Access Point est un dispositif de sécurité de couche 7 qui est normalement installé dans une zone démilitarisée (DMZ). Access Point est utilisé pour s'assurer que le trafic entrant dans le centre de données d'entreprise est effectué uniquement pour le compte d'un utilisateur distant à authentification élevée.
Un des paramètres de configuration pour Access Point est le nombre de cartes réseau à utiliser. Lorsque vous déployez Access Point, vous sélectionnez une configuration de déploiement pour votre réseau. Vous pouvez spécifier un, deux ou trois paramètres de carte réseau, appelés onenic, twonic ou threenic.
La réduction du nombre de ports ouverts sur chaque LAN virtuel et la séparation des différents types de trafic réseau peuvent considérablement améliorer la sécurité. Les avantages concernent principalement la séparation et l'isolation des différents types de trafic réseau dans le cadre d'une stratégie de conception de sécurité DMZ en profondeur. Pour ce faire, vous pouvez implémenter des commutateurs physiques séparés au sein de la DMZ, employer plusieurs LAN virtuels au sein de la DMZ ou procéder via une DMZ complète gérée par VMware NSX.
Déploiement DMZ typique avec une carte réseau unique
Le déploiement le plus simple d'Access Point s'effectue avec une carte réseau unique sur laquelle l'ensemble du trafic réseau est combiné sur un réseau unique. Le trafic provenant du pare-feu Internet est redirigé vers l'un des dispositifs Access Point disponibles. Access Point achemine ensuite le trafic autorisé via le pare-feu interne vers les ressources sur le réseau interne. Access Point rejette le trafic non autorisé.
Séparation du trafic utilisateur non authentifié du réseau principal et du trafic de gestion
Une amélioration par rapport au déploiement d'une carte réseau unique consiste à spécifier deux cartes réseau. La première est toujours utilisée pour les accès non authentifiés provenant d'Internet, mais le trafic authentifié du réseau principal et le trafic de gestion sont séparés sur un réseau différent.
Dans un déploiement à deux cartes réseau, le trafic en direction du réseau interne transitant par le pare-feu interne doit être autorisé par Access Point. Le trafic non autorisé ne se trouve pas sur ce réseau principal. Le trafic de gestion tel que REST API pour Access Point se trouve uniquement sur ce second réseau.
Si un périphérique sur le réseau frontal non authentifié a été compromis, comme l'équilibrage de charge, il n'est pas possible de reconfigurer ce périphérique pour contourner Access Point dans ce déploiement à deux cartes réseau. Il associe des règles de pare-feu de couche 4 à une sécurité Access Point de couche 7. De la même façon, si le pare-feu Internet n'a pas été correctement configuré pour autoriser le port TCP 9443, cela n'expose toujours pas la REST API de gestion d'Access Point pour les utilisateurs Internet. Un principe de défense en profondeur fait appel à plusieurs niveaux de protection, comme le fait de savoir qu'une simple erreur de configuration ou attaque du système n'entraîne pas nécessairement une vulnérabilité générale.
Dans un déploiement à deux cartes réseau, il est courant d'introduire des systèmes d'infrastructure supplémentaires, tels que des serveurs DNS, des serveurs RSA SecurID Authentication Manager sur le réseau principal au sein de la DMZ de façon que ces serveurs ne soient pas visibles sur le réseau Internet. L'introduction de systèmes d'infrastructure au sein de la DMZ protège contre les attaques de couche 2 à partir du LAN Internet en cas de compromission du système frontal et limite efficacement la surface d'attaque générale.
La plupart du trafic réseau Access Point concerne les protocoles d'affichage pour Blast et PCoIP. Avec une carte réseau unique, le trafic des protocoles d'affichage en direction et en provenance d'Internet est combiné au trafic en direction et en provenance des systèmes principaux. Lorsque deux ou plusieurs cartes réseau sont utilisées, le trafic est réparti sur l'ensemble des cartes réseaux et des réseaux frontaux et principaux. Cela limite le risque de goulots d'étranglement inhérent à une carte réseau unique et apporte des avantages en matière de performances.
Access Point prend en charge une séparation supplémentaire en autorisant également la séparation du trafic de gestion sur un LAN de gestion spécifique. Le trafic de gestion HTTPS sur le port 9443 est alors uniquement possible à partir du LAN de gestion.