Barracuda SecureEdge: Fonctionnalités

SecureEdge repose sur la même technologie que CloudGen Firewall, le firewall d’entreprise éprouvé de Barracuda. Conçu spécialement pour le cloud, le service SecureEdge offre une sécurité multicouche avancée visant à protéger vos ressources essentielles grâce à un riche ensemble de fonctionnalités :

• Advanced Threat Protection
• Détection et lutte contre les intrusions
• Malware Protection
• Inspection SSL
• Inspection approfondie des paquets dynamiques
• Architecture « single pass »
• Filtrage des URL – Liste de contrôle d'accès (ACL) basée sur les applications

Contrairement aux solutions traditionnelles, qui détectent généralement les menaces après qu'elles ont franchi le réseau puis en informent l'administrateur, Barracuda Advanced Threat Protection (ATP) met en œuvre une émulation complète du système afin de surveiller scrupuleusement le comportement des logiciels malveillants. Les fichiers sont comparés au contenu d'une base de données de hachage cryptographique qui est constamment mise à jour. S'ils sont inconnus, ils sont émulés dans notre sandbox virtuelle à la recherche de comportements malveillants. Avec Barracuda ATP, et notamment les fonctions d'inscription sur liste de blocage et de mise en quarantaine automatique, les administrateurs peuvent contrôler précisément les fichiers en fonction de leur type et maintenir ainsi un niveau de protection maximal au sein du réseau de l'entreprise.

Barracuda SecureEdge assure la prévention des intrusions, la protection antivirus, le contrôle des applications et le filtrage des URL tout en protégeant le trafic Web SSL chiffré contre les menaces avancées en adoptant une approche standard dite de « l'homme du milieu » (man-in-the-middle). L'inspection SSL peut être affinée afin d'exempter les réseaux locaux, les utilisateurs/groupes, les catégories de filtres d'URL ou les domaines définis de façon personnalisée du processus.

Le système de prévention des intrusions (IPS) de SecureEdge renforce considérablement la sécurité du réseau en luttant efficacement et en temps réel contre un large éventail de menaces, de techniques de piratage, de vulnérabilités, d'exploits et de risques, aussi bien au niveau des systèmes d'exploitation et des applications que des bases de données. Il permet ainsi d'endiguer les attaques réseau suivantes :

• Les injections SQL et les exécutions de code arbitraires
• Les tentatives de contrôle d'accès et l'élévation des privilèges
• Le cross-site scripting et le dépassement de tampon
• Les attaques par déni de service (DoS) et déni de service distribué (DDoS)
• Les tentatives d'analyse, d'exploration et de parcours des répertoires (directory traversal)
• Les portes dérobées, chevaux de Troie, rootkits, virus, vers et logiciels espions

Barracuda SecureEdge peut ainsi identifier et bloquer les tentatives de piratage et les techniques d’offuscation avancées utilisées par les pirates pour contourner et tromper les systèmes traditionnels de lutte contre les intrusions.

Les signatures sont automatiquement mises à jour à intervalles réguliers ou à chaque apparition d’une nouvelle vulnérabilité afin de garantir que Barracuda SecureEdge demeure continuellement à jour.

SecureEdge renforce la sécurité totale grâce aux listes de contrôle d’accès (ACL), au contrôle des applications, au filtrage des URL, aux antivirus et à la protection contre les menaces avancées qui permettent de segmenter et de contrôler les réseaux dans Azure Virtual WAN. Ainsi, les groupes de sécurité, les firewalls Azure et les services de sécurité Azure partenaires ne sont plus nécessaires et peuvent être remplacés par une solution flexible, facile à utiliser et économique. SecureEdge offre une visibilité inédite en temps réel sur tout le trafic entrant et sortant d’Azure Virtual WAN.

La technologie d'équilibrage adaptatif des sessions permet d'utiliser la meilleure liaison montante disponible au regard du profil de l'application, pour tous les tunnels chiffrés entre les sites SD-WAN. Si la qualité de la liaison montante initiale se rétablit, le trafic SD-WAN chiffré repasse de manière transparente sur cette liaison montante. Le routage orienté application, qui tient compte des résultats de la détection dynamique de la bande passante et de la latence, applique le même principe au trafic Internet sortant, ce qui permet aux applications SaaS telles qu'Office 365 de toujours exploiter la meilleure liaison montante disponible, même lorsque les conditions changent régulièrement.

