La solution unifiée exploite la structure réseau IA d’Arista et les pare-feu de nouvelle génération de Palo Alto pour une sécurité sans confiance dans le centre de données.
Arista Networks et Palo Alto Networks ont étendu leur partenariat pour offrir aux clients un cadre permettant de mettre en œuvre une sécurité zéro confiance au sein du centre de données.
Le nouveau cadre est destiné à offrir aux clients un moyen de combiner les activités de contrôle et de gestion du réseau avec les politiques de sécurité pour permettre une automatisation intégrée et une application cohérente dans toute l’entreprise. Dans le passé, Arista et Palo Alto travaillaient ensemble pour partager des informations, mais agissaient séparément, et les clients devaient essentiellement effectuer eux-mêmes toute intégration, ont déclaré les fournisseurs. Cela change avec le nouvel accord.
Les équipes DevOps créent et mettent à jour automatiquement des applications en utilisant l’intégration continue/la livraison continue et d’autres méthodes, et pour que ces applications continuent de fonctionner correctement à mesure que leur utilisation augmente, elles ont besoin de systèmes capables d’ajouter automatiquement des ressources et de les coordonner., y compris lorsqu’elle nécessite une orchestration dans des environnements cloud, selon Kumar Srikantan, vice-président et directeur général du campus chez Arista, et Alessandro Barbieri, directeur de la gestion des produits chez Arista.
« Cette demande d’agilité et d’échelle géodistribuée aggrave les défis de sécurité déjà importants découlant de l’ampleur du trafic est-ouest, qui élargit considérablement la surface d’attaque. Pour exacerber ces problèmes, une nouvelle génération de menaces alimentées par l’IA, où les adversaires exploitent l’IA pour lancer des attaques très évasives avec un nouveau niveau de sophistication et d’échelle, augmente considérablement l’impact de tout incident de sécurité », ont écrit Srikanta et Barbieri dans un blog sur le partenariat. « En outre, les attaques basées sur l’IA sont conçues pour contourner les défenses existantes à des vitesses accrues. Les attaques par exfiltration de données, les exploits de vulnérabilité ou le développement de ransomwares qui prenaient auparavant des semaines ou des jours peuvent désormais prendre des heures ou des minutes. «
Grâce à ce partenariat élargi, Arista et Palo Alto ont l’intention de résoudre ces problèmes.
La première des quatre fonctionnalités clés est la segmentation sans confiance pour les centres de données, qui unifie la segmentation, la visibilité et la protection inter-zone via le pare-feu de nouvelle génération (NGFW) de Palo Alto et la structure de services de segmentation multi-domaines (MSS) d’Arista. Grâce à cette fonctionnalité, la structure Arista, qui offre une visibilité complète du réseau, oriente intelligemment le trafic d’applications est-ouest vers le NGFW de Palo Alto pour une inspection approfondie de la couche 7, selon un blog de Srini Kotamraju, vice-président des produits à Palo Alto.
« Sur la base de cette inspection, le NGFW crée une politique de sécurité complète et adaptée aux applications. Il demande ensuite à la structure Arista d’appliquer cette politique à vitesse filaire pour tous les flux similaires ultérieurs », a écrit Kotamraju. « Ce modèle « inspecter une fois, appliquer plusieurs » offre une sécurité granulaire Zero Trust sans les goulots d’étranglement de performances liés au fait de bloquer tout le trafic à travers un pare-feu ou d’imposer une refonte coûteuse et perturbatrice du réseau.
La deuxième fonctionnalité est une fonctionnalité de quarantaine dynamique qui permet aux NGFW de Palo Alto d’identifier les menaces évasives à l’aide des services de sécurité fournis dans le cloud (CDSS). « Ces services, tels que Advanced WildFire pour les logiciels malveillants du jour zéro et Advanced Threat Prevention pour les exploits inconnus, exploitent les renseignements sur les menaces mondiales pour détecter et bloquer les attaques qui échappent à la sécurité traditionnelle », a écrit Kotamraju.
La structure Arista peut décharger intelligemment les « flux éléphants » fiables et à large bande passante du pare-feu après inspection, lui permettant ainsi de se concentrer sur le trafic à haut risque. Lorsqu’une menace est détectée, le NGFW signale à Arista CloudVision, qui programme les commutateurs réseau pour mettre automatiquement en quarantaine la charge de travail compromise au débit de la ligne matérielle, selon Kotamraju : « Cette réponse immédiate arrête la propagation latérale d’une menace sans créer de goulot d’étranglement des performances ni nécessiter une intervention manuelle.
La troisième fonctionnalité est l’orchestration unifiée des politiques, où le plan de gestion de Palo Alto Networks centralise les politiques basées sur les zones et les micropérimètres, et CloudVision MSS répond avec le déchargement et l’application des commutateurs Arista. « Cela traite l’ensemble du réseau géodistribué comme un commutateur logique unique, permettant aux charges de travail de migrer librement entre les réseaux cloud et les domaines de sécurité », ont écrit Srikanta et Barbieri.
Enfin, les modèles de données Arista Validated Design (AVD) permettent le réseau en tant que code, s’intégrant aux pipelines CI/CD. Les AVD peuvent également être générés par les agents d’IA AVA (Autonomous Virtual Assist) d’Arista qui intègrent les meilleures pratiques, les tests, les garde-fous et les configurations générées.
« Notre intégration résout directement ce conflit en créant une séparation architecturale claire qui dissocie la structure réseau de la politique de sécurité. Cela permet à l’équipe NetOps (qui gère la structure Arista) et à l’équipe SecOps (qui gère la sécurité de Palo Alto Networks) d’évoluer, de mettre à niveau et d’innover de manière indépendante », a écrit Kotamraju. « NetOps peut se concentrer sur la création d’un réseau fiable et performant, tandis que SecOps peut se concentrer sur la fourniture des meilleurs services de sécurité. Chaque équipe utilise ses propres outils de gestion spécifiques au domaine, et la couche d’intégration synchronise automatiquement les politiques et les actions d’application. »
Arista travaille avec un certain nombre de fournisseurs de sécurité tels que Fortinet, Check Point, Splunk et bien d’autres, mais aucun n’est aussi profondément intégré que Palo Alto l’est actuellement. Le fournisseur de réseaux propose également ses propres packages de sécurité, notamment CloudVision MSS et sa plate-forme de détection et de réponse réseau basée sur l’IA.
