HarfangLab EPPPare-feu professionnel
Tout savoir sur le fonctionnement
du pare-feu intégré à notre EPP.
Un pare-feu pour appliquer les politiques réseau directement sur les endpoints
Le pare-feu inclus dans l'EPP d’HarfangLab vise à sécuriser le trafic en appliquant les politiques de protection réseau directement sur les terminaux.
Il est indépendant - par exemple du pare-feu Microsoft Defender pour Windows - et permet le filtrage de connexions réseau sur la base d'adresses IP, de ports, protocoles...
Ces politiques de pare-feu permettent d'associer un profil de pare-feu aux endpoints, soit l'ensemble de règles de filtrage appliquées aux connexions réseau, basées sur :
- Protocole réseau (IPv4 / IPv6 et/ou TCP / UDP / ICMP),
- Direction (connexion entrante, sortante ou les deux),
- Hôte local, soit le terminal protégé (adresse IP unique / plage / CIDR), port et/ou application),
- Hôte distant, soit le terminal distant concerné par la connexion avec le terminal protégé adresse IP unique / plage / CIDR, ou FQDN et/ou port).
Par ailleurs, pour les cas où il est nécessaire d'appliquer dynamiquement des profils de pare-feu différents en fonction d'un contexte réseau complexe (terminal se déplaçant et se connectant à plusieurs réseaux, serveur étant simultanément connecté à plusieurs réseaux etc...), le pare-feu de l’EPP d’HarfangLab permet de définir des zones de réseau sur la base de divers paramètres tels que le type d'interface réseau, l’adresse IP associée... et de choisir par le biais de la politique de pare-feu quel profil appliquer dans quelle zone de réseau.
Ces politiques de pare-feu sont ensuite associées à des politiques d'endpoint, permettant ainsi d'unifier tous les éléments de configuration dans la console.
Les connexions réseau entrantes et sortantes sont ainsi filtrées à l'aide de règles configurées et administrées directement depuis la console d’HarfangLab.
Allons encore un peu plus loin dans l’exploration de notre pare-feu : quelles sont les options de configuration ?
Les options de configuration du pare-feu d'HarfangLab
L’adaptation au contexte est au centre de la conception de notre pare-feu HarfangLab !
Les utilisateurs de l’EPP peuvent définir différentes configurations pour un même endpoint, et elles s’appliquent dynamiquement selon le contexte dans lequel l’endpoint se connecte (réseau de l’organisation, VPN, réseau privé...).
En outre, comme mentionné précédemment, le pare-feu d’HarfangLab permet de définir des règles spécifiques pour une application donnée sur un terminal protégé, ainsi que sur un FQDN.
Ces options visent par exemple à maintenir une connectivité vers un service dont l'adresse IP peut être inconnue ou changeante. Pour finir, voyons en détails les capacités d’adaptation du pare-feu d’HarfangLab en un cas d’usage.
Le pare-feu d'HarfangLab en pratique
Prenons le cas d’une usine dont les équipements sont critiques et ne doivent jamais s’arrêter.
Ces machines sont pilotées par des serveurs protégés par l'EPP, et elles ont besoin d’un niveau de protection réseau très élevé.
Les serveurs ne sont donc pas connectés à internet, et seules sont autorisées les connexions SSH venant des postes de travail pour les administrer.
La base de données se connecte également à ces serveurs pour récupérer des données à exploiter sur les postes de travail des équipes métiers, sans connexion internet non plus... mais en lien avec des postes de travail eux-mêmes connectés à internet.
Le pare-feu peut alors être configuré via un plan d’adressage qui prévoit des autorisations ou des restrictions pour l’accès aux serveurs et aux postes de travail selon leur zone réseau, et selon le type de connexion (réseau de l’entreprise ou internet).
Deux profils de pare-feu peuvent alors être envisagés : un pour l'usine et un pour les bureaux.
Deux zones de réseau sont ensuite configurées en fonction du plan d'adressage défini préalablement, permettant d'appliquer le bon profil à la bonne zone de réseau en fonction de la situation de chaque endpoint.
Un package EDR + EPP qui simplifie le travail des analystes
Soutenir le travail des experts cyber pour sécuriser un système d'information et contrer les menaces est évidemment une de nos principales priorités.
En ce sens, l’utilisation d’un EPP capable d’automatiser la neutralisation des menaces connues, permet aux analystes de réduire les sollicitations et de se focaliser sur une exploitation approfondie des données récoltées grâce à un EDR.
Ils peuvent alors centraliser l’ensemble des informations et la gestion des outils de sécurité sur une seule plateforme, ce qui facilite la surveillance du système d’information.
Cela représente un gain de temps significatif en comparaison avec l’utilisation d’outils dispersés et la gestion de données provenant de sources hétérogènes.
Et il n’y pas que les analystes pour qui ce bundle EDR + EPP offre des avantages !
Rendre chaque utilisateur acteur de la sécurité du système d'information
Pour les équipes chargées de configurer les solutions de sécurité, associer EDR et EPP permet de déployer simultanément les outils nécessaires à la protection des endpoints : EDR, antivirus, pare-feu, ou encore la gestion de périphériques externes (USB, bluetooth...)...
Le tout est alors géré depuis une interface unique, évitant ainsi les erreurs ou les différences de configuration entre outils pour un même endpoint. C’est aussi l’EDR qui remonte la télémétrie utile pour analyser les données en cas d’événement de sécurité relatif au réseau, qu’il soit signalé par l’EDR ou par l’EPP.
Pour une DSI, opter pour une solution centralisée simplifie le processus : un seul cycle d'achat, d'installation et de mises à jour à gérer, ce qui réduit la charge des équipes.
Enfin, pour les utilisateurs finaux du système d’information, la combinaison EDR et EPP contribue à une meilleure visibilité sur l’activité de leur propre poste de travail, les impliquant davantage dans la sécurité de leur organisation.
Même s’ils n’accèdent pas directement à l’EDR, les alertes générées par l’EPP signalent la détection de menaces et les rendent concrètes.
L’EPP augmente ainsi les capacités de l'EDR et permet de configurer plus finement la détection (règles personnalisées ou fournies par HarfangLab, whitelists...).