Proxy et Firewall : quelles différences fondamentales ?
Firewall et Proxy ont 2 missions réellement différentes et il est important de laisser à chacun le soin de faire le travail pour lequel il a été conçu…
La vocation du Firewall ou « pare-feu » est de gérer les entrées et sorties de flux entre le réseau informatique interne et ceux externes, qu’ils soient ouverts (le web) ou protégés (VPN pour Virtual Private Network). Sans Firewall, tous les serveurs et postes de travail sur le réseau informatique local seraient « exposés » directement aux flux web venant de l’extérieur.
Le Proxy a quant à lui une mission complémentaire de contrôle, d’optimisation et de filtrage des flux web. Conçu à l’origine pour contrôler et filtrer les flux sortants en gérant une mise en cache avancée qui permettait d’optimiser la bande passante, le Proxy est devenu rapidement indispensable pour filtrer le surf internet des utilisateurs par catégories et URL afin de garantir la protection face aux menaces avancées du web et la conformité légale et culturelle de l’utilisation d’internet au sein de l’entreprise.
Pourquoi faudrait-il dissocier le Proxy filtrant du Firewall ?
Si pour des raisons de coûts, les DSI pouvaient auparavant être tenté(e)s de regrouper toutes les fonctions de contrôle et de filtrage des flux au sein du Firewall qui intégrait parfois une option de proxy filtrant ajoutée dans l’UTM, ce n’est plus possible aujourd’hui. En effet, l’évolution de la nature des flux web (HTTPS…) et la sophistication toujours plus grande des cyberattaques (codes polymorphes des malwares…) renforcent l’importance du filtrage, et donc du Proxy. Cela justifie aujourd’hui qu’un Proxy autonome soit mis en place séparément mais dialoguant avec le Firewall si l’on veut vraiment créer un environnement de confiance sur le web pour les utilisateurs de l’entreprise.
En effet, le Proxy autonome permet de bénéficier d’une solution de filtrage des contenus de bien meilleure qualité : il intègre beaucoup plus de fonctionnalités comme le montrent les exemples ci-dessous ainsi qu’une plus grande richesse dans les catégories et URL de sa base de données.
- L’analyse des flux chiffrés HTTPS est du ressort du Proxy pour préserver la fiabilité du Firewall
Les flux chiffrés HTTPS étant en constante augmentation, il est important de les filtrer avec un Proxy autonome pour ne pas fragiliser le Firewall et votre chaîne de sécurité web. La conséquences étant que le Firewall, en situation de saturation, n’est plus capable d’analyser la totalité des flux et en laisse donc passer certains, potentiellement dangereux.
- Le proxy apporte une capacité de filtrage plus fine et des fonctionnalités avancées
L’avantage d’utiliser le Proxy sera également de pouvoir exploiter les catégories plus fines de sa base de données pour afficher aux utilisateurs des messages d’information sur leur utilisation d’internet afin de mieux les responsabiliser face aux nouvelles cyber menaces…
Cet équipement va permettre un fonctionnement en liste blanche.Cela signifie de laisser uniquement accès aux contenus déjà reconnus dans la base de données d’URL de votre éditeur de filtrage web. Une base de données étoffée est nécessaire pour ce faire, et un minimum de 96% de reconnaissance des sites internet visités par vos utilisateurs est recommandé.
- La gestion de l’authentification par le Proxy plutôt que le Firewall
Disposer de logs nominatifs sur l’utilisation d’internet par les utilisateurs est une obligation légale.
Le Proxy autonome permet de gérer des politiques de filtrage par utilisateur ou groupes d’utilisateurs, il est donc préférable que l’identification de l’utilisateur par le Proxy soit prioritaire sur le Firewall. D’autant plus que le périmètre traditionnel du réseau de l’entreprise s’étend aujourd’hui à la mobilité et que les utilisateurs de smartphones ou terminaux mobiles d’entreprise doivent bénéficier des mêmes autorisations et/ou protections à l’extérieur que celles qu’ils auraient eu au sein de l’entreprise.
Seul un Proxy autonome exposé sur le web peut prendre en charge cette fonction et fournir les outils d’analyse et de rapports attendus sur l’utilisation d’internet…
- L’impact des nouvelles cyber menaces sur le Proxy et le Firewall
Un Proxy complémentaire au Firewall apporte davantage de redondance dans la protection du système d’information de l’entreprise.
Il est donc important aujourd’hui de décharger le Firewall de toutes les tâches qui ne sont pas de son ressort et d’intégrer un Proxy autonome si vous souhaitez créer un environnement de confiance sur le web dans votre entreprise.
Intégrer un Proxy autonome avec le Firewall est une priorité en termes de cybersécurité
Le Firewalling d’un côté et le filtrage des flux web par un Proxy autonome constituent aujourd’hui à la fois une priorité et une bonne pratique en termes de cybersécurité.
Face à l’ingéniosité des malwares et à la sophistication « galopante » de certains emails de Phishing, la spécialisation d’un Proxy autonome est un véritable atout grâce à la qualité de sa base de données d’URL et la granularité possible pour les opérations de filtrage. Sans oublier les possibilités d’analyse anti-virus dans les flux en redondance de celles faites sur les postes de travail par les anti-virus classiques.
- Avoir un Proxy autonome en complément du Firewall pourrait coûter moins cher que de n’avoir qu’un seul équipement
Cela reste un des enseignements issus des retours d’expériences partagés par les DSI et RSSI lors de la table ronde du Connect Day Olfeo 2017, les conséquences financières d’une cyber attaque sont sans commune mesure avec les coûts d’équipements additionnels de sécurité.
La charge sur la bande passante augmentant de 10 à 20% chaque année, il est souvent nécessaire de racheter de nouveaux équipements de Firewall au fur et à mesure du temps. Dans cette logique, il semble plus raisonnable d’investir dès le départ dans un proxy dédié, au lieu d’investir des sommes importantes de manière régulière.
On ne peut pas choisir un couteau suisse et en attendre le même niveau d’efficacité.
Il en va de même avec les UTM : s’ils apportent une facilité d'exploitation, on ne peut pas lui demander d’avoir le même niveau de qualité que des équipements dédiés et notamment celui d’un Proxy autonome.
- Intégrer un Proxy dédié comme celui d’Olfeo à votre Firewall est très facile
En effet, l’intégration du Proxy autonome Olfeo avec votre Firewall est aujourd’hui totalement fiabilisée et sécurisée grâce à l’utilisation de connecteurs standardisés avec les solutions leader du marché du Firewall.
Article complet disponible sur le site d'Olfeo