• Une zone démilitarisée est un réseau périmétrique qui protège le réseau local interne d’une organisation contre le trafic non fiable.
  • Les sites web publics ont besoin de serveurs web accessibles, séparés des réseaux internes dans une DMZ avec des mesures de sécurité renforcées.

Cet article vous présentera la définition, les principes de fonctionnement et les avantages d'un réseau DMZ.

Qu'est-ce qu'un réseau DMZ ?

Une DMZ, également appelée zone démilitarisée, sert de réseau intermédiaire qui protège le réseau local interne d'une organisation contre le trafic non fiable, renforçant ainsi la sécurité. L'objectif principal d'un réseau DMZ est de permettre l'accès aux réseaux non fiables comme Internet tout en préservant la sécurité du LAN privé de l'organisation. En général, les services orientés vers l'extérieur et les serveurs essentiels tels que les serveurs DNS, FTP, de messagerie, proxy, VoIP et web sont hébergés dans la DMZ pour des mesures de sécurité renforcées.

Lire aussi: 3 risques de sécurité clés du cloud computing

Lire aussi: Les menaces de cybersécurité les plus pressantes

Comment ça fonctionne ?

Les entreprises qui exploitent des sites web publics pour leurs clients doivent rendre leurs serveurs web accessibles sur Internet. Pour protéger leurs réseaux d'entreprise internes, ces serveurs web sont déployés sur des ordinateurs distincts, isolés des ressources internes. La DMZ facilite la communication sécurisée entre les actifs commerciaux protégés, comme les bases de données internes, et le trafic autorisé en provenance d'Internet. Un réseau DMZ agit comme un tampon entre Internet et le réseau privé de l'organisation, sécurisé par un pare-feu ou une passerelle de sécurité similaire qui filtre le trafic entre la DMZ et le LAN.

La DMZ comprend généralement des serveurs protégés par un autre pare-feu qui filtre le trafic entrant provenant des réseaux externes.

Idéalement positionnée entre deux pare-feu, la configuration DMZ garantit que les paquets réseau entrants sont inspectés par des mesures de sécurité avant d'atteindre les serveurs hébergés dans la DMZ. Cette configuration impose une couche de défense supplémentaire: même si un attaquant franchit le pare-feu externe, il doit ensuite compromettre les services renforcés au sein de la DMZ avant d'accéder aux systèmes critiques de l'entreprise. En cas de violation où un attaquant pénètre le pare-feu externe et compromet un système de la DMZ, il doit encore franchir un pare-feu interne pour atteindre les données sensibles de l'entreprise.

Bien que des attaquants expérimentés puissent violer une DMZ sécurisée, les ressources internes qu'elle contient devraient déclencher des alertes, fournissant un avertissement précoce de toute violation en cours. Les organisations soumises à des exigences réglementaires, comme HIPAA, peuvent déployer un serveur proxy dans la DMZ. Cela simplifie la surveillance et l'enregistrement de l'activité des utilisateurs, centralise le filtrage du contenu web et garantit que les employés accèdent à Internet de manière sécurisée via des systèmes contrôlés.

Avantages de l'utilisation d'une DMZ

Le principal avantage d'une DMZ est d'offrir à un réseau interne une couche de sécurité avancée en restreignant l'accès aux données et serveurs sensibles.

  • Faciliter le contrôle d'accès: Les entreprises permettent aux utilisateurs d'accéder aux services externes via l'Internet public tout en utilisant la segmentation du réseau via la DMZ pour empêcher l'accès non autorisé au réseau privé. Une DMZ peut intégrer un serveur proxy pour centraliser le flux de trafic interne et simplifier la surveillance et la journalisation de ces activités.
  • Déjouer la reconnaissance réseau: Positionnée comme un tampon entre Internet et un réseau privé, une DMZ empêche les attaquants d'effectuer une reconnaissance pour identifier des cibles potentielles. Les serveurs de la DMZ sont exposés publiquement mais protégés par un pare-feu qui bloque la visibilité sur le réseau interne. Même si un serveur de la DMZ est compromis, un pare-feu interne isole le réseau privé de la DMZ, renforçant la sécurité et compliquant les efforts de reconnaissance externes.