Palo Alto Networks et Arista combinent leurs expertises pour optimiser la sécurité des datacenters. (Crédit Arista)
Les deux sociétés ont élaboré un framework pour mettre en place une approche zero trust aux centres de données. Plusieurs fonctionnalités intègrent les expertises de Palo Alto Networks et Arista.
En matière de sécurité, toutes les initiatives de partenariat sont utiles pour améliorer la protection. Dans ce cadre, les travaux communs entre Arista et Palo Alto Networks visent à renforcer celle des datacenters. Au sein d'un framework, les activités de contrôle et de gestion du réseau ont été combinées avec des politiques de sécurité pour avoir une automatisation intégrée et une application cohérente à l'échelle de l'entreprise. « Jusque-là, Arista et Palo Alto travaillaient ensemble pour partager des informations, mais agissaient séparément, et les clients devaient se charger eux-mêmes de l'intégration », ont déclaré les fournisseurs.
Une montée en puissance des menaces de l'IA
L'accord change cela. Les équipes DevOps créent et mettent à jour automatiquement des applications à l'aide de l'intégration continue/livraison continue (CI/CD) et d'autres méthodes. « Pour que ces applications continuent de fonctionner correctement à mesure que leur utilisation augmente, elles ont besoin de systèmes capables d'ajouter automatiquement des ressources et de les coordonner, y compris lorsqu'une orchestration entre les environnements cloud est nécessaire », ont expliqué Kumar Srikantan, vice-président et directeur général du campus chez Arista, et Alessandro Barbieri, directeur de la gestion des produits chez Arista.
« Cette exigence d'agilité et d'échelle géo-distribuée aggrave les défis de sécurité déjà considérables découlant de l'ampleur même du trafic est-ouest, lequel élargit considérablement la surface d'attaque. Et ce n'est pas tout : une autre génération de menaces alimentées par l'IA, dans lesquelles les adversaires exploitent l'IA pour lancer des attaques hautement évasives d'un niveau de sophistication et d'ampleur sans précédent, augmente considérablement l'impact de tout incident de sécurité », ont encore écrit Kumar Srikanta et Alessandro Barbieri dans un blog sur le partenariat. « De plus, les attaques basées sur l'IA sont conçues pour contourner les défenses traditionnelles à une vitesse accrue. Les attaques par exfiltration de données, l'exploitation des vulnérabilités ou le développement de ransomwares, qui prenaient auparavant des semaines ou des jours, peuvent désormais être menées en quelques heures ou quelques minutes. » Ce partenariat élargi entre Arista et Palo Alto vise précisément à s'attaquer à ces problèmes.
Plusieurs fonctionnalités
La première des quatre fonctionnalités clés est la segmentation zero trust pour les centres de données. Celle-ci unifie la segmentation, la visibilité et la protection inter-zones via le pare-feu de nouvelle génération de Palo Alto et le fabric Multi-Domain Segmentation Services (MSS) d'Arista. Comme l'explique dans un blog Srini Kotamraju, vice-président des produits chez Palo Alto, grâce à cette fonctionnalité, le fabric d'Arista, qui offre une visibilité complète du réseau, achemine intelligemment le trafic applicatif est-ouest vers le firewall de Palo Alto pour une inspection approfondie de la couche Layer 7. « Sur la base de cette inspection, il crée une politique de sécurité complète et sensible aux applications. Il demande ensuite au fabric d'Arista d'appliquer cette politique à la vitesse du réseau pour tous les flux similaires ultérieurs », a encore écrit M. Kotamraju. « Ce modèle 'inspect-once, enforce-many' (inspecter une fois, appliquer plusieurs fois) offre une sécurité zero trust granulaire sans les goulots d'étranglement pouvant résulter du passage de la totalité du trafic par un pare-feu ou d'une indispensable refonte coûteuse et perturbatrice du réseau. » La seconde fonctionnalité est une mise en quarantaine dynamique qui permet au NGFW de Palo Alto d'identifier les menaces évasives qui utilisent les services de sécurité fournis dans le cloud (CDSS). « Ces services, comme Advanced WildFire pour les logiciels malveillants de type zero-day et Advanced Threat Prevention pour les exploits inconnus, se servent des informations mondiales sur les menaces pour détecter et bloquer les attaques que la sécurité traditionnelle ne détecte pas », a précisé M. Kotamraju.
Le fabric d'Arista peut décharger intelligemment les très larges flux (elephant flows) fiables et à haut débit du pare-feu après inspection, ce qui lui permet de se concentrer sur le trafic à haut risque. Selon M. Kotamraju, lorsqu'une menace est détectée, le NGFW envoie un signal à CloudVision d'Arista, qui programme les commutateurs réseau pour mettre automatiquement en quarantaine la charge de travail compromise à la vitesse de la ligne matérielle. « Cette réponse immédiate stoppe la propagation latérale d'une menace sans créer de goulot d'étranglement au niveau des performances ni nécessiter d'intervention manuelle », a-t-il ajouté. La troisième fonctionnalité est l'orchestration unifiée des politiques, où le plan de gestion de Palo Alto Networks centralise les politiques basées sur les zones et les micro-périmètres, et CloudVision MSS répond par le déchargement et l'application des commutateurs Arista. « Cela permet de traiter l'ensemble du réseau géo-distribué comme un seul commutateur logique, et de migrer librement les charges de travail entre les réseaux cloud et les domaines de sécurité », ont écrit Kumar Srikanta et Alessandro Barbieri.
Une intégration aux pipelines CI/CD
Enfin, en s'intégrant aux pipelines CI/CD, les modèles de données Validated Design d'Arista rendent possible le réseau en tant que code. Ils peuvent également être générés par des assistants IA, qui intègrent les meilleures pratiques, les tests, les garde-fous et les configurations générées. « Notre intégration résout directement ce conflit en créant une séparation architecturale claire qui dissocie la structure réseau de la politique de sécurité. Ainsi, l'équipe NetOps (qui gère le fabric d'Arista) et l'équipe SecOps (qui gère la sécurité de Palo Alto Networks) peuvent évoluer, se mettre à niveau et innover de manière indépendante », a souligné M. Kotamraju.
« Le NetOps peut se concentrer sur la mise en place d'un réseau fiable et hautement performant, tandis que le SecOps peut se concentrer sur la fourniture de services de sécurité de premier ordre. Chaque équipe utilise ses propres outils de gestion spécifiques à son domaine, et la couche d'intégration synchronise automatiquement les politiques et les mesures d'application. » Arista travaille avec plusieurs fournisseurs de solutions de sécurité comme Fortinet, Check Point, Splunk et bien d'autres, mais, à l'heure actuelle, aucun n'est aussi étroitement intégré que Palo Alto. Le fournisseur de solutions réseau propose également ses propres offres de sécurité, notamment CloudVision MSS et sa plateforme de détection et de réponse réseau basée sur l'IA.
Suivez-nous