Un réseau DMZ, qui tire son nom de la zone démilitarisée située entre deux zones contrôlées par des forces ou des nations opposées, est un sous-réseau de l'infrastructure réseau d'une organisation situé entre le réseau interne protégé et un réseau non fiable (souvent l'Internet). Le réseau DMZ d'une organisation contient des services orientés vers le public et est conçu pour aider à protéger les réseaux internes.
Une zone démilitarisée (DMZ) est conçue pour abriter des services appartenant à une organisation, mais qui sont moins fiables ou plus exposés à un risque de compromission. Voici quelques exemples de systèmes couramment déployés dans une zone démilitarisée :
Tous ces systèmes doivent être accessibles au public. Cependant, ils sont aussi tous potentiellement vulnérables à la compromission (comme l'exploitation de la vulnérabilité des applications Web) ou pourraient être utilisés dans une attaque, comme l'utilisation du DNS pour l'amplification d'une attaque par Déni de service distribué (DDoS).
Une zone démilitarisée (DMZ) permet à une organisation d'exposer les fonctionnalités orientées vers l'internet sans mettre en danger le reste de ses systèmes internes. Alors que les systèmes situés dans la zone démilitarisée peuvent avoir accès aux systèmes internes et aux données sensibles - telles que les données des clients stockées dans les bases de données et utilisées par les applications Web - les connexions entre ces systèmes basés dans la zone démilitarisée et les systèmes internes font l'objet d'une inspection supplémentaire afin de détecter tout contenu malveillant.
Une DMZ est un sous-réseau isolé au sein du réseau d'une organisation. La DMZ est définie par deux frontières segmentées strictes : l'une entre la DMZ et le réseau extérieur non fiable (c'est-à-dire l'internet) et l'autre entre la DMZ et le réseau interne fiable.
Ces frontières entre la DMZ et les autres réseaux sont strictement respectées et protégées. Une organisation va déployer des pare-feu aux deux frontières de la zone démilitarisée. Ces Pare-feu de nouvelle génération (NGFW) inspectent tout le trafic qui traverse la frontière du réseau et ont la capacité de détecter et de bloquer le contenu malveillant avant qu'il ne traverse la frontière entre l'internet et la DMZ ou entre la DMZ et le réseau interne protégé.
Ces pare-feu de réseau sont essentiels à la sécurité de la zone démilitarisée car ils ont la capacité d'appliquer des contrôles d'accès entre la zone démilitarisée et les systèmes internes. Ces contrôles d'accès sont essentiels pour minimiser le risque qu'un système compromis mette en danger les systèmes internes et qu'un attaquant puisse se déplacer latéralement dans le réseau à partir d'un système compromis dans la zone démilitarisée.
Bien qu'un pare-feu suffise à définir les limites d'une zone démilitarisée, une organisation peut également déployer des défenses supplémentaires sur ces limites. En fonction des services mis en œuvre dans la DMZ, une organisation peut souhaiter déployer un Pare-feu pour applications Web(WAF), une solution d'analyse du courrier électronique ou d'autres contrôles de sécurité afin de fournir une protection ciblée aux services déployés.
La mise en place d'une DMZ permet à une organisation de définir plusieurs niveaux et zones de confiance au sein de son réseau. Cela présente un certain nombre d'avantages pour l'organisation, notamment
Une DMZ offre à une organisation un niveau de protection supplémentaire entre son réseau interne et l'Internet public. En isolant les systèmes potentiellement vulnérables dans une DMZ, une organisation réduit les risques pour ses systèmes internes.
Toutefois, une zone démilitarisée n'est utile que si les pare-feu qui en défendent les limites sont capables de détecter les menaces potentielles et de mettre en œuvre des contrôles d'accès rigoureux. Pour savoir ce qu'il faut rechercher dans un NGFW, consultez ce guide de l'acheteur. Nous vous invitons également à regarder cette démo pour voir comment les NGFW de Check Point peuvent améliorer la sécurité de votre réseau.