Segmentation et ACL

La segmentation réseau divise une infrastructure en zones isolées. Associée aux ACL, elle limite la propagation d'une attaque et contrôle précisément les accès.

Segmentation

Segmenter consiste à séparer le réseau en sous-réseaux ou VLAN.

Réseau entreprise
       │
 ┌─────┼─────┐
 │     │     │
RH  Finance  IT

Chaque segment possède ses propres règles de communication.

VLAN

Un VLAN sépare logiquement les réseaux, mais il doit être accompagné de règles de filtrage pour contrôler les échanges.

ACL

Une ACL, ou Access Control List, autorise ou bloque certains flux selon :

• IP source
• IP destination
• protocole
• port
• sens du trafic

Exemple :

Source : VLAN IT
Destination : Serveur
Port : 22 (SSH)
Action : Autoriser

Bloquer le reste :

Action : Refuser

ACL standard et étendue

Les ACL étendues offrent un contrôle plus précis.

Moindre privilège

Le principe du moindre privilège consiste à donner uniquement les accès nécessaires.

Comptable
   ↓
Accès au logiciel comptable

Pas d'accès aux serveurs
Pas d'accès à l'administration réseau

Bonnes pratiques

• segmenter par usage et sensibilité
• isoler les réseaux invités
• limiter les flux entre VLAN
• documenter les règles
• revoir régulièrement les règles obsolètes
• activer MFA sur les accès sensibles

Matrice de flux

Une segmentation sérieuse s'appuie sur une matrice de flux.

Cette matrice évite les règles improvisées et facilite les revues.

Tests à réaliser

• vérifier qu'un invité ne joint pas les serveurs
• vérifier que l'administration est restreinte
• tester les refus attendus
• tester les flux métier nécessaires
• vérifier les logs de refus
• revoir les règles temporaires