L’architecture de référence F5 pour la sécurité des prestataires de services

Introduction

Les fournisseurs de services de communication (FSC) doivent veiller à ce que les clients puissent passer des appels et utiliser leurs applications pour smartphones avec une connectivité fiable, et fournir des services différenciés qui renforcent la compétitivité et peuvent doper des flux de revenus relativement stables. Les fournisseurs de services doivent donc garantir une qualité de réseau supérieure sans ajouter de complexité ou de coût. Comme les menaces de sécurité ont un impact directement négatif sur la qualité du réseau et l’expérience des clients, la sécurité est une priorité absolue, et les fournisseurs de services de communication électronique doivent constamment se défendre contre un nombre croissant de menaces.

Parallèlement, les fournisseurs de services sont aux prises avec une croissance explosive des données, tandis que les pressions de la concurrence et de l’industrie les poussent à se lancer dans des mises à niveau longues et coûteuses de la 4G LTE. Cette transition modifie radicalement le paysage des menaces pour la sécurité. En outre, les migrations vers IPv6 et les technologies de virtualisation des fonctions réseau (NFV) sont elles aussi imminentes ou déjà en cours. Par conséquent, les FSC ont besoin d’un soutien multidimensionnel pour garantir que leurs réseaux restent prévisibles, fiables et disponibles.

F5 propose une suite de solutions de sécurité dynamiques et multicouches capables de répondre à ces besoins des FSC dans toute l’architecture de prestation de services. L’étendue de cette solution, nécessaire pour protéger l’ensemble de l’infrastructure des FSC, ne saurait être assurée par les pare-feu et les produits ponctuels traditionnels. Les solutions de sécurité F5 aident les FSC à optimiser, sécuriser et monétiser leurs réseaux en simplifiant leurs architectures et leurs opérations de prestation de services, en augmentant la disponibilité et la fiabilité des services et en assurant la prise en compte et le contrôle des applications tout en réduisant les coûts.

Défis

Le paysage de la sécurité pour les fournisseurs de services est en train de changer radicalement, car le passage à la 4G LTE crée une architecture de prestation de services plus plate, plus ouverte et entièrement basée sur IP. En conséquence, les fournisseurs de services sont confrontés à des attaques de plus en plus complexes, à multiples facettes, mixtes et de grande envergure contre les abonnés et l’infrastructure des services. Les comportements malveillants tels que les attaques DoS, les botnets, l’usurpation d’identité et les systèmes compromis doivent être empêchés d’affecter le réseau, tout comme les problèmes de sécurité involontaires tels que les tempêtes de signalisation et les systèmes mal configurés.

Dans le même temps, pour améliorer leurs performances commerciales, les FSC doivent réduire les coûts et améliorer l’efficacité opérationnelle de leurs réseaux, alors même qu’ils engagent des dépenses importantes pour déployer les services 4G LTE et gérer en toute sécurité l’explosion du trafic, qui continue de mettre à rude épreuve l’ensemble de l’infrastructure. Enfin, dans les nouvelles architectures 4G LTE, les éléments stratégiques du réseau tels que la gestion des politiques, l’adressage DNS et les services IMS reposent sur une nouvelle infrastructure de signalisation qui doit également être protégée.

Dans cet environnement, les défis de sécurité auxquels les prestataires de services sont confrontés sont notamment les suivants :

• Les menaces à la disponibilité des services telles que les attaques par déni de service (DoS) et les attaques par déni de service distribué (DDoS), les balayages de ports IP et les tempêtes de signalisation.
• Le vol de données allant des informations personnelles et bancaires aux actifs et mots de passe des entreprises.
• Les logiciels malveillants du côté des appareils et des serveurs qui dégradent les performances ou interfèrent avec le service.
• Les menaces persistantes avancées (APT) qui compromettent les actifs des réseaux et des centres de données en raison de contrôles d’accès insuffisants.
• Les attaques d’applications web comme celles du Top 10 de l’OWASP.

