Segmentation avancee : VLANs et microsegmentation — Sensibilisation Essentielle

Objectifs d'apprentissage

Concevoir une architecture VLAN adaptee a une PME avec les zones de securite appropriees
Configurer des ACL inter-VLAN pour controler les flux autorises
Comprendre la microsegmentation et son implementation dans un contexte cloud/hybride

Architecture VLAN pour une PME : les zones fondamentales

Architecture VLAN minimale recommandee pour une PME : VLAN Employes (postes utilisateurs standards), VLAN Serveurs (serveurs fichiers, AD, ERP), VLAN Administration (acces IT, consoles de gestion), VLAN Invites (Wi-Fi visiteurs, isolation complete), VLAN IoT (imprimantes, cameras, capteurs), VLAN DMZ (serveurs web, VPN concentrateur). Chaque VLAN est un domaine de diffusion isole avec des regles de pare-feu definissant les flux autorises entre zones.

🔔 À retenir : Le VLAN Administration doit etre le plus isole : acces uniquement depuis des postes d'administration dedies ou par jump server. Les admins ne doivent pas naviguer sur Internet depuis leurs postes d'administration.

ACL inter-VLAN : definir les flux autorises

Les ACL (Access Control Lists) definissent quels flux sont autorises entre les VLANs. Principe du moindre privilege : tout est bloque par defaut, seuls les flux explicitement necessaires sont autorises. Exemples : VLAN Employes peut acceder au VLAN Serveurs sur les ports 445 (SMB/fichiers), 443 (HTTPS), 3389 (RDP avec MFA) ; VLAN IoT ne peut acceder a aucun autre VLAN, seulement Internet sur les ports specifiques de mise a jour.

⚠ Attention : Une regle 'permit any any' (ou equivalent) entre VLANs annule tout le benefice de la segmentation. Les regles de pare-feu inter-VLAN doivent etre auditees regulierement pour verifier qu'elles correspondent aux besoins reels.

Microsegmentation dans les environnements cloud et hybrides

Dans les environnements cloud (AWS VPC, Azure VNet, GCP VPC), la microsegmentation utilise des groupes de securite (Security Groups) et des ACL reseau pour isoler chaque workload individuellement. L'approche Zero Trust Network Access (ZTNA) va encore plus loin : chaque flux est authentifie et autorise en temps reel, independamment du reseau. Des solutions comme Zscaler Private Access ou Cloudflare Access permettent d'implementer ZTNA sans VPN traditionnel.

Checklist pratique

L'architecture reseau inclut au minimum : VLAN Employes, VLAN Serveurs, VLAN Invites, VLAN IoT

Les ACL inter-VLAN suivent le principe du moindre privilege (tout bloque par defaut)

Le VLAN Administration est accessible uniquement depuis des postes dedies ou un jump server

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

VLAN minimum PME : Employes, Serveurs, Invites, IoT, Administration — chacun isole par defaut
ACL inter-VLAN : tout bloque par defaut, flux autorises explicitement documentés
VLAN Administration = le plus isole : acces depuis jump server uniquement
ZTNA remplace le VPN traditionnel : acces par application, pas par reseau — plus granulaire et securise