J’ai vu beaucoup de conceptions de réseaux où les concentrateurs VPN S2S se placent en parallèle du pare-feu, avec une interface “externe” dans le segment externe de la frontière (le même segment où se trouve la port “extérieur” du pare-feu) et une interface “interne” sur le segment interne de confiance totale, comme directement relié à un commutateur de distribution relié au cœur.
De cette façon, le trafic VPN crypté circule directement entre le routeur externe et le concentrateur VPN, évitant complètement le pare-feu, et le trafic déchiffré de l’extrémité distante des tunnels est simplement déversé dans la zone de confiance directement vers le cœur.
Comme je l’ai dit, j’ai vu plusieurs de ces conceptions, tant dans la pratique que dans les textes.
La logique est que les VPN protègent la Confidentialité, l’Intégrité et authentifient les pairs. Pour cette raison, le trafic vient d’une zone de confiance vers une zone de confiance, donc aucune inspection par le pare-feu n’est nécessaire. Tout ce qui est nécessaire, c’est de restreindre le trafic vers cette “interface extérieure” du concentrateur VPN uniquement aux ports et protocoles appropriés de la suite IPSEC que vous utilisez.
Une crainte que j’ai est que cela expose potentiellement votre centre de données à du trafic malveillant, si une branche est infectée, alors ne préféreriez-vous pas terminer l’interface “interne” du concentrateur VPN dans une zone DMZ qui doit traverser le pare-feu ? Une considération de conception est comment empêcher que le trafic de branche à branche ne fasse un hairpin sur le concentrateur, mais plutôt forcer le trafic de branche à branche sortir par cette interface et passer par le pare-feu pour inspection. Même si ce trafic peut faire un hairpin sur le pare-feu, cela serait acceptable.
Une étape supplémentaire serait d’avoir un trafic “extérieur” et “intérieur” qui passe tous deux par une DMZ, ainsi que le trafic chiffré et déchiffré traversant le pare-feu. Cela serait finalement la meilleure option, pour que le concentrateur VPN ne soit pas exposé directement à Internet, ce qui en fait une vulnérabilité critique potentielle pour l’accès au réseau. Après tout, s’il est compromis, il possède une interface directement sur le segment interne de confiance, accordant un accès sans restriction.
Il est clair que cette discussion concerne l’environnement d’entreprise à locataire unique, alors que les hébergeurs cloud ont leur propre façon propriétaire de gérer les affaires.
Quelles sont vos pensées ? Comment déployez-vous cela, comment l’avez-vous vu déployé, et que diraient les auditeurs de chaque méthodologie ?