Pour offrir la meilleure expérience utilisateur possible sur l'ensemble de votre réseau étendu, les dispositifs SecureEdge sur site mesurent de manière proactive les bandes passantes disponibles et la qualité des liaisons montantes Internet entre les points de terminaison VPN. Les résultats sont directement transmis au moteur de sécurité et de politique SD-WAN afin de sélectionner la liaison montante la plus adaptée par application ou d'exclure une liaison montante, si la bande passante ou la latence ne remplit pas les critères.

Grâce à une technologie unique et ultramoderne de sécurité et de routage WAN adaptatif, Barracuda SecureEdge est capable d'attribuer de manière dynamique de la bande passante, une liaison montante et des informations de routage disponibles, en fonction du protocole, de l'utilisateur, de l'emplacement et du contenu, mais également des applications, des catégories d'application et des catégories de contenu Web. Cela permet de réserver les lignes coûteuses et hautement disponibles aux applications critiques, tout en réduisant considérablement les temps de réponse et en libérant davantage de bande passante.

Afin de consulter une liste actuelle des applications et des sous-applications reconnues par SecureEdge pour le routage orienté application veuillez accéder à l’Explorateur d’applications en ligne.

Barracuda SecureEdge dispose d'une fonction de détection dynamique de la bande passante et de la latence qui répartit automatiquement les sessions existantes dans des tunnels VPN logiques sur l'ensemble des liaisons montantes disponibles. Cet équilibrage en temps réel optimise l'efficacité du réseau et l'utilisation de la bande passante à chaque instant.

Si la fonction de détection dynamique de la bande passante et de la latence indique que le débit d'une liaison montante est insuffisant pour prendre en charge certains types de trafics essentiels pour l'entreprise (le VoIP par exemple), Barracuda SecureEdge bascule automatiquement le trafic de moindre importance vers des liaisons secondaires afin de libérer de la bande passante.

Le SD-WAN sécurisé entre les appareils Barracuda Networks emploie par défaut le protocole TINA (Transport Independent Network Architecture), une version améliorée du protocole IPsec conçue pour franchir les limites inhérentes. En combinant les protocoles TCP, UDP et ESP pour des connexions VPN à haut débit, le protocole TINA améliore considérablement la connectivité VPN. Il ajoute également par défaut une connectivité de point de terminaison à point de terminaison (et non de réseau à réseau), une prise en charge de la fonction NAT et des adresses dynamiques, une compatibilité avec le protocole HTTPS et les proxies SOCKS4/5, et une meilleure qualité du tunnel VPN grâce à une fonction de surveillance dynamique avancée des pulsations du tunnel.

Grâce au modem LTE USB facultatif, les dispositifs SecureEdge sur site peuvent tirer parti d’une connectivité 4G/LTE et de l’infrastructure cellulaire pour fournir des connexions haut débit, aussi bien en basculement qu’en équilibrage de charge. Si vous travaillez dans un endroit qui ne dispose ni d’une option de connexion filaire haut débit ni d’une connectivité cellulaire suffisante, le modem LTE USB peut servir de connexion Internet principale. Ce dernier peut également être utilisé pour le déploiement sans intervention des appareils SecureEdge sur site dans des zones où une connectivité Internet filaire n’est pas encore disponible.

Afin d'étendre le service SASE à chaque appareil sur site et de surmonter les limites de la technologie SD-WAN traditionnelle basée sur des liaisons montantes partagées comme la connexion haut débit, SecureEdge dispose d'une technologie d'optimisation des liaisons montantes avec correction d'erreur sans voie de retour (FEC) et résolution automatique des problèmes de réseau. Ainsi, il est possible d'utiliser plus efficacement la bande passante physique disponible et d'étendre les avantages d'un SD-WAN aux sites disposant de liaisons montantes uniques, tout en optimisant l'utilisation des liaisons montantes partagées.

