Zones de confiance et segmentation réseau¶
Architecture de référence¶
Une DSI orientee développement segmente son infrastructure en zones de confiance isolées. Chaque zone a ses propres regles d'accès, de flux et de monitoring.
graph TD
INTERNET["INTERNET"]
DMZ["DMZ / WAF"]
CHAINE["CHAINE LOGICIELLE<br/>SCM<br/>CI/CD<br/>Registry<br/>Quality"]
ENTREPRISE["ENTREPRISE<br/>IAM<br/>Mail<br/>Collab<br/>VDI"]
PRODUCTION["PRODUCTION<br/>Runtime<br/>Cloud<br/>DNS<br/>Observ.<br/>Securite"]
INTERNET --> DMZ
DMZ --> CHAINE
DMZ --> ENTREPRISE
DMZ --> PRODUCTIONPrincipes de segmentation¶
Zero Trust¶
Ne jamais faire confiance implicitement a un flux, même interne. Chaque requête est :
- Authentifiee : identité verifiee (certificat mTLS, token JWT)
- Autorisee : droits verifies à chaque accès (pas de cache d'autorisation longue duree)
- Chiffree : TLS 1.3 minimum entre tous les services
- Journalisee : chaque accès est trace
Micro-segmentation¶
Chaque perimetre fonctionnel est un segment réseau isole :
| Segment | CIDR (exemple) | VLAN | Accès depuis |
|---|---|---|---|
| Chaîne logicielle | 10.10.0.0/16 | 100 | Développeurs (VPN/VDI) |
| Entreprise | 10.20.0.0/16 | 200 | Tous les collaborateurs |
| Production | 10.30.0.0/16 | 300 | Ops uniquement, via bastion |
| Management | 10.40.0.0/16 | 400 | Admins uniquement, MFA |
Flux inter-zones¶
Les flux entre zones sont interdits par defaut et ouverts explicitement :
| Source | Destination | Flux autorise | Justification |
|---|---|---|---|
| Chaîne logicielle | Production | Push d'artefacts (443/TCP) | Déploiement CI/CD |
| Chaîne logicielle | Entreprise | Aucun | Isolation stricte |
| Entreprise | Chaîne logicielle | HTTPS vers SCM (443/TCP) | Code review via navigateur |
| Entreprise | Production | Aucun (sauf bastion ops) | Separation des rôles |
| Production | Entreprise | Alertes vers mail (587/TCP) | Notifications d'incidents |
| Tous | IAM (Entreprise) | OIDC/LDAP (443/636) | Authentification centralisee |
| Tous | DNS (Production) | DNS (53/UDP+TCP) | Résolution de noms |
| Tous | Observabilité (Production) | Metriques/logs (443/TCP) | Monitoring centralise |
Environnements dans la chaîne logicielle¶
La chaîne logicielle a ses propres sous-environnements :
| Environnement | Usage | Données | Duree de vie |
|---|---|---|---|
| Dev | Développement local, sandbox | Synthetiques | Ephemere |
| CI | Build, tests automatises | Synthetiques | Minutes |
| Staging | Validation pre-production | Anonymisees | Jours |
| Production | Service reel | Reelles | Permanent |
Regle cle : les données reelles ne remontent jamais vers Dev/CI/Staging. Seules des données synthetiques ou anonymisees sont utilisees hors production.