Utilisations courantes de la DMZ
Une DMZ est une section du réseau de l'entreprise qui est séparée du reste des systèmes de l'organisation. Il est utilisé pour héberger des serveurs qui interagissent avec des utilisateurs externes (y compris ceux de l'Internet public et des organisations tierces non fiables) et qui pourraient être exploités par un pirate.
Voici quelques serveurs susceptibles de résider dans la zone démilitarisée :
- Serveurs web
- Serveurs de courrier électronique
- Serveurs DNS
- Serveurs FTP
- Serveurs proxy
Ces serveurs fournissent des services à des utilisateurs externes et risquent d'être exploités par un utilisateur malveillant. En les séparant du reste du réseau de l'entreprise, il est plus difficile pour un pirate de passer d'un serveur public à d'autres ressources plus précieuses de l'entreprise.
Approches de la mise en œuvre d'une DMZ
Les DMZ hébergent des serveurs qui pourraient constituer une menace pour le reste du réseau privé en raison de leur potentiel accru d'exploitation par un attaquant. Une organisation doit identifier les serveurs qui fournissent des services publics et les placer dans la zone démilitarisée.
La DMZ est séparée du reste du réseau externe par un pare-feu. Cette mesure pourrait être mise en œuvre de deux manières :
- Pare-feu simple: Un seul pare-feu avec au moins trois interfaces réseau peut être utilisé pour créer une zone démilitarisée. Une interface se connecte au réseau public, la seconde à la zone démilitarisée et la troisième au réseau interne de l'entreprise. La séparation de la DMZ en une interface distincte contribue à l'isoler et permet à l'entreprise de limiter ses contacts avec le réseau interne sur la base de règles de pare-feu et de contrôles d'accès.
- Double pare-feus: Une zone démilitarisée peut également être construite à l'aide de deux pare-feu distincts. Le premier pare-feu sépare la DMZ de l'Internet public, tandis que le second sépare la DMZ du réseau interne. Cette conception est plus sûre car elle met en œuvre une défense en profondeur, obligeant l'attaquant à contourner deux pare-feu pour atteindre le réseau interne de l'entreprise.
Importance de la DMZ
La zone démilitarisée (DMZ) est un élément important du réseau d'une entreprise, car elle sépare les systèmes à haut risque des systèmes à haute valeur ajoutée. Un serveur web est un système à haut risque pour l'organisation car les applications web contiennent généralement des vulnérabilités exploitables qui peuvent permettre à l'attaquant d'accéder au serveur qui les héberge.
Il est logique d'isoler ces systèmes du reste du réseau de l'entreprise afin de protéger les autres systèmes de l'entreprise contre ces intrus.
Au fur et à mesure que les organisations mettent en œuvre l'accès réseau sans confiance (ZTNA), les zones démilitarisées peuvent perdre de leur importance, car chaque site application et chaque système sont isolés les uns des autres par des contrôles d'accès et de pare-feu. Une architecture de confiance zéro place effectivement chaque partie du réseau de l'entreprise dans sa propre DMZ, améliorant ainsi le niveau de sécurité du réseau dans son ensemble.
Meilleures pratiques pour la zone démilitarisée (DMZ)
Pour garantir le bon fonctionnement de la DMZ et protéger l'organisation contre les menaces potentielles, mettez en œuvre les meilleures pratiques suivantes :
- Protection à double pare-feu : Les zones démilitarisées peuvent être conçues avec un seul pare-feu ou un double pare-feu. L'utilisation de deux pare-feu réduit les risques en obligeant l'attaquant à vaincre plusieurs pare-feu pour accéder à des systèmes de grande valeur au sein du réseau local de l'entreprise.
- Mise en œuvre Granulaire Contrôles d'accès: Les organisations doivent mettre en place des contrôles d'accès pour le trafic externe entrant et sortant du réseau de l'entreprise et circulant entre celui-ci et le réseau local interne de l'entreprise. Idéalement, il s'agira de contrôles d'accès au moindre privilège mis en œuvre dans le cadre d'une stratégie de sécurité "zéro confiance".
- Appliquez rapidement les mises à jour : Les pare-feu DMZ sont essentiels pour protéger le réseau interne de l'entreprise contre les intrusions potentielles provenant de la DMZ. Les organisations doivent régulièrement vérifier et appliquer les mises à jour de pare-feu pour s'assurer que tout manque de sécurité est comblé avant qu'il ne puisse être exploité par un pirate.
- Exécution régulière Évaluations de la vulnérabilité: En plus de la gestion des correctifs, les équipes de sécurité devraient également effectuer des analyses et des évaluations régulières de la vulnérabilité afin d'identifier tout problème de sécurité dans leur zone démilitarisée. Outre les systèmes non corrigés, il peut s'agir d'erreurs de configuration, d'intrusions négligées et de tout autre élément susceptible de mettre l'organisation en danger.
Renforcer la sécurité avec le pare-feu IA-Powered de Check Point
Une DMZ est un élément important de l'architecture de sécurité d'une organisation qui protège le reste du réseau de l'entreprise contre les compromissions potentielles des serveurs web et d'autres services publics. Toutefois, la DMZ n'est efficace que si elle est protégée par un pare-feu capable d'empêcher les attaquants de se rendre sur le réseau interne.
Cela nécessite un Pare-feu de nouvelle génération (NGFW), idéalement des versions qui exploitent la puissance des moteurs IA/ML pour bloquer les menaces de type "zero day". Découvrez ce qu'il faut rechercher dans un pare-feu d'entreprise moderne grâce à ce guide d'achat.
Les NGFW de Check Point sont disponibles en tant que solutions autonomes ou dans le cadre d' Harmony SASE. Pour en savoir plus, n'hésitez pas à vous inscrire pour une démo gratuite de Check Point Quantum Force NGFW.
Commentaires