Le service SASE Barracuda SecureEdge est disponible en tant que service SaaS directement géré par Barracuda Networks ou en tant que SecureEdge pour Virtual WAN dans Microsoft Azure et géré par Microsoft, ou encore en tant qu'appliances virtuelles et matérielles à gérer et à héberger par le client ou le partenaire de confiance. Quel que soit le type de déploiement, toute la gestion de la configuration basée sur l'intention s'effectue à partir du portail cloud SecureEdge Manager. Le service se charge ensuite de propager et d'appliquer les modifications à chaque périphérie de service, site, utilisateur ou objet.

Une fois conncté et activé, chaque appareil du site utilise automatiquement toutes les liaisons montantes disponibles pour se connecter au service SASE. Avec les paramètres de politique SD-WAN prédéfinis pour des milliers d'applications métiers courantes, les appareils garantissent que le meilleur chemin de liaison montante est toujours utilisé pour l'application.

Barracuda SecureEdge Service et SecureEdge Access Agent fournissent un accès sécurisé à toute application privée ou SaaS, quel que soit l'endroit où elle est hébergée, en suivant les principes du Zero Trust. L’accès réseau Zero Trust (ou Zero Trust Network Access, ZTNA en anglais) fournit aux utilisateurs un accès de moindre privilège aux applications métier, réduisant ainsi les risques pour l’entreprise. La sécurité Zero Trust de Barracuda SecureEdge permet d’établir un contrôle d’accès sans précédent entre les utilisateurs et les appareils, sans les lacunes de performance associées aux VPN classiques. La solution vous offre également un accès conditionnel, contextuel et distant aux ressources réduisant ainsi les accès trop privilégiés et les risques associés aux tiers.

Lorsqu’elles se connectent aux ressources de l’entreprise, elles subissent souvent des limitations en raison des pertes associées au partage des lignes Internet haut débit. L’optimisation du dernier kilomètre pour le trafic des applications avec SecureEdge optimise l’expérience de l’utilisateur final en réduisant la perte de paquets et en récupérant une grande partie de la bande passante disponible sur les lignes Internet pour une meilleure qualité des appels audio et vidéo. La technologie sous-jacente pour remédier à la perte de paquets est basée sur des codes de réseau linéaires aléatoires (RLNC), un nouveau système de codage algorithmique qui réagit beaucoup plus rapidement aux pertes et y remédie en temps réel, réduisant ainsi le nombre nécessaire de retransmissions et la surcharge des appareils.

L'application SecureEdge Access Agent est disponible sur toutes les plateformes bureautiques et mobiles, offrant une sécurité optimale et des fonctionnalités ZTNA. Qui plus est, la licence est liée à l'utilisateur et protège jusqu'à 5 appareils par utilisateur.

Le routage de l'ensemble du trafic vers un point d'accès central peut avoir un impact sur les applications sensibles à la latence comme Microsoft 365 ou les appels Zoom. Pour offrir la meilleure qualité de service possible, SecureEdge permet de définir les applications qui peuvent se connecter directement à ces services, ainsi que le trafic d'application susceptible de faire l'objet d'une retransmission pour être traité ultérieurement.

L'optimisation intégrée du trafic Internet, du service à l'agent SASE, permet aux points de terminaison d'utiliser davantage la bande passante disponible sur les lignes Internet partagées pour améliorer la performance des applications. La technologie sous-jacente pour remédier à la perte de paquets est basée sur des codes de réseau linéaire aléatoire (RLNC), un système d'encodage puissant. Ces algorithmes réagissent bien plus rapidement aux pertes et sont capables d'y remédier plus vite en temps réel, ce qui réduit le nombre de retransmissions de paquets nécessaire et les frais généraux des appareils.

La fonctionnalité Secure Web Gateway du service SecureEdge est étendue au point de terminaison grâce à SecureEdge Access Agent qui fournit un accès sécurisé à Internet (SIA). L'agent bloque les catégories de sites web interdits ou indésirables connus sans procéder à d'autres inspections. Il n'y a aucune raison d'envoyer ce type de trafic vers le cloud pour analyse alors qu'il peut être bloqué immédiatement au niveau du point de terminaison. Il peut s'agir de contenus contraires à la réglementation ou aux normes de conformité de l'entreprise, ou de sites web connus pour être malveillants. Cela inclut même les « appels sortants » de logiciels malveillants déjà présents sur l'appareil et qui tentent de joindre leur serveur. L'accès aux applications SaaS « connues » est autorisé par défaut, sans avoir à être transmis au service cloud à des fins d'inspection de sécurité. Les clients disposent d'un contrôle total en activant ou en désactivant l'accès via plus de 100 catégories de filtres de contenu et des milliers de définitions d'applications.

