La virtualisation des DMZ est un sujet d’actualité. De nombreuses entreprises hésitent à franchir le pas. Aujourd’hui, la réponse sera plutôt favorable. Il est bien évidemment possible de virtualiser une DMZ mais il faut être prudent sur le sujet.
La première problématique est la gestion des
Virtualisation des DMZ : possible ou non ?
flux. La couche de virtualisation induit elle-même des flux qu’il convient de considérer. Le principe fondateur d’une DMZ est d’ouvrir un flux pour un serveur. Ici, il faudra désormais considérer que N flux vont vers le même serveur physique. La criticité du serveur physique est redoutable car elle contient désormais plusieurs machines virtuelles très critiques.
Il faut donc renforcer grandement la sécurité des hôtes physiques et garantir une isolation totale entre les machines virtuelles.
Pour cela, plusieurs principes de base :
- L’isolation des machines virtuelles par rapport à l’hôte qui les héberge est garantie par la mise à jour via les patchs de sécurité de la couche de virtualisation (hyperviseur). Il faut donc patcher dès que possible
- L’isolation est garantie également par la séparation réseau : Il faut donc regarder du côté des VLAN, DvSwitch, Nexus 1000v (chez Cisco), Private VLAN, et autres moyens de garantir une étanchéité réseau
- L’isolation est enfin garantie par le filtrage inter machine virtuelle. Il devient primordial de regarder du côté de vShield ou de firewalls virtuels dédiés au filtrage des machines virtuelles. Stonesoft a été un des premiers acteurs à être conscient du problème et a donc proposé des solutions permettant d’y pallier : http://www.stonesoft.com/fr/products/virtualization/
- Le cloisonnement des droits via l’utilisation de réseau dédié au management et l’impossibilité pour les administrateurs de gérer les DMZ de la même manière que les environnements virtuels classiques.
Une réflexion émerge donc en ce moment. Faut il un vCenter (pour VMware) par DMZ, pour toutes les DMZ ou intègre t’on tous les hôtes dans le même vCenter. Il n’y a pas pour le moment de réponse toute faite. Cela dépendra de la gestion au jour le jour, l’aspect financier (plusieurs vCenter = plus de dépenses), ainsi que le type d’architecture. Par exemple, dans le milieu bancaire,on trouve beaucoup d’architecture trois tiers. Faut-il trois environnements séparés sans relation , ou une seule plateforme commune mais architecturée de façon à bien séparer les flux ? Tout est question de coûts et de niveau de sécurité recherché.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Reprendre le contrôle de son SI : la clé d’un numérique à la fois souverain et responsable
- Splunk : vers un SOC agentique et de confiance
- Le trilemme de la souveraineté : le coût caché du cloud qui freine l’IA en Europe
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
