Aujourd’hui, toute entreprise devrait mettre en œuvre une stratégie de sécurité en couches qui utilise des couches défensives multiples pour tenir les menaces à distance. Deux des couches prennent notamment la forme d’un pare-feu et d’un filtre web.
À son niveau le plus élémentaire, un pare-feu périmétrique habituel permet à un administrateur de sécurité d’ouvrir et de bloquer l’accès aux ports de l’entreprise.
Aujourd’hui, des pare-feu plus avancés analysent le trafic entrant à l’aide d’un balayage de couche sept ou d’une analyse comportementale. La fonction de base d’un filtre web est d’empêcher les utilisateurs d’accéder à des catégories de sites web désignées afin d’empêcher les utilisateurs de naviguer dans des contenus inappropriés, des jeux improductifs ou des hubs de déploiement de logiciels malveillants connus.
Pour ce faire, la cible des filtres web doit être le port HTTP 80, et pour les filtres modernes, le port HTTPS 443. Certaines solutions avancées de filtrage web servent également de passerelles antivirus, dépouillant les paquets web entrants de malwares et de code malveillant.
Sécurité simplifiée tout en réduisant les dépenses d’investissement
Le filtrage web comprend aujourd’hui trois architectures de solutions de base.
Traditionnellement, le filtrage web est mis en œuvre sous forme d’appliance, soit comme un dispositif en ligne, soit comme un proxy. Récemment, les solutions dans le cloud sont devenues populaires, simplifiant le déploiement et le processus de gestion tout en réduisant les dépenses en immobilisations.
Ceci est particulièrement révélateur des appareils de filtrage en ligne de la bande. Un filtre en ligne est placé entre le commutateur central de l’entreprise et le pare-feu périphérique. Cela signifie que tout le trafic passe par l’appareil.
Parfois, une architecture en ligne peut chevaucher les fonctions d’un pare-feu. Bien qu’à première vue, cela puisse sembler plus sûr, cela entraîne souvent de gros problèmes qui peuvent être difficiles à résoudre.
En voici quelques exemples concrets.
Un administrateur de données a perdu la capacité de transférer des fichiers vers un serveur hébergé dans le nuage en utilisant SFTP. Instinctivement, l’équipe de support réseau s’est concentrée sur le dépannage du port 22 du pare-feu périphérique. Après avoir pris beaucoup de leur temps, on a découvert que le filtre web avait commencé à interférer avec le trafic SFTP après une mise à jour de patch.
Un technicien du service d’assistance a été profondément frustré par l’incohérence des performances lorsqu’il s’est rendu sur les postes de travail locaux en utilisant un site d’accès au support cloud pour aider les utilisateurs. Il faudrait quatre, cinq ou même dix tentatives pour se connecter aux ordinateurs de bureau, et ce malgré le fait que l’URL du site soit classée comme un site sûr. Après avoir dépanné le problème pendant des semaines, on a découvert que l’instigateur était le filtre web.
La plupart des filtres web en ligne ont une solution facile pour contourner ces types de problèmes en entrant simplement l’adresse IP des ordinateurs impliqués. Ces exemptions posent deux problèmes.
La première est que les ordinateurs exempts de filtre web ont besoin d’une adresse IP statique, ce qui complique la gestion de la PI. L’autre est que le filtre est grand ouvert pour ces ordinateurs désignés. Cela permet aux utilisateurs de ces périphériques de se rendre sur des sites de déploiement demalwares et d’autres sites Internet peu recommandables qui pourraient compromettre l’entreprise.
Garder les appareils mobiles sécurisés
Le filtrage web sur une architecture basée sur les préfixes a été grandement compliqué par la pléthore d’appareils mobiles dans tant d’entreprises aujourd’hui.
Lorsque les utilisateurs emmènent leurs appareils mobiles au-delà des limites de sécurité du périmètre du réseau, leurs appareils peuvent surfer sur Internet à volonté. C’est un véritable défi pour les systèmes scolaires qui mettent en œuvre des programmes d’appareils individuels.
Les administrateurs scolaires doivent être en mesure d’assurer aux parents que leur enfant a la même expérience web sécuritaire sur les appareils émis par l’école, qu’il soit à l’école ou à la maison. Pour ce faire, les sessions web hors site doivent être redirigées vers le filtre web de l’entreprise.
De nombreuses solutions de filtrage web utilisent une sorte d’application client dédiée pour ce faire. C’est en plus du client Active Directory que l’appareil est toujours en cours d’exécution afin d’appliquer des stratégies basées sur l’utilisateur.
Récemment, un système d’écoles publiques du sud-est des États-Unis a fait les frais des problèmes qu’une application client supplémentaire peut entraîner.
Le district s’enorgueillissait d’un programme bien géré d’ordinateurs portatifs individuels impliquant 13 000 appareils. Au cours de l’été, le district scolaire a mis à niveau l’ensemble de ses 18 000 appareils vers l’édition Creators de Windows 10. Peu après la mise à niveau, tous les appareils mobiles ont perdu la possibilité d’installer Windows Updates bien que les ordinateurs de bureau fixes aient continué à traiter les mises à jour normalement.
Après des semaines de dépannage, le système scolaire s’est tourné vers Microsoft qui a investi plus d’une semaine pour résoudre le problème. En fin de compte, les ingénieurs de Microsoft ont trouvé le coupable – l’application mobile de filtrage web. Le district attend maintenant la solution de filtrage pour trouver un correctif. Pendant la période de cinq semaines, les ordinateurs portables n’ont pas été correctement patchés, ce qui pourrait les exposer à des vulnérabilités connues.
Filtrage DNS basé sur le cloud
Le fait est que la prolifération des appareils mobiles exige un nouveau type d’architecture de filtrage web, ce qui explique pourquoi les solutions basées sur le cloud deviennent si populaires.
Les solutions de filtrage DNS cloud offrent la même expérience et la même architecture, où que soient vos utilisateurs mobiles. De plus, le filtrage ne s’applique qu’au trafic web, ce qui permet à votre trafic applicatif de circuler sans entrave. Cela élimine les problèmes qui nécessitent un dépannage perpétuel, consommant ainsi le temps précieux de votre personnel informatique déjà surchargé.
La transformation numérique du monde mobile d’aujourd’hui fait qu’un si grand nombre de vos ressources et services doivent être migrés vers le cloud, et votre solution de filtrage web n’est pas différente.
Si vous souhaitez profiter gratuitement des avantages du filtrage web basé sur le DNS, n’hésitez pas à nous contacter. Nous offrons aux entreprises la possibilité d’essayer gratuitement WebTitan Cloud ou WebTitan Cloud for WiFi, sans frais d’installation ni carte de crédit, sans contrat à signer et sans engagement à continuer à utiliser notre service à la fin de la période d’essai de trente jours.
Pour en savoir plus sur cette opportunité, parlez avec l’un de nos spécialistes dès aujourd’hui. Ils se feront un plaisir de répondre à toutes vos questions sur le filtrage web basé sur le DNS et de vous guider dans le processus de création de votre compte gratuit.
Si par la suite vous avez besoin d’aide pour rediriger votre DNS ou pour naviguer sur le portail de gestion, nous sommes toujours là pour vous aider.