TechLeague

    Palo Alto

    GlobalProtect vs Prisma Access ZTNA : La Feuille de Route pour la Migration en 2026

    TechLeague Editorial··14 min de lecture

    Le débat entre le modèle traditionnel « On-Prem Gateway » de GlobalProtect et Prisma Access ZTNA ne porte plus sur la parité fonctionnelle. Il s'agit de la mort architecturale du périmètre statique et de la transition vers une posture de sécurité basée sur l'identité et le proxy, à laquelle le PAN-OS, lié au hardware, ne peut tout simplement pas s'adapter en 2026.

    L'Impasse Architecturale : Pourquoi GlobalProtect sur les Séries PA est Limité

    Pendant une décennie, le « Golden Standard » était simple : déployer un PA-440 ou un PA-1400 dans un bureau régional, configurer une passerelle SSL/IPsec, et terminer les tunnels GlobalProtect directement sur le dataplane. Cela fonctionnait lorsque les utilisateurs représentaient 10 % de la main-d'œuvre. Dans un monde post-hybride, ce modèle est fondamentalement brisé. Lorsque vous terminez 500 tunnels GlobalProtect sur une série PA-400, vous consommez une quantité massive de CPU DP (Dataplane) pour le chiffrement/déchiffrement, laissant peu de marge pour l'inspection de contenu de couche 7 ou l'analyse WildFire.

    La réalité de 2026 est que GlobalProtect est un VPN, tandis que Prisma Access est un Fabric. Lorsque vous exécutez GP on-prem, vous êtes asservi au débit ISP de votre tête de réseau et à la latence physique du backhaul. Si un utilisateur à Londres se connecte à une passerelle à New York pour accéder à une application SaaS, vous avez introduit 120 ms de latence inutile. Prisma Access déplace l'« On-Ramp » vers le nœud AWS/GCP le plus proche (plus de 100 points de présence dans le monde), offrant une latence de premier saut constante inférieure à 10 ms.

    ZTNA 2.0 : Passer de « Connecter puis Inspecter » à « Identité d'abord »

    GlobalProtect standard suit le modèle « Connect then Inspect ». Une fois qu'un utilisateur s'authentifie et que le tunnel est établi, il dispose d'une adresse IP sur le réseau interne. Même avec des Security Policies strictes, l'appareil de l'utilisateur est techniquement « sur » le réseau. Prisma Access ZTNA (Version 2.0) utilise le ZTNA Connector, qui inverse la logique.

    Le ZTNA Connector réside dans votre VPC ou Data Center et établit un tunnel outbound vers le cloud Prisma Access. Il n'y a pas de ports entrants ouverts (pas de listener 443/VPN) sur votre firewall. Cela masque efficacement l'infrastructure de votre application de l'internet public, éliminant la possibilité d'exploits zero-day contre le service VPN lui-même – une vulnérabilité qui a récemment affecté les fournisseurs de SSL-VPN hérités.

    
# Passerelle GP traditionnelle (vulnérable à la découverte)
set network interface ethernet1/1 layer3 ip 203.0.113.10/24
set network profiles global-protect-gateway GP-GW-External
set deviceconfig setting global-protect-gateway enable yes

# Logique du ZTNA Connector (uniquement outbound)
# Aucun NAT inbound requis. Le Connector se connecte au cloud Prisma.
cloud-connector {
  target-fragment "Prisma-Backbone";
  redundancy-group 'Prod-West';
  egress-interface ethernet1/1;
}

    Le Déclencheur de la Migration en 2026 : Quand GlobalProtect Meurt-il ?