L'inspection de sécurité approfondie est appliquée aux applications et aux sites web qui ne sont connus ni pour être bons ni pour être mauvais, ou que le service informatique souhaite simplement inspecter intégralement à des fins de conformité. Le trafic vers et depuis ces adresses est automatiquement envoyé au service SecureEdge pour une inspection de sécurité de nouvelle génération, y compris l'IPS, l'inspection SSL approfondie et la protection avancée contre les menaces via le cloud Barracuda BATP.

La fonctionnalité de filtrage des contenus de SecureEdge vous permet de créer et d'appliquer des politiques efficaces de contenu Internet et d'accès en fournissant une visibilité en temps réel extrêmement précise sur les activités en ligne des utilisateurs et des applications. De plus, cette option préserve la productivité des utilisateurs, bloque les téléchargements de malwares et autres menaces Web, et assure la mise en conformité en bloquant l'accès aux sites et serveurs indésirables. En somme, c'est une couche de sécurité supplémentaire indispensable renforçant le contrôle des applications.

Les services SecureEdge et les dispositifs du site SecureEdge comprennent des dictionnaires prérédigés en anglais de mots-clés et d'expressions liés au harcèlement, aux armes, au terrorisme et à la pornographie. Les administrateurs sont avertis lorsque ces mots-clés ou expressions font l'objet de recherches en ligne. Les alertes sont marquées avec les identités réelles des utilisateurs du réseau, les horodatages, les adresses IP et les termes de recherche, ce qui permet d'identifier facilement la source, quels que soient les profils en ligne. Des mots-clés personnalisés pour la surveillance peuvent être facilement ajoutés via l'interface utilisateur Web.

Même si les sites web malveillants et inappropriés sont bloqués, les utilisateurs peuvent toujours accéder à des contenus inappropriés par le biais des moteurs de recherche les plus populaires. Les dispositifs de site SecureEdge et les services SecureEdge permettent d'appliquer l'option SafeSearch pour les moteurs de recherche les plus courants et YouTube. Comme ce paramètre est appliqué au niveau du réseau, les utilisateurs finaux ne peuvent pas le manipuler ou le contourner par l'intermédiaire de leurs propres comptes.

Les services SecureEdge et les dispositifs de site SecureEdge permettent de supprimer de manière transparente la publicité en ligne sans afficher de message de blocage ou de notification attirant l'attention.

Le réseau mondial de renseignements sur les menaces de Barracuda est inégalé dans sa capacité à ingérer de grandes quantités d'informations diverses sur les menaces, en temps réel, depuis des millions de points de récolte de par le monde. Barracuda CloudGen Access utilise ce système pour améliorer ses capacités de détection de menaces en continu et pour répondre à l'évolution toujours plus rapide des menaces.

Facile à déployer, SecureEdge ne nécessite aucune compétence informatique particulière. Le service fonctionne d’emblée avec une configuration standard intelligente qui convient à toutes les applications cloud et SaaS. Le service peut être déployé sur tous les sites en tant que solution SD-WAN pure parallèlement aux firewalls existants ou bien en tant que solution SD-WAN sécurisée en remplacement des firewalls existants.

Le déploiement sans intervention vous permet d’envoyer des appareils SecureEdge sur le site distant souhaité directement de l’usine et ce, sans nécessiter de personnel informatique sur place. Branchez-le dispositif et démarrez-le, ce dernier enverra alors automatiquement une requête puis recevra et installera son fichier de configuration spécifique. Cette fonction permet ainsi de faciliter et d’accélérer considérablement le déploiement des appareils SecureEdge sur site sur l’ensemble des entreprises distribuées et ce à moindre coût. Le modem LTE USB facultatif de Barracuda peut servir à faciliter le déploiement initial de tels dispositifs au sein des sites qui ne disposent d’aucune connectivité Internet filaire.

