Table des matières:
Vidéo: La DMZ expliquée en dessins (Novembre 2024)
Le meilleur exemple de zone démilitarisée (DMZ) est aujourd'hui une bande de terre fortement gardée en Corée. C’est la zone de part et d’autre de la frontière entre la Corée du Nord et la Corée du Sud qui est censée empêcher chaque pays de déclencher accidentellement une guerre avec l’autre. En informatique, le concept de zone démilitarisée (DMZ) est similaire en ce sens qu’il fournit un lieu qui permet de garder le monde non fiable d’Internet en dehors du réseau interne de votre organisation, tout en offrant des services au monde extérieur. Pendant longtemps, tous les professionnels de l'informatique construisant presque tout type de réseau connecté à Internet construisaient une DMZ. Mais le nuage a tout changé.
Mesures de sécurité supplémentaires prises par l'entreprise en 2017
Si vous avez toujours une DMZ en fonctionnement, vous découvrirez qu'il s'agit d'un exemple typique de segmentation de réseau. Regardez attentivement et vous trouverez généralement une combinaison de pare-feu et de routeurs. Dans la plupart des cas, la zone démilitarisée sera créée par un périphérique de sécurité périphérique (généralement un pare-feu), qui est ensuite sauvegardé par un autre routeur ou pare-feu protégeant les portes du réseau interne.
Bien que la plupart des entreprises n’aient plus besoin d’une zone démilitarisée pour se protéger du monde extérieur, l’idée de séparer les avantages numériques précieux du reste de votre réseau reste une stratégie de sécurité efficace. Si vous appliquez le mécanisme DMZ de manière entièrement interne, il y a toujours des cas d'utilisation qui ont du sens. Un exemple en est la protection de l’accès à des magasins de données, des listes de contrôle d’accès ou des trésors similaires vous souhaiterez que tous les utilisateurs non autorisés potentiels franchissent le plus grand nombre possible d'objectifs supplémentaires avant de pouvoir y accéder.
Comment fonctionne une DMZ
Une DMZ fonctionne comme ceci: il y aura un pare-feu périphérique qui fera face aux horreurs de l’Internet ouvert. La DMZ et un autre pare-feu protégeant votre réseau local (LAN) seront ensuite utilisés. Derrière ce pare-feu se trouve votre réseau interne. En ajoutant cet intercalaire supplémentaire, vous pouvez implémenter des couches de sécurité supplémentaires que les mécontents devront vaincre avant de pouvoir accéder à votre réseau interne - où tout est vraisemblablement également couvert, non seulement par les contrôles d'accès au réseau, mais également par les suites de protection des terminaux.
Entre le premier pare-feu et le second, vous trouverez normalement un commutateur offrant une connexion réseau aux serveurs et aux périphériques devant être disponibles sur Internet. Le commutateur fournit également une connexion au deuxième pare-feu.
Le premier pare-feu doit être configuré pour autoriser uniquement le trafic devant atteindre votre réseau local interne et les serveurs de la zone démilitarisée. Le pare-feu interne ne doit autoriser le trafic que par des ports spécifiques nécessaires au fonctionnement de votre réseau interne.
Dans la zone démilitarisée, vous devez configurer vos serveurs pour qu’ils acceptent uniquement le trafic sur des ports spécifiques et pour n’accepter que des protocoles spécifiques. Par exemple, vous souhaiterez limiter le trafic sur le port 80 au protocole HTTP (HyperText Transfer Protocol) uniquement. Vous voudrez également configurer ces serveurs pour qu'ils n'exécutent que les services nécessaires à leur fonctionnement. Vous voudrez peut-être également qu'un système de détection d'intrusion (IDS) surveille l'activité des serveurs de votre zone démilitarisée afin de pouvoir détecter et arrêter une attaque par logiciel malveillant franchissant le pare-feu.
