de cybersécurité. Mais à mesure que les réseaux et les cybermenaces ont évolué et que les tendances du cloud et de la mobilité se sont généralisées, les besoins des entreprises en matière de pare-feu ont changé.

Il n’existe pas deux solutions de pare-feu identiques, mais on peut les classer en trois types de base : le pare-feu réseau traditionnel, le pare-feu de nouvelle génération et le pare-feu Zero Trust.

La sécurité périmétrique et une inspection incomplète n’offrent qu’une protection partielle.

  • Plus de 3 violations sur 10 impliquent l’utilisation d’informations d’identification volées (Verizon).
  • Plus de 85 % des menaces sont transmises via des canaux cryptés (Zscaler).
  • Plus de 78 % des organisations mettent activement en œuvre le Zero Trust (Zscaler).

Comparatif des pare-feu

Critères de filtrage

Pare-feu réseau

Filtre le trafic en fonction de règles statiques pour les adresses IP, les ports et les protocoles

Pare-feu de nouvelle génération

Intègre la connaissance des applications et la prévention des intrusions (en plus du filtrage basé sur l’IP, le port et le protocole)

Zero Trust Firewall

Filtres basés sur des politiques contextuelles et une vérification dynamique, y compris les adresses IP source et de destination, les ports et les protocoles, l’identité de l’utilisateur, les risques et les politiques commerciales

Profondeur de l’inspection

Pare-feu réseau

Filtrage superficiel des paquets basé sur l’inspection des en-têtes (en-têtes L2, L3, L4 uniquement)

Pare-feu de nouvelle génération

Inspection approfondie des paquets (DPI) pour l’analyse des applications et des payloads (L2, L3, L4, L7)

Zero Trust Firewall

Ajoute à la DPI une microsegmentation supplémentaire et une vérification continue

Connaissance des applications

Pare-feu réseau

Non prise en charge

Pare-feu de nouvelle génération

Prise en charge

Zero Trust Firewall

Prise en charge, avec des contrôles d’accès basés sur le principe du moindre privilège

Intégration de l’identité de l’utilisateur

Pare-feu réseau

Non prise en charge

Pare-feu de nouvelle génération

Pris en charge via l’intégration avec les fournisseurs d’identité (LDAP, AD, etc.)

Zero Trust Firewall

Fonctionnalité principale, profondément intégrée à la gestion des identités et de l’accès (IAM)

Fonctionnalités de sécurité

Pare-feu réseau

Standard (blocage IP/port, traduction d’adresse réseau [NAT])

Pare-feu de nouvelle génération

Comprend souvent l’IPS, le sandboxing, les logiciels antivirus, le filtrage d’URL

Zero Trust Firewall

IDS/IPS, contrôle DNS, vérification utilisateur-appareil

Évolutivité

Pare-feu réseau

Médiocre

  • Sujet aux congestions en raison de l’utilisation intensive du processeur pour l’inspection TLS/SSL
  • Requiert du matériel dédié sur chaque site
  • Doit être remplacé à mesure que les besoins de traitement augmentent

Pare-feu de nouvelle génération

Restrictif

  • Problèmes similaires aux pare-feu réseau
  • Souvent limité par les flux de trafic et la capacité d’inspection, comme dans le cas des pare-feu réseau

Zero Trust Firewall

Illimité

  • Cloud natif ; aucune appliance à gérer ou à mettre à l’échelle
  • Peut provisionner instantanément de nouvelles fonctionnalités et capacités
Management

Pare-feu réseau

Lourd

  • Conçu pour sécuriser les environnements sur site, non le cloud
  • Requiert la recréation des politiques pour chaque site
  • Doit être reconfiguré en cas de modification de l’architecture réseau
  • Listes de contrôle d’accès (ACL) nécessitant une mise à jour manuelle fastidieuse

Pare-feu de nouvelle génération

Complexe

  • Toujours conçu pour les réseaux statiques
  • Manque de flexibilité et d’évolutivité au niveau des politiques statiques pour les clouds dynamiques et distribués
  • Application incohérente des politiques dans plusieurs environnements

Zero Trust Firewall

Simple

  • Définition, déploiement et application centralisés des politiques pour tous les utilisateurs et sites
  • Règles centralisées et granulaires basées sur l’utilisateur, l’application, l’emplacement, le groupe et le service
  • Journaux détaillés facilitant l’enquête et la réponse aux incidents
Coûts

Pare-feu réseau

Volatil

  • Coûts d’investissement élevés pour l’achat initial, le déploiement et la mise à jour
  • Dépendance continue à une large pile de sécurité

