Segmentation Reseau et Micro-segmentation¶
Strategie¶
La segmentation reseau est au coeur de la strategie Zero Trust. L'architecture implementee propose une approche multi-niveau :
- Macro-segmentation : au niveau des zones de securite via les VDOM FortiGate
- Micro-segmentation granulaire : au sein de chaque zone pour isoler les projets, applications et environnements
Cette approche permet de limiter drastiquement la propagation laterale en cas de compromission d'un systeme.
Le principe fondamental est le "deny by default" : tout trafic est bloque par defaut, seuls les flux explicitement autorises et documentes dans la matrice de flux sont ouverts. Chaque ouverture de flux fait l'objet d'une demande formelle, d'une analyse de risque et d'une validation par le RSSI projet avant implementation.
Micro-segmentation zone APPLI (applications metier)¶
| VLAN | Subnet | Application | Composants |
|---|---|---|---|
| VLAN 121 | 10.0.121.0/25 | ERP / SAP | App servers S4HANA, BDD HANA, gateway |
| VLAN 122 | 10.0.122.0/25 | SIRH / Paie | Frontend, backend Java, BDD PostgreSQL |
| VLAN 123 | 10.0.123.0/25 | Comptabilite / Finance | App comptable, reporting, archives |
| VLAN 124 | 10.0.124.0/25 | GED / ECM | Alfresco, indexation, stockage Ceph |
| VLAN 125 | 10.0.125.0/25 | CRM / Commercial | Frontend, backend, analytics clients |
| VLAN 126 | 10.0.126.0/25 | BI / Reporting | ETL Talend, datawarehouse, Tableau |
| VLAN 127 | 10.0.127.0/25 | Collaboration / Intranet | Portail SharePoint, wiki, workflows |
| VLAN 128 | 10.0.128.0/25 | Applications legacy | Maintenance, migration progressive |
Micro-segmentation zone INFRA (services d'infrastructure)¶
| VLAN | Subnet | Services heberges |
|---|---|---|
| VLAN 111 | 10.0.111.0/26 | DNS internes (FreeIPA, AD DNS), NTP, PKI interne |
| VLAN 112 | 10.0.112.0/26 | Annuaires : FreeIPA masters/replicas, AD Domain Controllers |
| VLAN 114 | 10.0.114.0/26 | Automatisation : Ansible AWX, GitLab CE, runners CI |
| VLAN 115 | 10.0.115.0/26 | Supervision : Zabbix server, Grafana, alerting |
| VLAN 116 | 10.0.116.0/26 | Backup : Veeam servers, proxies, repositories |
| VLAN 117 | 10.0.117.0/26 | Nexus Repository : miroirs Rocky, Debian, packages internes |
Regles de communication inter-segments¶
| Source | Destination | Ports/Services | Action |
|---|---|---|---|
| USER | PRODUCTION (tous) | 443 (HTTPS) | Autoriser + inspection SSL |
| PROD vlan-X | PROD vlan-Y | Bloque | Deny (isolation inter-projets) |
| ADMIN | Toutes zones | 22, 443, 3389 | Autoriser (via bastion Guacamole) |
| Toutes zones | INFRA 111 | 53, 123, 389 | Autoriser DNS/NTP/LDAP |
| Toutes zones | SOC | 514, 1514 | Autoriser (syslog) |