Qu'attendre de la prochaine génération de passerelles Web sécurisées ?

29 avril 2022

Par Michael Schneider - Directeur principal, Gestion des produits, Skyhigh Security

Après plus d'un siècle d'innovations technologiques depuis que les premières unités sont sorties des chaînes de montage d'Henry Ford, les automobiles et les transports n'ont plus grand-chose à voir avec l'époque du modèle T. Cette évolution se poursuivra au fur et à mesure que la société trouvera de meilleurs moyens de déplacer les gens d'un point A à un point B.

Alors que les passerelles Web sécurisées (SWG) ont fonctionné selon un calendrier beaucoup plus serré, une évolution tout aussi radicale s'est produite. Les SWG sont encore largement axés sur la protection des utilisateurs contre les zones dangereuses ou non conformes de l'internet, mais la transition vers un monde de nuage et de travail à distance a créé de nouveaux défis en matière de sécurité que les SWG traditionnels ne sont plus en mesure de relever. Il est temps que la nouvelle génération de GTS permette aux utilisateurs de prospérer en toute sécurité dans un monde de plus en plus décentralisé et dangereux.

Comment nous en sommes arrivés là

À l'origine, le SWG était une solution de filtrage d'URL qui permettait aux organisations de s'assurer que la navigation des employés sur le web était conforme à la politique d'accès à l'internet de l'entreprise.

Le filtrage des URL est ensuite passé aux serveurs proxy installés derrière les pare-feu des entreprises. Étant donné que les proxys terminent le trafic provenant des utilisateurs et établissent la connexion avec les sites web souhaités, les experts en sécurité ont rapidement vu la possibilité d'effectuer une inspection plus approfondie que la simple comparaison des URL avec les listes noires existantes. En incorporant un antivirus et d'autres fonctions de sécurité, le "Secure Web Gateway" est devenu un élément essentiel des architectures de sécurité modernes. Toutefois, le GTS traditionnel ne pouvait jouer ce rôle que s'il était le point d'étranglement de tout le trafic internet, situé à la limite du périmètre de chaque réseau d'entreprise et dont les utilisateurs distants devaient repasser par ce réseau via des liaisons VPN ou MPLS.

GTS de nouvelle génération

La transition vers un monde en nuage et de travail à distance a imposé de nouvelles contraintes au GTS traditionnel basé sur le périmètre. Les utilisateurs peuvent désormais accéder directement à l'infrastructure informatique et aux ressources connectées depuis pratiquement n'importe quel endroit et à partir d'un grand nombre d'appareils différents, et beaucoup de ces ressources ne résident plus dans le périmètre du réseau sur les serveurs de l'entreprise.

Cette transformation remarquable élargit également les exigences en matière de protection des données et des menaces, laissant les équipes de sécurité aux prises avec un certain nombre de nouvelles menaces sophistiquées et de défis en matière de conformité. Malheureusement, les groupes de travail traditionnels n'ont pas été en mesure de suivre le rythme de l'évolution du paysage des menaces, ce qui s'est traduit par une architecture inefficace qui ne permet pas d'exploiter le potentiel de la main-d'œuvre distribuée.

Pratiquement toutes les violations majeures impliquent désormais des composants web sophistiqués à plusieurs niveaux qui ne peuvent pas être arrêtés par un moteur statique. L'approche traditionnelle du SWG a consisté à se coordonner avec d'autres parties de l'infrastructure de sécurité, y compris les bacs à sable pour logiciels malveillants. Mais comme les menaces sont devenues plus avancées et plus complexes, cette approche a eu pour effet de ralentir les performances ou de laisser passer les menaces. C'est là que Remote Browser Isolation (RBI) apporte un changement de paradigme à la protection avancée contre les menaces. Lorsque RBI est mis en œuvre en tant que composant intégral de l'inspection du trafic SWG, il peut fournir une protection zéro jour en temps réel contre les ransomwares, les attaques de phishing et autres logiciels malveillants avancés, de sorte que même les menaces les plus sophistiquées ne puissent pas passer, sans entraver l'expérience de navigation.

Un autre problème de la plupart des GDS traditionnels est qu'ils ne sont pas en mesure de protéger suffisamment les données lorsqu'elles circulent entre les utilisateurs distribués et les applications en nuage, en raison d'un manque de protection avancée des données et d'intelligence des applications en nuage. Sans la technologie Data Loss Prevention (DLP) suffisamment avancée pour comprendre la nature des applications en nuage et suivre l'évolution des exigences en matière de sécurité, les entreprises peuvent trouver des lacunes en matière de protection des données dans leurs solutions SWG, ce qui les rend vulnérables aux risques.

Enfin, il y a la question des applications en nuage. Bien que ces applications fonctionnent sur le même réseau Internet que les sites web traditionnels, elles fonctionnent d'une manière fondamentalement différente que les groupes de travail traditionnels ne peuvent tout simplement pas comprendre. Les courtiers en sécurité de l'accès au nuage (CASB) sont conçus pour fournir une visibilité et un contrôle sur les applications en nuage, et si le GTS n'a pas accès à une base de données d'applications CASB complète et à des contrôles CASB sophistiqués, il est en fait aveugle au nuage. Seul un groupe de travail sensibilisé à l'informatique en nuage et doté d'une fonctionnalité CASB intégrée peut étendre la protection des données à tous les sites web et à toutes les applications en nuage, permettant ainsi aux entreprises et à leurs utilisateurs d'être mieux protégés contre les menaces avancées.

