En tant que Responsable de la Sécurité des Systèmes d’Information (RSSI), vous évaluez l’architecture de sécurité d’un nouveau Datacenter entièrement virtualisé. L’environnement héberge des applications critiques et est segmenté logiquement en utilisant des VLANs traditionnels (Virtual Local Area Networks). Une analyse récente des risques a révélé que la menace la plus probable provient de mouvements latéraux (trafic Est-Ouest) entre les systèmes internes, après une compromission initiale d’un hôte. Le modèle de sécurité actuel repose largement sur un firewall périmétrique centralisé (optimisé pour le trafic Nord-Sud), ce qui laisse le trafic interne largement non inspecté.
Quelle stratégie de conception devez-vous privilégier pour améliorer de manière proactive le contrôle de sécurité du trafic Est-Ouest à l’échelle, tout en intégrant des principes de Zero Trust?
[A] Déployer une architecture de type Screened Subnet avec des bastion hosts dans une DMZ renforcée pour filtrer plus précisément tout le trafic entrant (Ingress) et sortant (Egress).
[B] Utiliser des solutions de Network Access Control (NAC) basées sur la norme IEEE 802.1X, opérant à la couche 2, afin de s’assurer que seuls les dispositifs authentifiés puissent communiquer au sein de chaque VLAN.
[C] Mettre en place des tunnels VPN basés sur IPSec en mode Transport pour chiffrer la charge utile (payload) de toutes les communications sensibles entre les machines virtuelles.
[D] Implémenter la micro-segmentation en utilisant des network overlays (tels que des VXLANs) et des distributed firewalls afin d’appliquer un contrôle d’accès granulaire.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
