Contrairement aux environnements cloud, les réseaux sur site sont contraints par l'infrastructure physique, les systèmes hérités et les exigences de disponibilité. Les choix de topologie tendent donc à persister pendant des années et doivent être faits avec soin.
Pourquoi la topologie réseau est importante sur site
Les réseaux sur site prennent généralement en charge :
- Des applications critiques pour l'activité
- Des systèmes de production
- Des serveurs et équipements hérités
- Des actifs IT, OT et IoT mixtes
Les modifications de topologie dans ces environnements sont :
- Risquées à déployer
- Difficiles à annuler
- Souvent évitées une fois les systèmes en production
Les solutions de sécurité et de contrôle d'accès doivent donc s'adapter à la topologie existante, et non imposer une refonte.
Topologies réseau sur site courantes
| Topologie | Modèle de confiance | Trafic en ligne ? | Risque de déploiement | Utilisation typique |
|---|---|---|---|---|
| Réseau plat | Confiance implicite partout | Oui | Faible (déjà en prod) | PME, centres de données hérités |
| Segmenté (VLAN) | Par zone, basé sur l'IP | Oui | Moyen | Réseaux IT matures |
| Application en ligne | Centralisé via appliance | Oui | Élevé | Centres de données |
| Lollipop | Piloté par politique, fail-open | Non (adjacent) | Faible | OT, hérité, Zero Trust |
| Basé sur un overlay | Piloté par identité, proxié | Non (overlay seul) | Faible | Zero Trust sur site |
Réseau plat
Tous les systèmes partagent le même réseau logique et peuvent communiquer directement.
Caractéristiques
- Simple et peu coûteux
- Routage et segmentation minimaux
Limitations
- Confiance implicite entre tous les systèmes
- Déplacement latéral facilité
- Visibilité et auditabilité faibles
- Courant dans les déploiements anciens
Encore très répandu dans les PME, les centres de données hérités et les sites industriels.
Réseau segmenté (basé sur les VLAN / sous-réseaux)
Les réseaux sont divisés en zones à l'aide de VLANs, de sous-réseaux et de règles de pare-feu.
Caractéristiques
- Réduit le rayon d'impact
- Séparation claire entre les groupes de systèmes
Limitations
- Statique et basé sur l'IP
- Complexe à concevoir et à maintenir
- Les modifications comportent un risque opérationnel
- N'exprime pas le contexte utilisateur ou d'identité
La segmentation améliore l'hygiène, mais n'améliore pas la visibilité, le contrôle d'accès, le chiffrement ou la journalisation.
Topologie d'application en ligne
Le trafic est forcé à transiter par des pare-feux en ligne ou des appliances de sécurité.
Caractéristiques
- Contrôle centralisé
- Point d'inspection clairement défini
Limitations
- Point de défaillance unique
- Contraintes de débit
- Risque opérationnel élevé
- Difficile à déployer en toute sécurité en production
Courant dans les centres de données, souvent évité dans les environnements soumis à des exigences strictes de disponibilité.
Topologie Lollipop
Dans une topologie Lollipop, l'appliance de sécurité se connecte à côté du réseau plutôt qu'en ligne avec le trafic. La topologie réseau existante reste inchangée, et l'accès est redirigé de manière logique plutôt que physique.
Caractéristiques
- L'appliance n'est pas dans le chemin physique du trafic
- Les routes, VLANs et adressages IP existants restent intacts
- Le trafic est orienté via DNS et routage lorsque la protection est requise
- Fail-open par conception : le réseau continue de fonctionner si l'appliance est hors ligne
Avantages
- Aucun point de défaillance unique pour le trafic de production
- Risque de déploiement minimal dans les environnements en production
- Facile à déployer, tester et retirer
- Compatible avec les systèmes hérités et les réseaux statiques
Limitations
- Nécessite une connaissance du routage et du DNS
- L'application des politiques ne concerne que les chemins d'accès protégés
- Non conçu pour l'inspection en ligne complète de tout le trafic
La topologie Lollipop permet un contrôle d'accès et une visibilité pilotés par politique sans refonte du réseau, ce qui la rend bien adaptée aux implémentations Zero Trust modernes dans les environnements sur site.
Topologie réseau basée sur un overlay
Au lieu de modifier le réseau sous-jacent, Access Gate introduit un overlay logique :
- Les systèmes conservent leurs adresses IP d'origine
- Les services protégés sont exposés via des IP d'overlay
- Le DNS et le routage orientent le trafic à travers Access Gate
- Tous les accès protégés sont proxiés et contrôlés
Cela sépare la topologie de sécurité de la topologie physique.
Comparaison des flux de trafic
Accès direct (topologie traditionnelle) : Client → Système
Accès basé sur un overlay : Client → IP overlay → Routeur → Access Gate (politique + proxy) → IP sous-jacente → Système
Le client ne se connecte jamais directement au système protégé.
Point clé
Dans les environnements sur site, la topologie réseau la plus fiable est souvent celle qui ne change pas.
Access Gate permet :
- Un accès sécurisé
- Une segmentation logique
- La visibilité et l'auditabilité
…sans refonte du réseau physique dont dépendent vos opérations.