Streaming ou proxy : Il ne faudrait pas avoir à faire de compromis entre visibilité, rapidité et sécurité

La nature évolutive et les modes de propagation des virus, spywares et autres malwares ont radicalement changé le périmètre et les meilleures pratiques de la sécurité réseau.

Les firewalls de première génération ont été conçus autour d’un objectif : bloquer les menaces directes provenant de l’extérieur dans le cadre d’une attaque périmétrique. Toutefois, ces firewalls de type « stateful » (SPI, Stateful Packet Inspection) ne sont plus suffisants. Les collaborateurs mobiles utilisent en effet de plus en plus des appareils multiples pour accéder, à partir de leur connexion Internet haut débit à domicile ou de bornes wifi publiques, à des données professionnelles critiques ainsi qu’à des volumes considérables de contenus numériques et multimédias.
Une inspection des données au niveau des contenus applicatifs est donc nécessaire pour assurer une protection contre les stratagèmes élaborés des pirates.
Dans cette optique, l’inspection approfondie des paquets (DPI, Deep Packet Inspection) s’est imposée comme la méthode privilégiée.
Cependant, toutes les approches en la matière ne se valent pas.
La dure réalité pour la direction informatique des entreprises (voire leur direction générale) au moment d’évaluer les technologies de sécurité de nouvelle génération (et, par extension, de DPI) est la nécessité de concilier deux objectifs parfois contradictoires :

1.Protéger les données critiques de l’entreprise contre les menaces les plus complexes tout en permettant à celle-ci de continuer à bénéficier des avantages de la mobilité, des équipements multiples et des contenus multimédias.
2.Préserver une sécurité robuste et complète face à la vague incessante des demandes des collaborateurs et des nouvelles utilisations du réseau, sans pour autant pénaliser gravement les performances.
Il existe deux principales techniques de mise en œuvre de la DPI, l’une à base de proxy, l’autre opérant en flux tendu (streaming). Les deux s’attachent à assurer une protection robuste du réseau par une inspection et une analyse au niveau applicatif. Toutefois, elles sont fondamentalement différentes dans leur façon de résoudre le problème, chacun ayant un impact bien distinct sur les temps de latence et les performances du réseau.
Le principe de fonctionnement d’un proxy applicatif consiste à s’interposer dans la communication TCP/IP entre un poste client et un serveur lorsqu’une requête est transmise. Le proxy applicatif reçoit et met en mémoire tampon l’ensemble de la requête, inspecte celle-ci, puis ouvre une nouvelle connexion avec le serveur. La DPI s’intercale ainsi entre les deux extrémités de la liaison afin de renforcer la protection du réseau. L’inconvénient est que cette technique ne peut traiter à la fois qu’une seule requête ou réponse dont la taille, dans le cas d’une application d’entreprise typique, peut atteindre plusieurs mégaoctets voire gigaoctets (téléchargements de fichiers).
Un fichier de données ou un contenu applicatif volumineux est comparable à une photographie découpée en un puzzle de paquets transmis sur le réseau de l’entreprise. Le proxy applicatif reçoit alors chaque pièce du puzzle, la copie dans une mémoire tampon séparée et conserve toutes les pièces jusqu’à ce que la totalité du puzzle puisse être reconstituée, après quoi seulement la présence de menaces éventuelles pourra être recherchée. Une solution à base de proxy ne peut donc « inférer » à quoi ressemble la photographie tant qu’elle ne l’a pas réassemblée, au risque de passer à côté d’éléments essentiels.
En conséquence, la DPI à base de proxy consomme des cycles processeur au détriment d’autres tâches et le processeur doit établir des priorités entre plusieurs fichiers déjà en mémoire tampon pour analyse. Cela introduit un temps de latence très élevé, encore accentué par les volumes sans cesse croissants de trafic réseau correspondant à une multitude de contenus et d’applications. Les proxies applicatifs étant spécifiques à chaque application, toute application inconnue crée potentiellement une faille de sécurité ou un problème de compatibilité. Dans un contexte d’essor continu des médias sociaux dans les entreprises, les proxies applicatifs ne présentent pas une grande capacité de montée en charge, ce qui engendre de réels problèmes aussi bien vis-à-vis de l’objectif n°1 (sécurité robuste) que de l’objectif n°2 (maintien des performances).
De son côté, la DPI en mode streaming analyse les pièces du puzzle dans leur ordre d’arrivée. Il n’y pas de limite à la taille des fichiers ni de mise en mémoire des paquets (sauf en cas de réception dans le désordre) pour permettre d’analyser le tout simultanément et en temps réel. La « photographie » est jugée exempte de menace une fois que la dernière pièce du puzzle a été examinée, sans qu’il soit nécessaire de reconstituer l’ensemble. Si l’on démultiplie cette capacité sur le flux typique du trafic réseau, les avantages de cette méthode en termes de performances sont faciles à comprendre.
La DPI en mode streaming se caractérise par un très faible temps de latence et répond directement à l’impératif de rapidité des performances réseau. Sa compatibilité avec tous les protocoles de communication (ne se limitant pas à HTTP/HTTPS, SMPT et FTP) lui confère également un avantage en matière d’évolutivité. Tout cela en fait la technologie non seulement la plus rapide mais aussi la plus simple à déployer, à gérer et à mettre à jour.
En ce qui concerne la sécurité, l’analyse en mode streaming est plus fiable pour la détection de menaces concrètes. Par exemple, du fait que les solutions à base de proxy doivent mettre l’intégralité des contenus en mémoire tampon, la mémoire disponible sur l’équipement n’est jamais suffisante pour recevoir les fichiers téléchargés en parallèle par tous les utilisateurs sur le réseau. La taille de plus en plus importante des fichiers transmis par les applications d’entreprise vient encore compliquer le problème. C’est pourquoi les solutions à base de proxy doivent renoncer à analyser une partie voire la plupart des contenus téléchargés.
Pour autant, la DPI en mode streaming peut-elle réellement s’adapter à tous les types de fichiers résultant une fois encore de l’introduction dans les entreprises de nouvelles applications liées aux médias sociaux ?
L’une des principales idées reçues à propos d’une technique en flux tendu est qu’elle serait moins sécurisée qu’une méthode à base de proxy, en particulier pour les formats de fichiers qui exigent d’être mis entièrement en mémoire tampon avant d’être décompressés.
La mise en œuvre concrète de solutions en mode streaming de haute qualité a démontré que celles-ci sont effectivement capables de décompresser les formats les plus courants sans réassemblage des paquets.
Comme pour toute approche professionnelle de la sécurité réseau, il importe de concevoir les solutions en mode streaming aux côtés d’une équipe interne de spécialistes de la sécurité, ce qui est toujours préférable plutôt que de faire appel, pour le développement des signatures, à un prestataire extérieur qui risque de ne pas être au fait du mode de propagation des menaces.
Cependant, dans le cadre d’un solide partenariat fournisseur-client garantissant la prise en charge d’un maximum de protocoles et une connaissance de la véritable nature des menaces potentielles, une solution de DPI en mode streaming peut parvenir à concilier les impératifs de performances et de sécurité.