FOR_1712-0003

Architectures réseaux sécurisées

Public:

Toutes les personnes confrontées à la sécurité des architectures des systèmes d'information :

• Architectes des réseaux, architectes applicatifs
• Chefs de projets informatiques
• Responsables informatique ou sécurité
• Équipes informatique ou sécurité
• Consultants et auditeurs techniques ou de SMSI
• Gestionnaires de risques

Durée:

Programme:

Introduction

• Principes de sécurisation, éléments sensibles, objectifs de sécurité

Architecture d'administration et d'authentification

• Protocoles d'administration et usages: RDP, WinRM, SSH, VNC

• Authentification et autorisation centralisée : LDAP, NTLM, RADIUS, Kerberos

• Référentiels centralisés: OpenLDAP, Active Directory

• Délégation de l'authentification: SSH Agent, relais Kerberos

• Authentification forte : Principes, OAuth, U2F, ActivCard

• Authentification des administrateurs et services : Forêts, LAPS, bastions

Réseaux et segmentation

• IPv4, IPv6

• Composants : Concentrateur, pare-feu, diode, WDM, NIDS/NIPS, répartiteur

• Segmentation physique : Interfaces RJ45, ports consoles, 802.1x

• Segmentation réseau, découpage vertical : VLAN, 802.1Q, VxLAN, VRF, PVLAN

• Routage : Statique vs. dynamique, OSPF, RIPE, BGP, BATMAN

• Filtrage : Règles fondamentales, matrice de flux, local vs. central

• Software-defined network

• Relais applicatifs : Proxy, reverse proxy

Architecture générale

• Systèmes autonomes

• Segmentation horizontale et administration "out-of-band"

• Positionnement des éléments de sécurité

Connexion distante

• Connexion à distance et interconnexion multi-sites : MPLS, VPN IPSec, TLS

Postes de travail

• Segmentation par virtualisation, VDI, BYOD vs. COPE

Architecture Windows

• Architecture de domaines, DC et RODC, approbation et délégation

Architecture applicatives

• Accès Internet

• Architectures 2-tiers, 3-tiers ;

Requêtes RPC

• Stockage : SAN, NAS, partages réseaux SMB, NFS, EDI, ETL, ERP

Architectures des fonctions d'infrastructure et de sécurité

• DHCP et usage

• DNS : Interne, public, journalisation, DNSSEC

• SMTP : émission interne, réception de courriel

• Journalisation et SIEM, Synchronisation horaire

• Supervision

• Mise à jour ; configuration et déploiement : GPO, Puppet, Ansible, Chef

• Cryptographie : PKI, authentification des serveurs, CRL vs. OCSP, HSM

Continüité et haute disponibilité

• Notion de SPOF

• Réseau : Agrégation de liens, clusters, adresses IP virtuelles, boucles

• Équipements simples : Répartition de charge, réplication de données

• Sauvegarde : Push vs. pull

• Continüité d'activité : interdépendance des composants, infrastructure de crise, architectures temporaires, reprise et bascule

Réaliser des choix d'architecture

• Loi et réglementation : Classifié défense, PDIS, LPM et SIIV, PCI DSS

• Cloud : IAAS / PAAS / SAAS et intégration à l'architecture existante

• Virtualisation

• Existant et (rétro-) compatibilité

• Utilisation de cadriciels

Architectures spécifiques

• Environnements de production et hors production

• Imprimantes et scanneurs

• Audio (VoIP) et vidéo

• Interconnexion filiales/partenaires

• Infrastructure virtuelle

• Réseaux wi-fi

• Réseaux libre-service : Wi-fi visiteur, bornes publiques

• Architectures industrielles

• IoT ; Appareils mobiles

• Grid, architectures n-tiers, distribuées : Hadoop, P2P

• Mainframes

• Sécurité physique

• Exploration des limites du cloisonnement