Le gestionnaire SecureEdge vous permet de gérer le service directement pour l’ensemble des régions et des sites couverts par votre WAN mondial quel que soit le nombre de points d’entrée ou de sites cloud. Ce portail cloud centralisé offre le plus haut niveau d’automatisation possible ainsi qu’une simplicité d’utilisation inégalée. Le gestionnaire SecureEdge surveille et optimise en permanence les performances réseau afin de vous fournir une connectivité ininterrompue et un haut niveau de service pour vos besoins essentiels en matière de trafic et d’applications.

Dans le cas de règles de filtrage des contenus, de protection des malwares, d'inspection SSL, de prévention des intrusions et de firewall (ACL), vous pouvez définir des utilisateurs ou groupes à l'aide de critères d'inclusion. Autorisez certaines catégories de sites Web pour des utilisateurs ou groupes spécifiques (accordez par exemple un accès à Facebook aux équipes marketing et bloquez-le pour tous les autres utilisateurs), ou désactivez les analyses SSL ou IPS pour certains utilisateurs ou groupes.

Auparavant, les solutions de sécurité étaient compliquées à utiliser ou dépourvues de leurs fonctions de sécurité sous-jacentes. Les firewalls et autres solutions de sécurité reposaient sur l'attribution de réseaux, de plages d'adresses IP et de fonctions de sécurité des produits ponctuels à ces réseaux. Les opérations basées sur l'intention sont conçues en tant qu'élément du concept de SecureEdge Manager pour notre plateforme SASE unifiée. La plateforme SASE Barracuda SecureEdge est réservée aux utilisateurs, aux groupes et aux applications. Les utilisateurs distants peuvent ainsi accéder aux applications de cloud privé et public, et à Internet beaucoup plus rapidement.

En plus des milliers d'applications prédéfinies proposées, la plateforme SASE SecureEdge vous permet de créer des applications privées qui peuvent être hébergées n'importe où. C'est rapide et facile et ne doit être fait qu'une seule fois, puis partagé avec les définitions des politiques de sécurité, SD-WAN et ZTNA. Toutes les optimisations de réseau et de routage nécessaires sont effectuées de manière totalement transparente en arrière-plan et appliquées automatiquement à chaque site, utilisateur ou instance de service.

La petite application SD-WAN Connector (Connecteur SD-WAN) permet de connecter n'importe quel cloud ou site local exécutant des services ou serveurs Windows ou Linux pour un accès direct aux applications via ZTNA et de les mettre à la disposition de votre personnel.

Conçus par Microsoft, la solution Azure Monitor et le système Azure Log Analytics sous-jacent recueillent, surveillent, analysent et exploitent les données télémétriques provenant d'applications hébergées dans des environnements Azure et sur site, ainsi que sur des dispositifs réseau et de sécurité correspondants. Les clients peuvent ainsi automatiser l'analyse des données sous-jacentes, définir des alertes et s'appuyer sur des informations issues du machine learning pour rapidement identifier et résoudre les problèmes de sécurité et de connectivité de leur infrastructure cloud, sans devoir se connecter aux dispositifs. Vous pouvez configurer SecureEdge de sorte à envoyer à Azure Log Analytics des données de journal adéquates relatives à la sécurité, à la connectivité, au SD-WAN et aux connexions de point à site pour des analyses approfondies.

Azure Secured Hub est un hub sécurisé d'Azure Virtual WAN doté de politiques de sécurité et de routage configurées par Azure Firewall Manager. Ce dernier dispose notamment d'un système de sécurité mis en place par un service de sécurité Azure partenaire approuvé. Barracuda SecureEdge prend en charge le déploiement dans ces scénarios afin d'apporter une connectivité SD-WAN et une sécurité de firewall nouvelle génération sur chaque site, ainsi qu'un accès privé hautement performant aux ressources cloud pour les points de terminaison.

SecureEdge Manager offre une interface de tableau de bord personnalisable et intuitive pour un aperçu rapide des utilisateurs, des menaces, des activités sur le réseau, de l'état de l'infrastructure et de l'état de la connectivité SD-WAN. Quelques clics suffisent pour obtenir des tableaux de bord supplémentaires avec des configurations personnalisées comprenant un choix de dizaines de tuiles prédéfinies.