Le pare-feu interne doit être un pare-feu de nouvelle génération (NGFW) qui inspecte le trafic qui passe par les ports ouverts de votre pare-feu et cherche également des indices d’intrusions ou de programmes malveillants. C'est le pare-feu qui protège les joyaux de la couronne de votre réseau, il n'est donc pas l'endroit pour lésiner. Parmi les fabricants de NGFW figurent Barracude, Check Point, Cisco, Fortinet, Juniper et Palo Alto, entre autres.
Ports Ethernet en tant que ports DMZ
Pour les plus petites organisations, il existe une autre approche moins coûteuse qui fournit toujours une zone démilitarisée. De nombreux routeurs domestiques et de petites entreprises incluent une fonction qui vous permet de désigner l'un des ports Ethernet en tant que port DMZ. Cela vous permet de mettre un périphérique tel qu'un serveur Web sur ce port, où il peut partager votre adresse IP mais également être disponible pour le monde extérieur. Il va sans dire que ce serveur devrait être aussi verrouillé que possible et ne disposer que des services absolument nécessaires. Pour étoffer votre segment, vous pouvez associer un commutateur distinct à ce port et disposer de plusieurs périphériques dans la zone démilitarisée.
L'inconvénient de l'utilisation d'un tel port DMZ désigné est que vous ne disposez que d'un point de défaillance. Bien que la plupart de ces routeurs incluent également un pare-feu intégré, ils n'incluent généralement pas l'intégralité des fonctionnalités d'un NGFW. De plus, si le routeur est endommagé, votre réseau l'est également.
Bien qu'une DMZ basée sur un routeur fonctionne, elle n'est probablement pas aussi sécurisée que vous le souhaitez. À tout le moins, vous voudrez peut-être envisager d'ajouter un deuxième pare-feu derrière celui-ci. Cela coûtera un peu plus cher, mais pas autant qu'une violation de données. L’autre conséquence majeure d’une telle configuration est qu’elle est plus complexe à administrer et, étant donné que les petites entreprises susceptibles d’utiliser cette approche ne disposent généralement pas de personnel informatique, vous pouvez faire appel à un consultant pour la configurer, puis la gérer. de temps en temps.
Un Requiem pour la DMZ
- Les meilleurs services VPN pour 2019 Les meilleurs services VPN pour 2019
- Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019 Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019
- Le meilleur logiciel de surveillance réseau pour 2019 Le meilleur logiciel de surveillance réseau pour 2019
Comme mentionné précédemment, vous ne trouverez pas beaucoup de DMZ fonctionnant toujours dans la nature. La raison en est que la zone démilitarisée était destinée à remplir une fonction qui est actuellement gérée dans le cloud pour la grande majorité des fonctions de l'entreprise. Chaque application SaaS que vous déployez et chaque serveur que vous hébergez transfèrent tous une infrastructure externe en dehors de votre centre de données et dans le cloud, et les zones démilitarisées ont fait le trajet. Cela signifie que vous pouvez choisir un service de cloud, lancer une instance incluant un serveur Web et protéger ce serveur avec le pare-feu du fournisseur de cloud et le tour est joué. Nul besoin d'ajouter un segment de réseau configuré séparément à votre réseau interne car tout se passe ailleurs, de toute façon. De plus, les autres fonctions que vous pourriez utiliser avec une zone démilitarisée sont également disponibles dans le nuage. Ainsi, vous serez encore plus en sécurité.
Néanmoins, en tant que tactique de sécurité générale, il s'agit d'une mesure entièrement viable. Créer un segment de réseau de type DMZ derrière votre pare-feu présente les mêmes avantages que lorsque vous en étiez un entre votre réseau local et Internet: un autre segment signifie plus de protection, vous pouvez forcer les malfaiteurs à pénétrer avant de pouvoir accéder ce qu'ils veulent vraiment. Et plus ils doivent travailler, plus longtemps vous ou votre système de détection des menaces et de réponse devez les repérer et réagir.
