Le marché des solutions cyber bascule de plus en plus vers les services managés. Dernier exemple en date, NGFW sur AWS de Palo Alt.
Le marché des services managés en cybersécurité est amené à croître de 13,9 % par an sur la période 2021-2026 selon les analystes de MarketsandMarkets. A cette date, c’est un gâteau de 43,7 milliards de dollars que se partageront les MSSP (Managed Security Services Providers). Les éditeurs lorgnent aussi sur cette manne et proposent des versions managées de leurs offres soit sur leurs propres services Cloud, soit chez les hyperscalers.
Tout comme plusieurs de ses concurrents directs, Palo Alto Networks proposait son firewall de nouvelle génération NGFW (alias Next-Generation Firewall) sur la marketplace d’Amazon Web Services, une machine virtuelle louée à l’heure qu’une entreprise pouvait déployer sur l’instance AWS de son choix. Néanmoins, l’Américain va aujourd’hui plus loin avec ce même firewall proposé cette fois sous forme de véritable service managé.
« Avec ce service managé, le client peut disposer de NGFW en quelques clics sans devoir s’occuper de la version du firewall, ni de son hébergement sur une instance AWS, ni de sa montée en charge future » résume à Solutions Numériques Eric Antibi, directeur technique de Palo Alto Networks pour la France. « Il s’agit d’une approche véritablement « As a Service » qui va permettre à l’entreprise de se concentrer sur l’amélioration de sa posture de sécurité. Cela permet à nos clients d’exploiter NGFW encore plus simplement que par le passé, mais cela nous permet aussi de leur faire profiter de fonctionnalités de sécurité qui vont bien au-delà de celles d’un simple WAF. » Le service managé est facturé à l’heure de fonctionnement ou au Gigaoctet de données échangées.
Un « Next-Gen Firewall » pour remplacer le WAF d’AWS
Eric Antibi argumente en faveur de NGFW qui, selon lui, vient relayer le firewall classique proposé par AWS : « Le filtrage sur les couches basses du réseau est très limité et ne suffit plus vis-à-vis des menaces. Le Next-Gen Firewall permet de créer une segmentation bien plus fine et précise, filtrer les flux applicatifs en désignant les utilisateurs sui ont le droit d’accéder à telle ou telle application. Remonter l’analyse dans les couches réseaux facilite grandement la politique de sécurité et permet d’aller vers une approche « Zero Trust ». » Autre exemple de fonctionnalité délivrée par un firewall de nouvelle génération d’Alta Vista, le moteur de Machine Learning embarqué va se livrer à une analyse comportementale sur les flux de données et repérer un malware à l’œuvre ou un comportement malveillant. Selon l’expert, s’appuyer sur un firewall de nouvelle génération est un moyen de faire face à la montée en puissance des Zero Day qui représentent aujourd’hui 90 % des attaques auxquelles sont confrontées les entreprises. L’éditeur ajoute que quelle que soit la façon dont est mis en œuvre son firewall, qu’il s’agisse du service managé AWS, d’un déploiement on-premise ou Cloud (en version VM-Series) ou même de sa version hardware (dans sa version PA-Series), le firewall délivre des capacités de filtrage des flux, de la reconnaissance de vulnérabilités, mais ouvre aussi l’accès à d’autres services de sécurité hébergés dans le Cloud de Palo Alto comme le DLP (Data Loss Protection), l’URL filtering pour écarter les sites malveillants, la sécurité DNS, etc. Tous ces services complémentaires n’ont plus à être configurés par le client, ceux-ci sont simplement activables dans le Cloud si le client choisit d’y souscrire.
« Il s’agit d’une approche véritablement « As a Service » qui va permettre à l’entreprise de se concentrer sur l’amélioration de sa posture de sécurité »
Une offre qui pourrait séduire les DevSecOps
Outre les caractéristiques intrinsèques de l’offre Palo Alto, cette offre managée AWS présente l’atout d’être totalement intégrée au Firewall Manager d’AWS. NGFW va totalement pouvoir s’intégrer aux Amazon VPC (Virtual Private Cloud) que l’entreprise va déployer sur AWS et se gérer comme le firewall natif AWS. « Outre cette intégration au Firewall Manager d’AWS, toutes les fonctionnalités de NGFW sont pilotables par API via AWS CloudFormation. Cela permet à l’entreprise de piloter ses firewalls dans une approche « Infrastructure as Code ». Il est par ailleurs possible de piloter cette infrastructure avec des scripts Terraform. »
Avec ce type d’approche, Palo Alto vise clairement les équipes DevOps qui sont encore bien souvent disjointes des équipes cyber de l’entreprise. Les DevOps ont naturellement tendance à utiliser les briques logicielles qui sont à leur disposition chez le fournisseur Cloud. Pour l’Américain, l’arrivée de services managés bien intégrés à la plateforme Cloud doit changer la donne : « Les DevOps pourront mettre en œuvre NGFW de la même façon que le firewall proposé par défaut par AWS, sans devoir faire d’efforts supplémentaires. Notre firewall est totalement configurable et pilotable depuis les outils d’automatisation habituellement mis en œuvre par ces équipes » conclut Eric Antibi.
Après ce lancement sur AWS, on pourrait retrouver un service managé Palo Alto équivalent chez d’autres fournisseurs Cloud.
Alain Clapaud
