L'objectif d'une DMZ
Une zone démilitarisée (DMZ) est conçue pour abriter des services appartenant à une organisation, mais qui sont moins fiables ou plus exposés à un risque de compromission. Voici quelques exemples de systèmes couramment déployés dans une zone démilitarisée :
- Serveur web
- Serveur DNS
- Serveur de messagerie
- Serveur FTP
Tous ces systèmes doivent être accessibles au public. Cependant, ils sont aussi tous potentiellement vulnérables à la compromission (comme l'exploitation de la vulnérabilité des applications Web) ou pourraient être utilisés dans une attaque, comme l'utilisation du DNS pour l'amplification d'une attaque par Déni de service distribué (DDoS).
Une zone démilitarisée (DMZ) permet à une organisation d'exposer les fonctionnalités orientées vers l'internet sans mettre en danger le reste de ses systèmes internes. Alors que les systèmes situés dans la zone démilitarisée peuvent avoir accès aux systèmes internes et aux données sensibles - telles que les données des clients stockées dans les bases de données et utilisées par les applications Web - les connexions entre ces systèmes basés dans la zone démilitarisée et les systèmes internes font l'objet d'une inspection supplémentaire afin de détecter tout contenu malveillant.
Architecture du réseau DMZ
Une DMZ est un sous-réseau isolé au sein du réseau d'une organisation. La DMZ est définie par deux frontières segmentées strictes : l'une entre la DMZ et le réseau extérieur non fiable (c'est-à-dire l'internet) et l'autre entre la DMZ et le réseau interne fiable.
Ces frontières entre la DMZ et les autres réseaux sont strictement respectées et protégées. Une organisation va déployer des pare-feu aux deux frontières de la zone démilitarisée. Ces Pare-feu de nouvelle génération (NGFW) inspectent tout le trafic qui traverse la frontière du réseau et ont la capacité de détecter et de bloquer le contenu malveillant avant qu'il ne traverse la frontière entre l'internet et la DMZ ou entre la DMZ et le réseau interne protégé.
Ces pare-feu de réseau sont essentiels à la sécurité de la zone démilitarisée car ils ont la capacité d'appliquer des contrôles d'accès entre la zone démilitarisée et les systèmes internes. Ces contrôles d'accès sont essentiels pour minimiser le risque qu'un système compromis mette en danger les systèmes internes et qu'un attaquant puisse se déplacer latéralement dans le réseau à partir d'un système compromis dans la zone démilitarisée.
Bien qu'un pare-feu suffise à définir les limites d'une zone démilitarisée, une organisation peut également déployer des défenses supplémentaires sur ces limites. En fonction des services mis en œuvre dans la DMZ, une organisation peut souhaiter déployer un Pare-feu pour applications Web(WAF), une solution d'analyse du courrier électronique ou d'autres contrôles de sécurité afin de fournir une protection ciblée aux services déployés.
Avantages du réseau DMZ
La mise en place d'une DMZ permet à une organisation de définir plusieurs niveaux et zones de confiance au sein de son réseau. Cela présente un certain nombre d'avantages pour l'organisation, notamment
- Protection des systèmes orientés vers l'internet : Les serveurs de courrier électronique, les applications Web et les autres systèmes orientés vers l'internet doivent avoir accès à des données sensibles, ce qui signifie qu'ils doivent être protégés contre les attaques. Le fait de placer ces systèmes dans la zone démilitarisée leur permet d'être accessibles à l'internet public tout en étant protégés par le pare-feu externe.
- Protection des systèmes internes : Certains systèmes de la zone démilitarisée (tels que les serveurs FTP) constituent une menace pour les systèmes du réseau d'une organisation. En plaçant ces systèmes dans une DMZ, vous vous assurez qu'une autre couche d'inspection de sécurité existe entre ces systèmes et le réseau interne de l'organisation.
- Mouvements latéraux limités : Les cyberattaquants exploitent généralement un système pour prendre pied sur un réseau, puis étendre leur accès à partir de ce point d'ancrage. Étant donné que les systèmes les plus vulnérables et les plus exploitables se trouvent dans la zone démilitarisée, il est plus difficile de les utiliser comme point d'appui pour accéder au réseau interne protégé et l'exploiter.
- Empêcher l'analyse du réseau : Les attaquants analysent souvent les réseaux des organisations afin d'identifier les ordinateurs et les logiciels susceptibles d'être exploités. La mise en place d'une DMZ structure le réseau de telle sorte que seuls les systèmes destinés à faire face à l'internet soient réellement visibles et scannables depuis l'internet public.
- Amélioration du contrôle d'accès : Le fait de placer un pare-feu entre le réseau interne et les systèmes orientés vers l'internet permet d'inspecter toutes les connexions entre ces systèmes. Cela permet à l'organisation de définir et d'appliquer strictement les contrôles d'accès afin de protéger les systèmes internes.
- Amélioration des performances du réseau : Les systèmes orientés vers l'internet sont conçus pour être fréquemment consultés par des utilisateurs externes. Le fait de placer ces systèmes dans une zone démilitarisée réduit la charge sur l'infrastructure du réseau interne et les pare-feu, ce qui améliore leurs performances.
Mise en œuvre d'une zone démilitarisée sécurisée
Une DMZ offre à une organisation un niveau de protection supplémentaire entre son réseau interne et l'Internet public. En isolant les systèmes potentiellement vulnérables dans une DMZ, une organisation réduit les risques pour ses systèmes internes.
Toutefois, une zone démilitarisée n'est utile que si les pare-feu qui en défendent les limites sont capables de détecter les menaces potentielles et de mettre en œuvre des contrôles d'accès rigoureux. Pour savoir ce qu'il faut rechercher dans un NGFW, consultez ce guide de l'acheteur. Nous vous invitons également à regarder cette démo pour voir comment les NGFW de Point de contrôle peuvent améliorer la sécurité de votre réseau.
Commentaires