> Tech > Virtualisation des DMZ : possible ou non ?

Virtualisation des DMZ : possible ou non ?

Tech - Par Renaud ROSSET - Publié le 03 mai 2011

La virtualisation des DMZ est un sujet d’actualité. De nombreuses entreprises hésitent à franchir le pas. Aujourd’hui, la réponse sera plutôt favorable. Il est bien évidemment possible de virtualiser une DMZ mais il faut être prudent sur le sujet.

La première problématique est la gestion des

flux. La couche de virtualisation induit elle-même des flux qu’il convient de considérer. Le principe fondateur d’une DMZ est d’ouvrir un flux pour un serveur. Ici, il faudra désormais considérer que N flux vont vers le même serveur physique. La criticité du serveur physique est redoutable car elle contient désormais plusieurs machines virtuelles très critiques.
Il faut donc renforcer grandement la sécurité des hôtes physiques et garantir une isolation totale entre les machines virtuelles.

Pour cela, plusieurs principes de base :

L’isolation des machines virtuelles par rapport à l’hôte qui les héberge est garantie par la mise à jour via les patchs de sécurité de la couche de virtualisation (hyperviseur). Il faut donc patcher dès que possible
L’isolation est garantie également par la séparation réseau : Il faut donc regarder du côté des VLAN, DvSwitch, Nexus 1000v (chez Cisco), Private VLAN, et autres moyens de garantir une étanchéité réseau
L’isolation est enfin garantie par le filtrage inter machine virtuelle. Il devient primordial de regarder du côté de vShield ou de firewalls virtuels dédiés au filtrage des machines virtuelles. Stonesoft a été un des premiers acteurs à être conscient du problème et a donc proposé des solutions permettant d’y pallier : http://www.stonesoft.com/fr/products/virtualization/
Le cloisonnement des droits via l’utilisation de réseau dédié au management et l’impossibilité pour les administrateurs de gérer les DMZ de la même manière que les environnements virtuels classiques.

Une réflexion émerge donc en ce moment. Faut il un vCenter (pour VMware) par DMZ, pour toutes les DMZ ou intègre t’on tous les hôtes dans le même vCenter. Il n’y a pas pour le moment de réponse toute faite. Cela dépendra de la gestion au jour le jour, l’aspect financier (plusieurs vCenter = plus de dépenses), ainsi que le type d’architecture. Par exemple, dans le milieu bancaire,on trouve beaucoup d’architecture trois tiers. Faut-il trois environnements séparés sans relation , ou une seule plateforme commune mais architecturée de façon à bien séparer les flux ? Tout est question de coûts et de niveau de sécurité recherché.

Téléchargez cette ressource

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Tech - Par Renaud ROSSET - Publié le 03 mai 2011

Découvrir tous les articles de la chaîne Tech

Les articles les plus consultés

A travers cette chaîne

A travers ITPro

Les plus consultés sur iTPro.fr

A lire aussi sur le site

L’Europe, un leader mondial de l’IA

A l'occasion du sommet pour l’Action sur l'IA à Paris, l'Europe entend devenir un leader mondial de l’intelligence artificielle et met l’accent sur la confiance, la gouvernance et l’accès équitable. Etape clé pour l’avenir de l’IA éthique !

La Revue du Décideur IT

Le Cyber Show Paris 2025 – le rendez-vous cyber incontournable de la rentrée

Le Cyber Show Paris se déroulera les 29 et 30 janvier à l’espace Champerret (Paris) et ambitionne de devenir l’événement incontournable de toutes les entreprises et collectivités en quête d’informations et de solutions concrètes répondant à leurs défis de cybersécurité. Après une 1ère édition réussie qui a rassemblé en 2024 plus de 120 exposants, le Cyber Show Paris sera le 1er salon cyber d’envergure de l’année 2025 !