Mise en place DMZ ou WAF

ThomasP32 2021-02-19 15:55:39 UTC #1

Bonjour,

Nous avons mis en place un serveur Public CLoud B2-7 avec une application pour un client grand compte.
Celui-ci nous demande de renforcer (ou confirmer) la sécurité de notre serveur et son application web avec soit :
- un WAF externe au serveur (un Firewall classique avec filtre applicatif ?)
- la mise en place d'une DMZ

Je ne trouve pas de documentation sur les Public Cloud pour mettre ceci en place chez OVH. Pouvez-vous me renseigner et me dire quelles sont mes options ?

Merci pour l'aide que vous pourrez m'apporter. Dites-moi si vous avez besoin de plus d'information.

Sich 2021-02-19 18:05:59 UTC #2

La DMZ c'est quoi l'intérêt ? Le client sait il au moins de quoi il parle ?
L'intérêt d'une DMZ c'est d'isoler un serveur sur un rzo à part de son LAN d'entreprise par exemple... Il voudrait quoi ? Que le cloud ne soit accessible que via VRACK avec un autre serveur en front qui ferait reverse proxy ? en dehors du fait que ça ne changerait rien niveau sécurité ça implique de rajouter une couche...

Pour le WAF ne vous embêtez pas, souscrivez une offre pro chez cloudflare, ils font ça très bien et à des prix abordables...
Configurez le parefeu via openstack pour n'autoriser que les IP CF vers votre serveur web et passer par cloudflare pour accéder aux sites.

ThomasP32 2021-02-19 21:10:33 UTC #3

Oui je suis également dubitatif pour la DMZ.
Merci beaucoup de m'orienter vers CloudFlare pour le WAF, c'est une très bonne suggestion.
Pour n'autoriser que les IP CF, je peux sans doute le faire également via le Firewall Network ? (https://docs.ovh.com/fr/dedicated/firewall-network/)

janus57 2021-02-19 21:12:17 UTC #4

Bonjour,

non car les serveurs qui sont dans le réseau OVH ne passe pas par le "Firewall Network" il est en bordure de réseau OVH.

Cordialement, janus57

ThomasP32 2021-02-19 21:46:38 UTC #5

Merci @janus57
Je suis novice avec OpenStack, je pourrai configurer mon filtrage IP avec l'interface Horizon ?

Sich 2021-02-20 11:55:36 UTC #6

Le problème c'est que le firewall network ne permet que 20 rules, ne permets pas d'ajouter un subnet...
Alors que celui configurable sur openstack est au + près de la VM (sur l'host je présume) et est + souple.

ThomasP32 2021-02-20 17:03:16 UTC #7

Merci @Sich pour la précision.
Est-ce que ça veut dire que le Firewall Network pourrait tout de même fonctionner et me suffire si je n'ai qu'une règle simple ? (par exemple autoriser une IP sur le port 80 et bloquer toutes les autres)

Sich 2021-02-20 17:31:08 UTC #8

oui bien entendu. Mais attention, ce parefeu s'applique aux bordures du rzo OVH.
Il ne protège pas des "attaques" internes à OVH.
Un parefeu local complémentaire est indispensable.

ThomasP32 2021-02-20 17:48:47 UTC #9

Ah je comprends ! Merci beaucoup pour ces infos.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.