Les pare-feu réseau traditionnels ne peuvent pas fournir l’évolutivité, la flexibilité et l’intelligence nécessaires, et ne sont pas non plus faciles à gérer. Les FSC doivent rester réactifs pour assurer une sécurité efficace face à un nombre croissant d’attaques de plus en plus sophistiquées. En outre, les menaces ne proviennent pas uniquement de l’internet ; les attaques DDoS des réseaux de zombies, des logiciels malveillants et d’autres sources proviennent désormais aussi des appareils mobiles. Comme les menaces sont désormais bidirectionnelles, les solutions de sécurité doivent également être capables d’assurer une protection bidirectionnelle de l’infrastructure du réseau.

D’autres méthodes de protection traditionnelles tentent de rassembler de nombreux produits individuels, tels que les appareils DDoS, les appareils DNS, les pare-feu d’applications web et les répartiteurs de charge, mais cette approche augmente la complexité et la latence architecturales et ajoute des points de défaillance dans le réseau. En outre, d’un point de vue opérationnel, la gestion et le support des produits de plusieurs fournisseurs de sécurité avec des systèmes et des technologies disparates sont extrêmement difficiles et exigent beaucoup de ressources. Pire encore, les collections de produits ponctuels ne parviennent pas à intégrer les informations provenant de différents vecteurs d’attaque ou à fournir une défense unifiée. Il est essentiel de disposer de renseignements complets sur les attaques, car lorsque le réseau connaît des problèmes de sécurité non résolus, les appels de service augmentent et la satisfaction des clients diminue, ce qui augmente le taux de désabonnement.

Solutions

Une sécurité réussie exige une approche de solutions à plusieurs niveaux. Les FSC doivent concevoir des architectures de fourniture de services qui mettent en œuvre une sécurité à large spectre sur l’ensemble de leurs réseaux, sur les appareils de leurs utilisateurs et dans leurs centres de données. Au sein du réseau, les solutions doivent offrir une protection tant au niveau des données qu’au niveau du contrôle : au niveau des données pour protéger l’infrastructure centrale mobile en mode paquet, et au niveau du contrôle pour protéger l’infrastructure de messagerie et de signalisation. Dans le centre de données, les solutions doivent offrir une protection au niveau des applications pour l’infrastructure de données ainsi que pour les applications hébergées elles-mêmes.

F5 propose une suite de solutions de sécurité dynamiques et multicouches qui aident les fournisseurs de services à protéger l’ensemble de l’infrastructure et à évoluer avec intelligence et souplesse dans les conditions les plus exigeantes. Contrairement aux produits concurrents qui ne résolvent qu’un ensemble limité de problèmes de sécurité, les solutions de sécurité F5 reposent sur une plate-forme unifiée et des capacités inégalées qui permettent de faire face aux menaces dans toute l’infrastructure des FSC. Par conséquent, ces solutions aident les fournisseurs de services à sécuriser, optimiser et monétiser leurs réseaux.

Les plates-formes F5 sont des solutions de pare-feu certifiées qui simplifient l’architecture du réseau, offrent plus de souplesse pour une réaction rapide aux nouvelles menaces et offrent des performances et une fiabilité de niveau opérateur. Ces capacités de plate-forme universelle sont mises en œuvre dans les solutions F5 qui sont destinées à réaliser différentes fonctions dans l’infrastructure centrale des FSC :

• Sécurité du réseau central en mode paquet (S/Gi)
• Sécurité des protocoles de messagerie et de signalisation
• Sécurité des centres de données Internet

Les solutions s’inscrivent dans une architecture de prestation de services unique qui offre la plus haute sécurité et une expérience optimale aux abonnés.

F5 n’offre pas un produit de sécurité unique pour cette architecture. La solution fournie est en fait une combinaison de composants intelligents et évolutifs au sein du portefeuille de sécurité F5 : une plate-forme unifiée qui comprend F5 BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM), BIG-IP Global Traffic Manager (GTM), BIG-IP Local Traffic Manager (LTM), et le F5 Traffix Signaling Delivery Controller (SDC).

