Sécurité réseau¶
Segmentation, micro-segmentation, WAF, IDS/IPS et gestion des certificats TLS.
Architecture réseau segmentee¶
La segmentation réseau divise l'infrastructure en zones d'accès distinct. Une compromission dans une zone ne doit pas permettre un accès direct aux autres zones.
graph TB
Internet["Internet"] --> DMZ
subgraph DMZ["Zone DMZ"]
LB["Load Balancer"]
WAF["WAF"]
end
DMZ --> INT
subgraph INT["Zone interne"]
APP["Serveurs applicatifs"]
DB["Bases de donnees"]
end
INT --> MGMT
subgraph MGMT["Zone management"]
BASTION["Bastion SSH"]
MON["Monitoring"]
VAULT["Vault / secrets"]
endLe réseau interne n'est pas un réseau de confiance
Le modèle "périmètre sécurisé" est obsolète. Un attaquant qui franchit le firewall externe se retrouve dans un réseau interne souvent plat, sans contrôle lateral. La segmentation interne est aussi importante que la protection périmètre.
Segmentation et contrôle des flux¶
VLANs et sous-réseaux¶
La segmentation L2/L3 isole les zones au niveau infrastructure :
- VLANs : isolation au niveau du switch, tags 802.1Q
- Sous-réseaux distincts : routage contrôle entre zones via ACL ou firewall
- Security groups (cloud) : règles stateful par instance ou groupe d'instances
Règles de segmentation¶
| Zone source | Zone destination | Accès autorise |
|---|---|---|
| Internet | DMZ | 80/443 vers LB/WAF uniquement |
| DMZ | Interne | 8080/443 vers applicatifs uniquement |
| Applicatifs | Bases de données | Port DB depuis app uniquement |
| Management | Toutes zones | SSH/WinRM depuis bastion uniquement |
| Toutes zones | Management | Interdits (sauf monitoring push) |
Micro-segmentation¶
La micro-segmentation etend la logique de segmentation jusqu'au niveau des workloads individuels.
Network Policies Kubernetes¶
Les NetworkPolicy Kubernetes permettent de définir des règles ingress/egress au niveau des pods :
- Restreindre les communications inter-namespaces
- Limiter un pod a ne parler qu'aux services dont il a besoin
- Bloquer tout trafic egress vers Internet depuis les pods backend
Les NetworkPolicy necessitent un CNI compatible : Calico, Cilium, Weave (Flannel ne les supporte pas).
Service mesh¶
Un service mesh (Istio, Linkerd, Cilium) apporte la micro-segmentation avec mTLS automatique entre services :
- Chaque service dispose d'une identité cryptographique (SPIFFE/SPIRE)
- Les communications sont chiffrees et authentifiees par défaut
- Les politiques d'autorisation sont gérées centralement
WAF¶
Un Web Application Firewall filtre le trafic HTTP/HTTPS et protégé contre les attaques applicatives (injection SQL, XSS, CSRF, OWASP Top 10).
| Solution | Type | Usage recommande |
|---|---|---|
| ModSecurity | Open source, inline | Auto-hebergement, nginx/Apache |
| Coraza | Open source, inline | Alternative moderne a ModSecurity |
| AWS WAF | Cloud managed | Workloads AWS (ALB, CloudFront) |
| Cloudflare WAF | CDN + WAF | Protection périmètre externe |
| Azure Application Gateway WAF | Cloud managed | Workloads Azure |
En mode détection (log sans bloquer), un WAF permet d'apprendre le trafic legitime avant de passer en mode prevention. Ne pas sauter l'étape détection : un WAF mal configuré bloque du trafic legitime.
IDS / IPS¶
| Caractéristique | IDS | IPS |
|---|---|---|
| Mode | Détection uniquement | Détection + blocage actif |
| Position réseau | Passif (copie du trafic) | Inline (dans le flux) |
| Impact si défaillance | Aucun impact sur le trafic | Risque de coupure |
| Usage recommande | Audit, conformité, investigation | Protection active en production |
Outils¶
| Outil | Type | Notes |
|---|---|---|
| Suricata | IDS/IPS open source | Haute performance, règles Emerging Threats |
| Snort | IDS/IPS open source | Référence historique, large base de règles |
| AWS GuardDuty | Cloud-native IDS | Détection ML sur logs VPC, CloudTrail, DNS |
| Wazuh | HIDS + SIEM | Agent sur les hôtes, correlation de logs |
TLS everywhere¶
Chiffrement du trafic interne¶
Le trafic entre services internes doit être chiffre, même dans un réseau considéré comme "prive" :
- mTLS via service mesh : automatique, sans modification applicative
- Certificats internes : PKI interne avec rotation automatique (Vault PKI, step-ca)
- HTTPS entre composants : même pour les flux internes (Redis, base de données si supporte)
Gestion des certificats¶
| Outil | Usage | Notes |
|---|---|---|
| cert-manager | Kubernetes, Let's Encrypt | Référence pour les certs K8s |
| Let's Encrypt / ACME | Certificats publics gratuits | Renouvellement automatique |
| Vault PKI | PKI interne, mTLS | Certificats a courte durée de vie |
| AWS ACM | Certificats manages AWS | Intégration native ALB/CloudFront |
Bonnes pratiques TLS¶
- Désactiver TLS 1.0 et 1.1 — utiliser TLS 1.2 minimum, TLS 1.3 recommande
- Configurer des cipher suites robustes (éviter RC4, DES, export ciphers)
- HSTS (HTTP Strict Transport Security) sur tous les endpoints publics
- Rotation des certificats avant expiration — automatiser avec cert-manager ou ACME
- Surveiller les dates d'expiration (alertes 30j, 7j avant expiration)