La virtualisation des DMZ est un sujet d’actualité. De nombreuses entreprises hésitent à franchir le pas. Aujourd’hui, la réponse sera plutôt favorable. Il est bien évidemment possible de virtualiser une DMZ mais il faut être prudent sur le sujet.
La première problématique est la gestion des
Virtualisation des DMZ : possible ou non ?
flux. La couche de virtualisation induit elle-même des flux qu’il convient de considérer. Le principe fondateur d’une DMZ est d’ouvrir un flux pour un serveur. Ici, il faudra désormais considérer que N flux vont vers le même serveur physique. La criticité du serveur physique est redoutable car elle contient désormais plusieurs machines virtuelles très critiques.
Il faut donc renforcer grandement la sécurité des hôtes physiques et garantir une isolation totale entre les machines virtuelles.
Pour cela, plusieurs principes de base :
- L’isolation des machines virtuelles par rapport à l’hôte qui les héberge est garantie par la mise à jour via les patchs de sécurité de la couche de virtualisation (hyperviseur). Il faut donc patcher dès que possible
- L’isolation est garantie également par la séparation réseau : Il faut donc regarder du côté des VLAN, DvSwitch, Nexus 1000v (chez Cisco), Private VLAN, et autres moyens de garantir une étanchéité réseau
- L’isolation est enfin garantie par le filtrage inter machine virtuelle. Il devient primordial de regarder du côté de vShield ou de firewalls virtuels dédiés au filtrage des machines virtuelles. Stonesoft a été un des premiers acteurs à être conscient du problème et a donc proposé des solutions permettant d’y pallier : http://www.stonesoft.com/fr/products/virtualization/
- Le cloisonnement des droits via l’utilisation de réseau dédié au management et l’impossibilité pour les administrateurs de gérer les DMZ de la même manière que les environnements virtuels classiques.
Une réflexion émerge donc en ce moment. Faut il un vCenter (pour VMware) par DMZ, pour toutes les DMZ ou intègre t’on tous les hôtes dans le même vCenter. Il n’y a pas pour le moment de réponse toute faite. Cela dépendra de la gestion au jour le jour, l’aspect financier (plusieurs vCenter = plus de dépenses), ainsi que le type d’architecture. Par exemple, dans le milieu bancaire,on trouve beaucoup d’architecture trois tiers. Faut-il trois environnements séparés sans relation , ou une seule plateforme commune mais architecturée de façon à bien séparer les flux ? Tout est question de coûts et de niveau de sécurité recherché.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- À l’aube de 2026, le SaaS entre dans une nouvelle phase
- Face à l’urgence écologique, l’IT doit faire sa révolution
- IoT et cybersécurité : les bases que chaque décideur doit maîtriser
Articles les + lus
CES 2026 : l’IA physique et la robotique redéfinissent le futur
Les 3 prédictions 2026 pour Java
Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
Face à l’urgence écologique, l’IT doit faire sa révolution
D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
À la une de la chaîne Tech
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
- D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