Pare-feu de nouvelle génération

Incohérent

  • Coûts initiaux élevés et coûts récurrents modérés en raison de l’abonnement
  • Mise à l’échelle nécessitant du matériel supplémentaire ou des appliances virtuelles dans le cloud

Zero Trust Firewall

Stable

  • Modèle basé sur les coûts opérationnels (OpEx), prévisible via abonnement
  • Aucune limitation de mise à l’échelle
  • Élimination des pare-feu NGFW physiques et virtuels, des dispositifs IPS, et des systèmes de journalisation et de surveillance
Cas d’utilisation

Pare-feu réseau

Standard

Sécurisation des environnements internes à faible risque qui nécessitent une défense périmétrique de base

Pare-feu de nouvelle génération

Spécifique

Sécurisation des réseaux complexes sur site qui nécessitent une défense périmétrique

Zero Trust Firewall

Complet

Sécurisation des actifs critiques, des services cloud et des réseaux hybrides qui nécessitent des contrôles Zero Trust dynamiques, quel que soit l’emplacement des utilisateurs, des appareils et des ressources

Pare-feu matériels, pare-feu virtualisés et pare-feu cloud natifs

Les pare-feu virtuels étendent votre réseau aux ressources cloud et affichent les mêmes limitations de capacité que les pare-feu physiques.

Lequel choisir ?

Seul un pare-feu Zero Trust spécialement conçu pour le monde numérique moderne permet de garantir un accès sécurisé à Internet et de sécuriser l’ensemble du trafic Web et non Web, sur tous les ports et protocoles, avec une évolutivité infinie et des performances optimales.

Les utilisateurs bénéficient d’une protection cohérente sur n’importe quel appareil, depuis n’importe quel emplacement (à domicile, au bureau ou en déplacement), sans les limitations liées au coût, à la complexité et aux performances de la sécurité réseau traditionnelle et des pare-feu de nouvelle génération.

Zscaler Advanced Zero Trust Firewall

Plus de 1 000 règles de pare-feu et DNS

Définit des paramètres précis pour stopper un plus large éventail d’attaques avec des règles supplémentaires​

Détection et catégorisation des tunnels DNS​

Détecte et bloque les attaques basées sur le DNS avant qu’elles ne compromettent le réseau​

Prise en charge des signatures IPS personnalisées​

Utilise des signatures IPS personnalisées spécifiques aux besoins de votre entreprise​

Contrôles de la politique d’identité des utilisateurs

Définit des politiques de sécurité basées sur l’utilisateur, l’identité, le rôle, le service, le groupe et l’emplacement​

Inspection approfondie des paquets (DPI)/​Application réseau L7

Va au-delà de l’inspection de l’en-tête des paquets de données pour découvrir le contenu réel des données circulant sur le réseau​

Journalisation détaillée​

Fournit une visibilité complète sur l’activité réseau avec un suivi global des actions et fonctionnalités (ID utilisateur, ID d’application, IPS, etc.)​

Optimisation des coûts technologiques

Élimine les pare-feu NGFW physiques et virtuels, les dispositifs IPS et les systèmes de journalisation et de surveillance​

FAQ

Foire aux questions

  • Pare-feu réseau : offre une protection minimale contre les menaces internes dans la mesure où il fait confiance au trafic interne par défaut.
  • NGFW : améliore la sécurité en surveillant le comportement des utilisateurs et les applications, mais peut toujours accorder une certaine confiance au trafic du réseau interne.
  • Pare-feu Zero Trust : offre la protection la plus puissante contre les menaces internes en exigeant une authentification pour chaque action, même pour les utilisateurs ou les appareils à l’intérieur du réseau. Il limite considérablement le déplacement latéral des hackers.
  • Pare-feu réseau : souvent inefficace pour empêcher les déplacements latéraux, car il repose sur une sécurité périmétrique.
  • NGFW : assure une meilleure protection grâce aux contrôles de la couche application et aux systèmes de détection des intrusions, mais peut encore faire confiance au trafic interne, dans une certaine mesure.
  • Pare-feu Zero Trust : fournit la meilleure solution pour empêcher les déplacements latéraux en assurant qu’aucune confiance n’est inhérente au réseau. Chaque demande de connexion est vérifiée, ce qui limite la capacité des hackers à se déplacer latéralement.
  • Pare-feu réseau : ne convient pas pour déployer le Zero Trust parce qu’il repose sur des hypothèses de confiance statiques.
  • NGFW : peut soutenir certains principes de Zero Trust, tels que la sensibilisation des utilisateurs et des applications, mais nécessite généralement des outils supplémentaires pour son déploiement complet.
  • Pare-feu Zero Trust : spécialement conçu pour s’aligner sur les stratégies Zero Trust, ce qui en fait la solution privilégiée des entreprises qui adoptent pleinement ce modèle.