Mise en place DMZ ou WAF
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Question

Mise en place DMZ ou WAF

Par
ThomasP32
Créé le 2021-02-19 15:55:39 (edited on 2024-09-04 12:31:42) dans Public Cloud OVHcloud

Bonjour,

Nous avons mis en place un serveur Public CLoud B2-7 avec une application pour un client grand compte.
Celui-ci nous demande de renforcer (ou confirmer) la sécurité de notre serveur et son application web avec soit :
- un WAF externe au serveur (un Firewall classique avec filtre applicatif ?)
- la mise en place d'une DMZ

Je ne trouve pas de documentation sur les Public Cloud pour mettre ceci en place chez OVH. Pouvez-vous me renseigner et me dire quelles sont mes options ?

Merci pour l'aide que vous pourrez m'apporter. Dites-moi si vous avez besoin de plus d'information.


4 réponses ( Latest reply on 2021-02-20 17:48:47 Par
ThomasP32
)

La DMZ c'est quoi l'intérêt ? Le client sait il au moins de quoi il parle ?
L'intérêt d'une DMZ c'est d'isoler un serveur sur un rzo à part de son LAN d'entreprise par exemple... Il voudrait quoi ? Que le cloud ne soit accessible que via VRACK avec un autre serveur en front qui ferait reverse proxy ? en dehors du fait que ça ne changerait rien niveau sécurité ça implique de rajouter une couche...

Pour le WAF ne vous embêtez pas, souscrivez une offre pro chez cloudflare, ils font ça très bien et à des prix abordables...
Configurez le parefeu via openstack pour n'autoriser que les IP CF vers votre serveur web et passer par cloudflare pour accéder aux sites.

Oui je suis également dubitatif pour la DMZ.
Merci beaucoup de m'orienter vers CloudFlare pour le WAF, c'est une très bonne suggestion.
Pour n'autoriser que les IP CF, je peux sans doute le faire également via le Firewall Network ? (https://docs.ovh.com/fr/dedicated/firewall-network/)

Bonjour,


Pour n'autoriser que les IP CF, je peux sans doute le faire également via le Firewall Network ?

non car les serveurs qui sont dans le réseau OVH ne passe pas par le "Firewall Network" il est en bordure de réseau OVH.

Cordialement, janus57

Merci @janus57
Je suis novice avec OpenStack, je pourrai configurer mon filtrage IP avec l'interface Horizon ?

Le problème c'est que le firewall network ne permet que 20 rules, ne permets pas d'ajouter un subnet...
Alors que celui configurable sur openstack est au + près de la VM (sur l'host je présume) et est + souple.

Merci @Sich pour la précision.
Est-ce que ça veut dire que le Firewall Network pourrait tout de même fonctionner et me suffire si je n'ai qu'une règle simple ? (par exemple autoriser une IP sur le port 80 et bloquer toutes les autres)

oui bien entendu. Mais attention, ce parefeu s'applique aux bordures du rzo OVH.
Il ne protège pas des "attaques" internes à OVH.
Un parefeu local complémentaire est indispensable.

Ah je comprends ! Merci beaucoup pour ces infos.