• BIG-IP AFM est un pare-feu réseau à hautes performances, dynamique et à proxy intégral qui protège contre les attaques DDoS de la couche réseau telles que les SYN floods ainsi que les attaques de la couche session telles que les inondations SSL.
• BIG-IP ASM, un Advanced Web Application Firewall (pare-feu applicatif web avancé), utilise la grande fluidité applicative de F5 pour détecter et atténuer les attaques basées sur HTTP.
• BIG-IP GTM est une solution DNS et DNSSEC évolutive qui atténue les attaques de réseau basées sur le DNS et de session basées sur l’infrastructure DNS.
• BIG-IP LTM est une solution de livraison d’applications qui ajoute une gestion intelligente du trafic basée sur le contenu.
• Traffix SDC est une solution de routage Diameter qui fournit le masquage de la topologie et une protection contre les tempêtes de signalisation de partenaires tiers.

Pourquoi cette solution fonctionne

Les solutions de sécurité F5 offrent des capacités importantes qui s’étendent à toute l’architecture de service : évolutivité, flexibilité, visibilité des applications, facilité de gestion et performances. Ainsi, les FSC peuvent éviter la prise en charge de multiples produits ponctuels provenant de fournisseurs disparates dans différentes parties de l’architecture de prestation de services. Cela permet une sécurité à large spectre sans les coûts et la complexité opérationnelle d’un environnement multifournisseur.

Au contraire, en fournissant des capacités de sécurité dynamiques et multicouches à partir d’une plate-forme unifiée, les solutions F5 simplifient les architectures et les opérations des FSC, améliorent la disponibilité et la fiabilité des services, permettent la prise en compte des applications et réduisent les coûts d’investissement et d’exploitation. Il en résulte une qualité de réseau supérieure qui peut directement améliorer la satisfaction des clients.

Capacités et avantages clés

Les solutions de sécurité F5 offrent un certain nombre de capacités importantes pour répondre aux besoins des FSC dans l’ensemble de leurs architectures de prestation de services. Ces capacités sont inhérentes à la plate-forme unifiée et permettent une large réalisation de leurs avantages.

• Une architecture full-proxy : cette architecture permet aux dispositifs F5 de terminer, d’inspecter et de transmettre des sessions afin d’offrir la meilleure visibilité et le meilleur contrôle possible.
• L’échelle et la performance : une seule plateforme F5 peut gérer jusqu’à 576 millions de connexions simultanées, 640 Gbps de débit et 8 millions de connexions par seconde pour atténuer les attaques les plus volumineuses.
• Une plate-forme unifiée : la plateforme F5 offre de multiples solutions de sécurité sous forme de services logiciels sur une architecture de système commune afin de simplifier les opérations et de réduire le coût total de possession.
• Flexibilité et programmabilité : la plateforme F5 offre la flexibilité d’une politique de sécurité personnalisée grâce au langage de script F5 iRules. Elle permet également une intégration automatisée de la programmation et de l’orchestration grâce aux API F5 iControl et F5 iCall. Un cadre personnalisable par l’utilisateur simplifie et accélère les déploiements de sécurité sur l’ensemble du réseau grâce aux modèles F5 iApps.
• Éditions virtuelles de matériel et de logiciels : les plates-formes F5 sont prises en charge par des éditions virtuelles dédiées, à hautes performances matérielles et logicielles, prêtes pour la NFV, afin d’offrir une flexibilité opérationnelle optimale.
• Disponibilité et fiabilité : le système offre une grande disponibilité et une grande fiabilité grâce à la redondance du matériel, à la synchronisation, à la surveillance de la santé et aux capacités de basculement et de reprise automatique.
• Gérabilité : une suite de gestion sophistiquée permet aux FSC de gérer de manière centralisée les politiques de pare-feu, d’orienter logiquement les politiques de sécurité en fonction d’applications spécifiques, de contrôler l’efficacité des politiques sur tous les dispositifs et d’auditer les changements de politique.
• Sensibilisation et protection DDoS pour toutes les couches : BIG-IP AFM est conscient des DDoS et peut automatiquement prévenir les inondations et gérer des dizaines d’attaques des couches 2 à 4 dans les déploiements de matériel au débit des lignes. Les solutions F5 DDoS assurent la sécurité au niveau des couches réseau, session et application.

Avantages pour les entreprises

Les solutions de sécurité F5 offrent un certain nombre d’avantages aux FSC.

