Modules de protection

Deep Security est une solution logicielle protégeant les centres de données dynamiques. Il est possible de déployer un ou plusieurs des modules de protection suivants sur le serveur ou la machine virtuelle avec un seul Deep Security Agent. Deep Security Agent est unifié sur plusieurs environnements physiques et virtuels.

Inspection approfondie des paquets
Pare-feu
Surveillance de l’intégrité
Inspection des journaux

Le tableau ci-dessous présente les principales exigences de sécurité des centres de données ainsi que les modules Deep Security respectivement utilisés pour y répondre.

= Essentiel

= Avantageux

	Modules Deep Security
	Inspection approfondie des paquets
Exigences pour le centre de données	IDS/IPS	Protection des applications Web	Contrôle des applications	Pare-feu	Surveillance de l’intégrité	Inspection des journaux
Protection du serveur
Sécurité des applications Web
Sécurité des machines virtuelles
Détection des comportements suspects
Isolation des machines virtuelles
Sécurité du «Cloud Computing»
Génération de rapports de conformité

Module de protection d’inspection approfondie des paquets (DPI)

Le moteur hautement performant d'inspection approfondie des paquets examine l’ensemble du trafic entrant et sortant, notamment le trafic SSL, pour détecter tout détournement de protocole, ainsi que tout contenu présentant les caractéristiques d'une attaque ou d’une violation des stratégies de sécurité. Il peut fonctionner en mode détection ou en mode prévention pour protéger les systèmes d’opération et corriger les failles de sécurité des applications d’entreprise. Il protège les applications Web contre les attaques de la couche d’application, notamment les attaques de type injection SQL ou cross-site scripting. La description détaillée des événements fournit de précieuses informations sur l’heure et la date de l’attaque, son auteur, ainsi que la cible visée par l’exploit. Les administrateurs peuvent être automatiquement notifiés via des alertes lorsqu’un incident se produit. L’inspection approfondie des paquets est utilisée dans le cadre de la détection et de la prévention des intrusions, de la protection des applications Web et du contrôle des application.

Détection et prévention des intrusions (IDS/IPS)

La détection et la prévention des intrusions permettent de combler les failles de sécurité des systèmes d'exploitation et des applications d’entreprise en attendant qu’un correctif leur soit appliqué. Les entreprises bénéficient ainsi d’une protection immédiate contre les attaques de type zero-day. Les règles de failles permettent la couverture de failles connues, par exemple, celles publiées chaque mois par Microsoft, contre un nombre illimité d’exploits. Deep Security comprend une protection contre les failles prête à l’emploi pour plus de 100 applications (bases de données, web, messagerie, serveurs FTP). Les règles couvrant les dernières failles détectées sont automatiquement livrées en quelques heures. Elles peuvent être transmises à des milliers de serveurs en quelques minutes et ne nécessitent pas de redémarrage.

Protection des applications Web

Deep Security permet la mise en conformité aux exigences PCI 6.6 pour la protection des applications Web et des données qui y sont traitées. Les règles de protection des applications Web constituent une défense contre les injections SQL, les attaques de type cross-site scripting et autres failles de sécurité des applications Web. Les règles couvrent ces failles en attendant que des correctifs soient appliqués.

Contrôle des applications

Les règles de contrôle des applications permettent une meilleure visibilité ou un meilleur contrôle des applications accédant au réseau. Ces règles peuvent également être utilisées pour identifier les logiciels malveillants accédant au réseau ou pour réduire le risque de failles susceptibles d'affecter vos serveurs.

Module de protection du pare-feu

Le pare-feu bidirectionnel dynamique permet la gestion centralisée de la stratégie du pare-feu du serveur. Il propose des modèles prédéfinis pour les types de serveurs d’entreprise les plus courants.
Caractéristiques principales et avantages:

Zonage des machines virtuelles
Filtrage fin (adresses IP et MAC, ports)
Prise en charge de tous les protocoles de type IP (TCP, UDP, ICMP…)
Prise en charge de tous les types de trames (IP, ARP…)
Prévention des attaques de refus de service (DoS)
Stratégies de conception pour chaque interface réseau
Détection des scans de reconnaissance

Module de protection de surveillance de l’intégrité

Ce module surveille les fichiers critiques du système d’exploitation et des applications (fichiers, répertoires, clés et valeurs de registre, etc.), et détecte les changements malveillants ou inattendus.
Caractéristiques principales et avantages:

Détection à la demande ou programmée
Vérification étendue des propriétés de fichiers, notamment des attributs (PCI 10.5.5)
Surveillance de répertoires spécifiques
Surveillance flexible et pratique avec inclusions/exclusions
Rapports pour audits

Module de protection d’inspection des journaux

Ce module collecte et analyse les journaux du système d’exploitation et des applications pour les événements liés à la sécurité. Les règles d’inspection des journaux optimisent l’identification d’événements de sécurité essentiels enfouis dans de multiples entrées de journaux. Ces événements sont transmis à un système de gestion des informations et des événements de sécurité (SIEM) ou à un serveur de journalisation centralisé en vue de réaliser des corrélations, de générer des rapports et de procéder à l’archivage.
Caractéristiques principales et avantages:

Détection des comportements suspects
Collecte des opérations d’administration liées à la sécurité
Collecte optimisée des événements de sécurité sur l’ensemble du centre de données
Création de règles avancées à l’aide de la syntaxe de règles OSSEC