Appliance de sécurité : puissance et évolutivité chez Check Point

Sécurité

Outre la nouvelle version du logiciel passerelle, les deux nouvelles appliances de Check Point entendent filtrer jusqu’à 200 Gbit/s de données. Et unifient filtrage d’URL et d’applications.

Check Point Software Technologies vient d’annoncer deux nouvelles appliances sécurité à très hautes performances. La première, la 21400, se présente sous la forme d’un boîtier 2U faisant office de firewall capable de traiter jusqu’à 50 Gbit/s de données. Une performance quasiment doublée par rapport aux 27 Gbit/s du précédent modèle de Check Point. Une capacité qui montera à 100 Gbit/s l’année prochaine par simple ajout de carte de type network processeur en fond de panier.

70 millions de connexions simultanées
L’autre appliance, la 61000, joue la carte de l’évolutivité en plus de celle de la puissance. Elle se présente sous forme d’un châssis dans lequel s’installent entre 2 et 12 lames et qui supporte 200 Gbit/s en mode pare-feu et 40 Gbit/s en mode détection d’intrusion (IPS) dans sa configuration de base et pourra potentiellement monter à 1 Tbit/s. De quoi, selon Check Point, traiter 70 millions de connexions simultanées et 600.000 sessions par secondes.

Les deux boîtiers sont livrés avec la nouvelle version du logiciel, la passerelle, qui passe en R75.20. Sans être révolutionnaire, celle-ci apporte également son lot de nouveautés pour répondre aux évolutions des besoins des entreprises. Un nouveau moteur de filtrage d’URL s’ajoute à celui chargé de détecter les applications malveillantes. Les deux moteurs sont aujourd’hui réunis au sein de la même interface. « Une demande des clients pour répondre à la volonté de simplifier la configuration et permettre le paramétrage par groupes d’utilisateurs », justifie Philippe Rondel, directeur technique de Check Point France.

Système d’interaction avec l’utilisateur
Plus de 4500 applications et pas moins de 240.000 widgets (notamment ceux proposés sur les plates-formes en lignes comme Facebook) sont désormais prises en compte. Avec des mises à jour hebdomadaires. La base des URL et des widget fonctionne en mode cloud pour éviter les surcharges du système principalement. La taille raisonnable de la base des applications permet un référencement local. Et « cela élimine les temps de latence [des accès en ligne] et limite l’impact sur le réseau », précise Philippe Rondel.

La R75.20 introduit également un système, totalement personnalisable, d’interaction avec l’utilisateur par le surgissement d’alertes dynamiques selon son usage du réseau ou des applications. Par exemple, en cas d’accès à la plate-forme YouTube, il peut lui être rappelé que cet usage doit se faire dans le cadre professionnel. Ce qu’il devra valider laissant ainsi une trace de sa navigation. « Il s’agit de lutter contre la perte de productivité mais aussi prévenir les risques de sécurité, explique notre interlocuteur. En rappelant les bons usages du réseau, l’entreprise responsabilise ainsi le salarié. » Elle conserve néanmoins la possibilité de bloquer les accès à certains sites ou applications.

Le HTTPS déchiffré en temps réel
Enfin, le déchiffrement en temps réel d’une communication HTTPS est désormais au goût du jour. Ce qui vise particulièrement les messages qui transiteraient par Gmail. Là encore, « l’idée de pouvoir analyser les flux sortant pour éviter les risques de fuites. » Si les boîtiers de Check Point sont taillés pour supporter le traitement du déchiffrement, il restera à vérifier la capacité de la configuration matérielle en cas d’installation sur un serveur de l’entreprise. Il conviendra également de prendre les dispositions légales (déclaration à la Cnil, information aux salariés…) pour exploiter la fonctionnalité en toute légalité. Même s’il « ne s’agit pas de lire les courriels mais que des outils détectent des choses anormales. » Dans ce cadre, un module de prévention des fuites d’information (DLP) est aujourd’hui proposé sous forme d’agent pour les serveurs Microsoft Exchange.

De part leurs capacités, les deux nouveaux boîtiers s’adresse aux data center et opérateurs télécom principalement. Leur prix aussi : à partir de 195.000 dollars (et 40.000 dollars par couple de lame réseau et processing) pour le 61000 et 115.000 dollars pour le 115.000. La sécurité n’a pas de prix, il est vrai. Philippe Rondel rappelle néanmoins que Check Point propose des « petites appliances » de quelques milliers de dollars pour les besoins et budgets plus modestes.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur