Vasiliy Koval - Fotolia

Avec son Firepower NGFW, Cisco tente de rattraper Check Point et Palo Alto

Cisco vient de présenter un pare-feu de nouvelle génération avec lequel il tente de se distinguer des autres, qualifiés de « traditionnels ». Ou comment chercher à au moins rejoindre Check Point et Palo Alto Networks dans le carré des leaders de Gartner.

En avril 2015, Gartner avait classé Cisco aux côté de Fortinet – et même un peu en retrait – parmi les challengers de son Magic Quadrant des pare-feu d’entreprise. Derrière, donc, Palo Alto Networks et Check Point Software, présentés eux comme leaders. De quoi laisser dubitatifs certains, comme Indeni, soulignant l’importance la base installée de Cisco et la force de son réseau de distribution, et probablement de générer une certaine frustration chez le principal intéressé.

C’est celle-ci que l’on est d’ailleurs tenté de percevoir entre les lignes du communiqué par lequel Cisco vient d’annoncer son Firepower Next-Generation Firewall (NGFW), où l’on sent poindre une aspiration à ringardiser les autres NGFW, qualifiés là de « traditionnels » : « les pare-feu de nouvelle génération traditionnels continuent de se concentrer sur le contrôle et l’accès aux applications, ce qui limite la capacité à protéger contre l’étendue des menaces qui concernent l’environnement entreprises d’aujourd’hui ». 

Revendiquant une « approche différente », Cisco assure « donner les moyens aux clients de gérer et d’actualiser dynamiquement la protection depuis le terminal jusqu’au réseau, et dans le cloud, en allant au-delà des applications et en identifiant et arrêtant les menaces, tant connues qu’inconnues ».

Le Firepower NGFW de Cisco intègre, à cette fin, les capacités de pare-feu traditionnelles que l’on en attend, mais également IPS, filtration d’URLs sur la base de leur réputation, visibilité applicative, intégration des flux de renseignements sur les menaces de la division Talos, ou encore et sans surprise la technologie AMP d’Immunet, acquise avec le rachat de Sourcefire. Une opération dont les premiers fruits concrets ont été présentés il y a bientôt deux ans.

Le nouveau pare-feu de nouvelle nouvelle génération de Cisco fonctionne en outre de manière intégrée avec Identity Services Engine (ISE), la solution maison de gestion contextualisée des identités et des règles de sécurité, pour affiner le contrôle d’accès et les politiques de segmentation dynamique. Il supporte également l’intégration de la protection contre les dénis de service (DDoS) de Radware, Defense Pro, la première de briques de spécialistes tiers de la sécurité informatique invités à rallier l’équipementier.

C’est l’occasion pour Cisco de revendiquer une intégration sans précédent sur le marché, supportée notamment par une console d’administration unifiée qui doit simplifier la corrélation des informations relatives aux incidents de sécurité en tenant d’éléments contextuels plus étoffés et surtout plus immédiatement accessibles. Tout en automatisant – si l’on le souhaite – la réaction, en fonction des politiques de sécurité définies.

Selon Cisco, avec son nouveau Firepower NGFW, la détection d’incidents de sécurité peut être réduite à moins d’une journée. Sur le papier toutefois, la nouvelle gamme Firepower NGFW rappelle largement l’ancienne gamme ASA with Firepower, initialement présentée en septembre 2014. Les différences les plus significatives des tableaux des fiches de caractéristiques des deux gammes – ASA with Firepower ici, et Firepower NGFW là – se trouvent surtout dans les performances.

Le premier modèle de la nouvelle gamme offre ainsi jusqu’à 10 Gbps de débit avec prévention d’intrusion (IPS) et contrôle applicatif activés, ce que seul le plus puissant ASA 5585 permettait. Le plus puissant modèle de la gamme Firepower NGFW affiche désormais jusqu’à 30 Gbps de débit dans les mêmes conditions. Un bond en avant, donc, mais surtout de quoi rivaliser avec les matériels présentés récemment par Check Point ou encore le plus puissant modèle PA-5000 de Palo Alto et sa gamme PA-7000. Mieux : le Firepower NGFW 9300 offre maintenant à Cisco, dans sa configuration la plus musclée, une réponse aux modèles PA-7050.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close