Segmentation du réseau - Meilleures pratiques

Vue d'ensemble

La segmentation du réseau aide à améliorer la sécurité et facilite la gestion en divisant le réseau d'entreprise en segments de réseau plus petits. Cet article se concentre sur l'utilisation de l'application de gestion Cato pour utiliser les segments de réseau VLAN et minimiser l'impact d'une éventuelle intrusion réseau. En cas d'intrusion dans le réseau, le VLAN infecté est isolé et ne peut pas se propager à l'ensemble du réseau. Les VLAN peuvent également fournir un contrôle d'accès granulaire, vous pouvez créer des règles de pare-feu pour définir le contrôle d'accès basé sur le rôle de l'utilisateur dans l'organisation.

Segmentation du réseau avec Cato Networks

L'application de gestion Cato vous permet de définir facilement les VLAN pour un site qui utilise le Socket Cato. Utilisez la section Réseau pour un site afin de définir les segments de réseau avec le Type de plage de VLAN. Consultez la capture d'écran suivante pour un exemple de segments de réseau VLAN (Réseau > Sites > {Site Name} > Configuration du site > Réseaux) :

Sites_Réseau.png

Vous pouvez ensuite utiliser ces segments de réseau pour augmenter la sécurité du site. Par exemple, vous pouvez créer un VLAN distinct pour le département des finances d'entreprise et l'utiliser dans une règle de pare-feu WAN. Étant donné que le trafic entre les VLAN est routé via le Cato Cloud, il est possible qu'il y ait un impact sur la performance du réseau pour ce trafic. Cela est vrai même si les VLAN sont au même emplacement physique.

Segmentation des serveurs pour accroître la sécurité

Les serveurs contenant des données essentielles et sensibles nécessitent souvent des couches de sécurité supplémentaires. Vous pouvez isoler ces serveurs dans un VLAN distinct et limiter l'accès à ces serveurs. Par exemple, vous pouvez utiliser un VLAN distinct pour les serveurs de base de données de votre siège social.

En revanche, les serveurs d'applications ont souvent un accès entrant depuis Internet public et peuvent être un risque potentiel de sécurité. Nous recommandons d'assigner ces serveurs à un VLAN distinct pour empêcher les attaquants d'accéder aux serveurs internes et sensibles. Vous pouvez utiliser ce VLAN comme une DMZ (zone démilitarisée) pour les serveurs accessibles au public.

Utilisation de VLAN pour protéger les serveurs et les postes de travail

Les postes de travail et serveurs d'entreprise peuvent être un risque de sécurité pour votre réseau car, si un poste de travail est compromis, il peut rapidement se propager à travers tout le réseau. Cependant, lorsque les postes de travail sont dans un VLAN distinct, vous pouvez isoler le VLAN et bloquer la connectivité au réseau. Pour permettre la communication entre les réseaux, vous devez configurer une adresse IP de passerelle pour chacun des réseaux VLAN. La capture d'écran suivante montre un exemple de VLAN séparés pour les serveurs et les postes de travail :

serveurs_et_travail.png

Créez une règle de pare-feu WAN qui permette la connectivité entre ces VLAN. Si un des postes de votre réseau devient infecté, vous pouvez facilement désactiver cette règle et empêcher l'infection de se propager aux serveurs. Après avoir remédié aux postes de travail infectés, vous pouvez réactiver la règle pour permettre la connectivité entre les postes de travail et le serveur d'applications.

Séparation des réseaux pour différents types d'utilisateurs

La segmentation du réseau vous permet de définir différents niveaux d'accès pour les différents groupes d'utilisateurs de votre organisation. Par exemple, définissez des VLAN séparés pour la gestion, les utilisateurs réguliers et les invités.

Si vous souhaitez fournir un accès WiFi ou réseau pour les invités, cela peut être un risque potentiel de sécurité. Segmentez le réseau d'invités dans un VLAN distinct qui ne permet que l'accès à Internet, et ils ne peuvent pas accéder aux ressources internes. La capture d'écran suivante montre un VLAN pour les utilisateurs WiFi invités :

vlans1.png

Ensuite, créez une règle dans le pare-feu Internet qui permette à ce VLAN d'accéder à Internet. La capture d'écran suivante montre une règle de pare-feu Internet qui permet au VLAN WiFi invité d'accéder à Internet :

WiFiInvités_Internet.png

Restriction du trafic présentant des risques de sécurité

En plus de segmenter le réseau pour améliorer la sécurité du réseau, vous pouvez également restreindre les types de trafic qui constituent des risques potentiels de sécurité. Par exemple, les protocoles RDP (Remote Desktop) et SMB (partage de fichiers) sont souvent utilisés par les intrus pour accéder à des informations sensibles ou pour propager des ransomwares qui causent des dommages aux données de l'entreprise.

Nous recommandons de configurer le pare-feu WAN pour limiter l'accès à ces protocoles par défaut et de n'autoriser ce trafic que lorsque cela est nécessaire. Pour en savoir plus sur la configuration des règles de pare-feu WAN et les meilleures pratiques, consultez Politiques de pare-feu Internet et WAN : Meilleures pratiques.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 2 sur 2

0 commentaire