    Vous devriez migrer vers Prisma Access ZTNA lorsque votre environnement atteint ces trois déclencheurs techniques :

    • Le Goulot d'Étranglement de la Bande Passante : Votre trafic utilisateur distant agrégé dépasse 50 % de la capacité de débit déchiffré de votre tête de réseau (vérifiez show running resource-monitor).
    • Prolifération du SaaS : Si 70 % de votre trafic est destiné à O365, Salesforce ou GitHub, rapatrier ce trafic vers un PA-3410 juste pour le renvoyer ensuite vers internet est un gaspillage de silicium coûteux.
    • L'Exigence « Spécifique à l'Application » : Lorsque l'entreprise exige que des sous-traitants tiers accèdent uniquement à une instance Jira spécifique sans un tunnel IP-stack complet.

    Pour en savoir plus sur le dimensionnement des infrastructures, consultez notre article détaillé sur le dimensionnement du hardware PAN-OS pour 2025-2026.

    Parité des Politiques : Panorama vs. Prisma Access Console

    L'un des plus grands obstacles à la migration est la crainte de perdre la granularité des politiques. En 2026, Palo Alto Networks a enfin atteint une parité quasi-totale. Que vous utilisiez une GlobalProtect Gateway sur un NGFW ou la gestion du cloud Prisma Access, les constructions de politiques restent les mêmes : User-ID, App-ID et Device-ID. Cependant, Prisma Access introduit les Dynamic User Groups (DUG) intégrés à Prisma SaaS Security, vous permettant de déconnecter automatiquement un utilisateur du tunnel ZTNA si son comportement (surveillé via API) indique un vol d'identifiants.

    Le Prisma Access ZTNA Connector vs. Service Connections

    Dans les itérations précédentes, nous utilisions des « Service Connections » (un tunnel IPsec de votre FW vers Prisma) pour atteindre les applications internes. En 2026, le ZTNA Connector est la méthode préférée pour l'accès aux applications privées. C'est une VM légère (ESXi, KVM ou Cloud Native) qui agit comme un proxy d'application. Cela permet un contrôle d'accès au niveau de l'application plutôt qu'un contrôle d'accès au niveau du réseau. Vous ne donnez pas à un utilisateur l'accès à un Subnet ; vous lui donnez l'accès à https://internal-app.corp.local.

    Expérience Utilisateur : Le Mythe du « Toujours Actif » vs. la Réalité

    Les utilisateurs de GlobalProtect se plaignent souvent du « tunnel flip » – la coupure de 3 à 5 secondes lors du passage du Wi-Fi au LTE. Prisma Access résout ce problème en utilisant le Mobile Segment Termination. Étant donné que l'utilisateur se connecte à un énorme backbone cloud, l'état de la session est maintenu dans le SDN (Software Defined Network) du fournisseur cloud plutôt que sur une seule instance hardware DP physique. Le résultat est une transition transparente invisible pour les appels Zoom ou Teams.

    L'Équation des Coûts : Renouvellement de Hardware vs. Cloud OpEx

    Regardons les chiffres. Un PA-3410 capable de gérer 2 000 utilisateurs GlobalProtect avec inspection SSL complète coûte environ 35 000 $ prix catalogue plus 7 000 $/an en support et abonnements. Sur 5 ans, le TCO est d'environ 70 000 $. Pour les mêmes 2 000 utilisateurs, Prisma Access ZTNA (éditions Okyo ou Business) pourrait être plus élevé sur une base OpEx annuelle, mais vous éliminez le besoin de liens ISP multi-homed redondants, d'espace rack et du capital humain nécessaire pour patcher les vulnérabilités PAN-OS chaque mois.

    Nous constatons souvent que pour les organisations avec plus de 5 hubs régionaux, la consolidation de la stack de sécurité dans Prisma Access entraîne une réduction de 20 % du TCO si l'on considère les coûts « cachés » du backhaul MPLS ou des circuits DIA (Dedicated Internet Access) à haut débit dans chaque branche.

