Architectures réseaux sécurisées

FOR_1712-0003

Architectures réseaux sécurisées

Objectifs:

  • Les caractéristiques d'une architecture sécurisée et comment les prendre en compte dans le cadre d'architectures spécifiques
  • À sécuriser les architectures communément mises en oeuvre dans les entreprises
  • À évaluer la sécurité d'une architecture donnée
  • À identifier les choix structurant l'architecture de vos prochaines solutions
  • À prendre en compte la sécurité dans les choix d'architecture et connaître les points d'attention qui y sont liés

Public:

Toutes les personnes confrontées à la sécurité des architectures des systèmes d'information :

  • Architectes des réseaux, architectes applicatifs
  • Chefs de projets informatiques
  • Responsables informatique ou sécurité
  • Équipes informatique ou sécurité
  • Consultants et auditeurs techniques ou de SMSI
  • Gestionnaires de risques

Durée:

21 heures

Programme:

Introduction

  • Principes de sécurisation, éléments sensibles, objectifs de sécurité

Architecture d'administration et d'authentification

  • Protocoles d'administration et usages: RDP, WinRM, SSH, VNC

  • Authentification et autorisation centralisée : LDAP, NTLM, RADIUS, Kerberos

  • Référentiels centralisés: OpenLDAP, Active Directory

  • Délégation de l'authentification: SSH Agent, relais Kerberos

  • Authentification forte : Principes, OAuth, U2F, ActivCard

  • Authentification des administrateurs et services : Forêts, LAPS, bastions

Réseaux et segmentation

  • IPv4, IPv6

  • Composants : Concentrateur, pare-feu, diode, WDM, NIDS/NIPS, répartiteur

  • Segmentation physique : Interfaces RJ45, ports consoles, 802.1x

  • Segmentation réseau, découpage vertical : VLAN, 802.1Q, VxLAN, VRF, PVLAN

  • Routage : Statique vs. dynamique, OSPF, RIPE, BGP, BATMAN

  • Filtrage : Règles fondamentales, matrice de flux, local vs. central

  • Software-defined network

  • Relais applicatifs : Proxy, reverse proxy

Architecture générale

  • Systèmes autonomes

  • Segmentation horizontale et administration "out-of-band"

  • Positionnement des éléments de sécurité

Connexion distante

  • Connexion à distance et interconnexion multi-sites : MPLS, VPN IPSec, TLS

Postes de travail

  • Segmentation par virtualisation, VDI, BYOD vs. COPE

Architecture Windows

  • Architecture de domaines, DC et RODC, approbation et délégation

Architecture applicatives

  • Accès Internet

  • Architectures 2-tiers, 3-tiers ;

Requêtes RPC

  • Stockage : SAN, NAS, partages réseaux SMB, NFS, EDI, ETL, ERP

Architectures des fonctions d'infrastructure et de sécurité

  • DHCP et usage

  • DNS : Interne, public, journalisation, DNSSEC

  • SMTP : émission interne, réception de courriel

  • Journalisation et SIEM, Synchronisation horaire

  • Supervision

  • Mise à jour ; configuration et déploiement : GPO, Puppet, Ansible, Chef

  • Cryptographie : PKI, authentification des serveurs, CRL vs. OCSP, HSM

Continüité et haute disponibilité

  • Notion de SPOF

  • Réseau : Agrégation de liens, clusters, adresses IP virtuelles, boucles

  • Équipements simples : Répartition de charge, réplication de données

  • Sauvegarde : Push vs. pull

  • Continüité d'activité : interdépendance des composants, infrastructure de crise, architectures temporaires, reprise et bascule

Réaliser des choix d'architecture

  • Loi et réglementation : Classifié défense, PDIS, LPM et SIIV, PCI DSS

  • Cloud : IAAS / PAAS / SAAS et intégration à l'architecture existante

  • Virtualisation

  • Existant et (rétro-) compatibilité

  • Utilisation de cadriciels

Architectures spécifiques

  • Environnements de production et hors production

  • Imprimantes et scanneurs

  • Audio (VoIP) et vidéo

  • Interconnexion filiales/partenaires

  • Infrastructure virtuelle

  • Réseaux wi-fi

  • Réseaux libre-service : Wi-fi visiteur, bornes publiques

  • Architectures industrielles

  • IoT ; Appareils mobiles

  • Grid, architectures n-tiers, distribuées : Hadoop, P2P

  • Mainframes

  • Sécurité physique

  • Exploration des limites du cloisonnement


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumacademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcadémie – La nouvelle formation en ligne met la cybersécurité à la portée de tous


Pour aller plus loin

Ressources