• Simplifier l’architecture et les opérations : la plate-forme unifiée F5 englobe une gamme de solutions de sécurité pour les réseaux de données et de signalisation ainsi que pour le centre de données, permettant aux fournisseurs de services de simplifier leurs architectures de sécurité avec moins de fournisseurs et de produits ponctuels. La nature globale de la plate-forme de solutions permet également de réduire les dépenses de pièces de rechange, de formation et de dépannage, et de centraliser le contrôle des politiques de sécurité dans l’ensemble de l’infrastructure de distribution.
• Améliorer les performances : les produits F5 consolident les fonctions de sécurité dans une plate-forme unifiée de grande capacité qui réduit le nombre de sauts de réseau et la latence, et offre des performances de sécurité accélérées par le matériel.
• Se défendre contre les attaques volumétriques avec une évolutivité sans précédent : les solutions de sécurité F5 apportent aux fournisseurs de services une plate-forme hautement évolutive qui permet un débit, des connexions par seconde et des sessions simultanées supérieurs pour protéger les environnements à fort trafic contre les attaques volumétriques.
• Améliorer les expériences de service : les solutions F5 permettent aux fournisseurs de services de déployer des politiques par utilisateur (plutôt que par adresse IP) pour se protéger contre les attaques et les menaces et assurer une meilleure disponibilité et fiabilité des services. Ainsi, les fournisseurs de services peuvent maintenir la confiance des abonnés et protéger la qualité de leurs services, les données des abonnés et leur réputation contre les attaques de sécurité nuisibles.
• Réduire les coûts : la plate-forme F5 regroupe les fonctions de sécurité dans un cadre unifié afin de réduire les dépenses d’investissement et d’exploitation. En outre, la grande évolutivité et la grande capacité de la plate-forme F5 permettent de réduire le coût total de possession, car elles réduisent le temps de gestion global des appareils, les coûts d’encombrement et les coûts d’énergie.
• Augmenter la flexibilité opérationnelle : les fournisseurs de services peuvent répondre aux attaques « zero-day » et autres menaces via le langage de script iRules, sans mise à jour des signatures ni nouvelles mises à jour logicielles. Avec iRules, les solutions F5 peuvent communiquer et interagir avec des systèmes d’orchestration pour la mise à jour des politiques et la surveillance externe, tandis que l’API iControl offre une interface fluide avec les systèmes de journalisation et de reporting.
• Choisissez des éditions matérielles ou virtuelles : les services de sécurité F5 peuvent être fournis à partir d’un matériel dédié, allant d’une gamme d’appareils à des systèmes basés sur un châssis, ainsi que d’éditions virtuelles basées sur des logiciels. Cette combinaison offre une flexibilité de paiement au fur et à mesure de la croissance pour adapter les systèmes aux besoins et aux budgets. F5 propose également des services de Virtual Clustered Multiprocessing (vCMP) pour le partage des ressources sur les appareils et les châssis.

Conclusion

La sécurité des fournisseurs de services F5 offre une architecture de sécurité dynamique et multicouche pour les fournisseurs de services de communication qui sont confrontés à des menaces de sécurité croissantes, sans parler de la croissance explosive des données, de la stagnation des revenus, des mises à niveau 4G LTE et de l’évolution rapide des normes et des technologies. Pour offrir une expérience client supérieure et différenciée dans cet environnement difficile, les FSC doivent exploiter des réseaux de haute qualité qui soient prévisibles, fiables, disponibles, et ni complexes ni trop coûteux. La suite F5 pour les fournisseurs de services contribue à protéger l’ensemble de l’infrastructure et s’adapte pour fonctionner avec intelligence et flexibilité dans les conditions les plus exigeantes.

Contrairement aux produits concurrents qui ne résolvent qu’un ensemble limité de problèmes de sécurité, les solutions de sécurité F5 reposent sur une plate-forme unifiée et évolutive qui peut traiter les menaces dans toute l’infrastructure du FSC. Les solutions de sécurité F5 offrent également d’importantes capacités dans toute l’architecture de services pour améliorer l’évolutivité, la flexibilité, la visibilité des applications, la facilité de gestion et les performances. Ainsi, les FSC peuvent simplifier l’architecture de prestation de services et fournir une sécurité à large spectre sans la complexité ou le coût d’un environnement multifournisseur basé sur des solutions ponctuelles.