    Mise en Œuvre de la Transition : Une Approche Étapée

    Vous ne basculez pas un interrupteur pour déplacer 10 000 utilisateurs vers le ZTNA. Le chemin de migration pour 2026 suit ce plan :

    1. Phase 1 : Cloud Hybride. Conservez vos passerelles GP de série PA pour les applications « Legacy » qui nécessitent une connectivité IP thick-client (par exemple, les anciennes bases de données Oracle).
    2. Phase 2 : Utiliser Prisma Access pour le « Déchargement Internet ». Laissez le client GlobalProtect se connecter à Prisma pour tout le trafic SaaS/Web, en utilisant le backbone à haut débit.
    3. Phase 3 : Déploiement des ZTNA Connectors. Déployez des ZTNA Connectors dans vos Data Centers principaux et migrez les applications internes basées sur le Web une par une.
    4. Phase 4 : Mise hors service du Hardware. Une fois que seulement 10 % du trafic atteint la passerelle locale, réduisez la taille du hardware à une empreinte plus petite (comme une série PA-400) pour la connectivité locale site-à-site uniquement.

    Pour les scénarios de migration complexes impliquant un routage legacy, consultez notre guide sur les bonnes pratiques de BGP Peering avancé avec Prisma Access.

    Résumé : Le Verdict

    Si vous continuez à acheter de grands firewalls à haut débit uniquement dans le but de terminer des tunnels VPN, vous construisez une bombe à dette technique. D'ici 2026, la complexité de la gestion de la terminaison IPsec/SSL VPN globale sur du hardware physique l'emportera sur les coûts du ZTNA cloud-native. Prisma Access ne concerne pas seulement la sécurité ; il s'agit de la performance réseau et du déplacement de la frontière de sécurité là où l'utilisateur vit réellement : le navigateur et l'identity provider.

    Prêt à moderniser votre edge et à vous débarrasser du fardeau du VPN ? Notre équipe de CCIEs et PCNSEs peut concevoir votre transition de GlobalProtect legacy vers un framework ZTNA 2.0 complet. Explorez nos packs de conseil et de déploiement à plusieurs niveaux sur techleague.io.

    Questions fréquentes

    Puis-je utiliser le même agent GlobalProtect pour Prisma Access et mes passerelles on-premise ?+

    Oui, l'application GlobalProtect (v6.x et supérieur) est le même client pour les deux. Il vous suffit de changer l'adresse du portail ou d'utiliser une configuration 'multi-portail' dans les paramètres de l'application pour faciliter une migration.

    Est-ce que Prisma Access ZTNA améliore réellement la latence pour les utilisateurs distants ?+

    Prisma Access utilise les backbones à haut débit d'AWS et de GCP. En terminant la session utilisateur au 'Edge' PoP le plus proche de l'utilisateur, vous éliminez la latence du rapatriement du trafic vers un firewall de Data Center central.

    Devrai-je ré-adresser mes serveurs internes si je passe au ZTNA ?+

    Généralement, non. Prisma Access utilise typiquement des 'Service Connections' ou des 'ZTNA Connectors' pour atteindre les ressources internes via un tunnel sécurisé. La refonte de votre schéma IP interne n'est pas requise, tant que vous pouvez router vers les subnets internes depuis la VM du Connector.

    Qu'est-ce qui rend Prisma Access 'ZTNA 2.0' différent du ZTNA standard ?+

    ZTNA 2.0 fournit une vérification continue de la confiance. Si un appareil devient non conforme (par exemple, l'antivirus est désactivé) ou si le comportement de l'utilisateur change en cours de session, Prisma Access peut interrompre le flux d'application spécifique instantanément, même si le tunnel est toujours actif.

    Y a-t-il un scénario où je devrais conserver GlobalProtect sur mon NGFW ?+

    Le ZTNA est supérieur pour 90 % des cas d'utilisation. Cependant, pour les applications legacy qui nécessitent des adresses IP source fixes ou des protocoles non standard qui ne sont pas facilement proxifiés (comme certains protocoles industriels plus anciens), un tunnel GlobalProtect traditionnel peut encore être nécessaire.