Chapitre 3 — Proxy, UTM, Zero Trust & SASE
Au-delà des pare-feux, plusieurs équipements et architectures complètent la sécurité réseau. Ce module couvre les proxys, UTM, IDS/IPS, load balancers, et les architectures modernes Zero Trust et SASE.
| Type | Sens du trafic | Fonctions | Exemple |
|---|---|---|---|
| Forward Proxy | Client → Proxy → Internet | Filtrage URL, mise en cache, anonymisation, logging | Squid, Blue Coat |
| Reverse Proxy | Internet → Proxy → Serveurs internes | Load balancing, WAF, TLS offloading, masquage serveur | nginx, HAProxy, Cloudflare |
| Transparent Proxy | Client → (proxy invisible) → Internet | Les clients ne savent pas qu'un proxy existe — pas de config requise | Proxy sur le gateway |
| HTTPS Proxy / SSL Inspection | Break-and-inspect | Déchiffre TLS pour inspecter, re-chiffre | Palo Alto, Zscaler |
Un UTM est un appareil qui regroupe plusieurs fonctions de sécurité en un seul boîtier :
- Pare-feu stateful
- IDS/IPS
- Antivirus/Antimalware gateway
- Filtrage web et spam
- VPN
- DLP
Avantage : simplicité de gestion pour les PME. Inconvénient : single point of failure, peut être moins performant que des solutions spécialisées à grande échelle.
Les load balancers distribuent le trafic entrant entre plusieurs serveurs pour garantir la disponibilité et les performances.
- Algorithmes : Round-Robin, Least Connections, IP Hash, Weighted.
- Health Checks : le load balancer vérifie régulièrement que les serveurs sont opérationnels. Exclut automatiquement les serveurs défaillants.
- SSL/TLS Offloading : le load balancer déchiffre TLS et transmet le trafic HTTP vers les serveurs internes — réduit la charge CPU des serveurs.
- Active-Active : tous les nœuds répondent simultanément (performance + HA).
- Active-Passive : un nœud actif, l'autre en attente (failover si le principal tombe).
L'architecture Zero Trust remplace le modèle de "périmètre de confiance" (castle-and-moat) où tout ce qui est dans le réseau est fiable.
- Never Trust, Always Verify : chaque accès est authentifié et autorisé, même depuis le réseau interne.
- Control Plane : le moteur de politique qui prend les décisions d'accès (qui, quoi, depuis où, comment).
- Data Plane : les équipements qui appliquent les décisions du control plane (pare-feux, proxys, VPN).
- Policy Engine : évalue les attributs (identité, device posture, localisation, risque) pour autoriser ou refuser.
- Policy Enforcement Point (PEP) : point qui bloque ou autorise effectivement l'accès selon la décision du Policy Engine.
- Continuous Validation : l'accès n'est pas accordé une fois pour toutes — réévalué en continu.
SASE (prononcé "sassy") est une architecture cloud qui combine les fonctions réseau (SD-WAN) et sécurité (CASB, FWaaS, SWG, ZTNA) en un service unifié délivré depuis le cloud.
- SD-WAN (Software-Defined WAN) : virtualise et optimise le réseau WAN.
- CASB (Cloud Access Security Broker) : contrôle l'accès aux SaaS et applique les politiques de sécurité (ex: bloquer le téléchargement de fichiers depuis un appareil non géré).
- SWG (Secure Web Gateway) : filtrage web dans le cloud, protection malware.
- FWaaS (Firewall-as-a-Service) : pare-feu cloud avec inspection L7.
- ZTNA (Zero Trust Network Access) : remplace le VPN traditionnel — accès granulaire par application, pas accès réseau complet.
ZTNA vs VPN : un VPN accorde un accès complet au réseau une fois connecté. ZTNA accorde uniquement l'accès aux applications spécifiques autorisées — beaucoup plus granulaire et conforme au moindre privilège.