Ce que nous attendons des groupes de travail de la prochaine génération

Un SWG de nouvelle génération devrait permettre de simplifier la mise en œuvre de l'architecture Security Service Edge et d'accélérer l'adoption d'un cloud sécurisé. En même temps, il doit fournir une protection avancée contre les menaces, un contrôle unifié des données et permettre à une main-d'œuvre distante et distribuée de travailler efficacement.

Voici quelques exemples d'utilisation :

• Permettez à vos employés de travailler à distance grâce à une architecture de type "direct-to-cloud" qui offre une disponibilité de 99,999 %. Alors que les pays et les États sortent lentement des ordres de mise à l'abri, de nombreuses organisations ont indiqué que la prise en charge d'une main-d'œuvre distante et distribuée sera probablement la nouvelle norme. Assurer la productivité des travailleurs à distance, la sécurité des données et la protection des points d'extrémité peut parfois s'avérer insurmontable. Un SWG de nouvelle génération devrait offrir aux entreprises l'évolutivité et la sécurité nécessaires pour prendre en charge la main-d'œuvre distante et l'écosystème numérique distribué d'aujourd'hui. Une architecture native dans le nuage permet de garantir la disponibilité, de réduire la latence et de maintenir la productivité des utilisateurs, quel que soit l'endroit où votre équipe travaille. Un véritable service de qualité "cloud" devrait offrir une disponibilité de cinq neuf (99,999 %) en permanence.
• Réduire la complexité administrative et diminuer les coûts - Aujourd'hui, avec l'adoption croissante de l'informatique dématérialisée, plus de 80 % du trafic est destiné à l'internet. Le backhauling du trafic internet vers une architecture traditionnelle "Hub and Spoke", qui nécessite des liaisons MPLS coûteuses, peut s'avérer très onéreux. Le réseau ralentit lorsque le trafic augmente, et les VPN pour les travailleurs à distance se sont révélés inefficaces. Un GTS de nouvelle génération devrait prendre en charge le cadre SASE et fournir une architecture directe vers le nuage qui réduit les coûts d'exploitation totaux en réduisant le besoin de liaisons MPLS coûteuses. Avec un modèle de livraison SaaS, les GTS de nouvelle génération éliminent la nécessité de déployer et de maintenir une infrastructure matérielle, ce qui réduit les coûts de matériel et d'exploitation, tout en augmentant les performances, la fiabilité et l'évolutivité.
• Verrouillez vos données, pas votre entreprise - Plus de 95 % des entreprises utilisent aujourd'hui des services en nuage, mais seulement 36 % d'entre elles sont en mesure d'appliquer des règles de DLP dans le nuage. En outre, la plupart des groupes de travail traditionnels ne sont pas en mesure de protéger suffisamment les données lorsqu'elles circulent entre les utilisateurs distribués et les applications en nuage, en raison du manque de protection avancée des données et d'intelligence des applications en nuage. Un SWG de nouvelle génération devrait offrir un moyen plus efficace d'appliquer la protection avec des modèles Data Loss Prevention intégrés et des flux de travail de protection des données en ligne pour empêcher les données restreintes de sortir de l'organisation. Une protection des données de l'appareil au nuage offre une visibilité complète des données et des contrôles cohérents sur les terminaux, les utilisateurs, les nuages et les réseaux. Grâce à la technologie DLP intégrée, les SWG de nouvelle génération garantissent que les organisations restent conformes aux politiques de sécurité de l'entreprise, ainsi qu'aux réglementations sectorielles et gouvernementales.
• Se défendre contre les menaces connues et inconnues - Alors que le web continue de se développer et d'évoluer, les attaques de logiciels malveillants nés sur le web se développent également et évoluent, au-delà de la protection que les groupes de travail traditionnels peuvent fournir. Les ransomwares, le phishing et d'autres menaces avancées basées sur le web mettent en danger les utilisateurs et les terminaux. Un SWG de nouvelle génération devrait comporter les contrôles de sécurité intégrés les plus avancés, y compris la veille globale sur les menaces et le sandboxing, afin que même les menaces les plus sophistiquées ne puissent pas passer. Un groupe de travail de nouvelle génération doté de solutions de protection contre les menaces qui fonctionnent ensemble est en mesure de garantir des politiques cohérentes, la protection des données et la visibilité sur le trafic isolé et non isolé. Un SWG de nouvelle génération devrait également inclure le site Remote Browser Isolation intégré pour empêcher les menaces inconnues d'atteindre les points d'extrémité.

Les SWG ont clairement parcouru un long chemin depuis les dispositifs de filtrage d'URL jusqu'au point où ils sont essentiels pour favoriser l'adoption sûre et accélérée de l'informatique en nuage. Mais nous devons pousser l'enveloppe proverbiale beaucoup plus loin. La transformation numérique n'exige rien de moins.