Schémas réseaux du projet - a-kalin0/Admin-Projet-CAA GitHub Wiki

Schéma Woodytoys

image

  • Auteurs : Arthur Kalinowska et Anthony Iv

Explication et justification

Pour le schéma réseau de Woodytoys, nous sommes partis sur les choix suivants :

  • DMZ_1 : Cette zone contient les serveurs mail, web et le résolveur. Elle est accessible depuis l'extérieur de l'entreprise étant donné que c'est une zone publique.
  • DMZ_2 : Cette zone contient la base de données de l'entreprise Woodytoys. Elle est située en dehors de la DMZ_1 pour des raisons de sécurité et pour ainsi éviter des attaques qui pourraient permettre à des personnes malveillantes de récupérer des données sensibles sur les clients de Woodytoys.
  • Intranet : Cette zone contient le serveur web interne et le SOA. Une autre raison du fait qu'on a pas mit la base de données dans la zone intranet et que si la basse de données crash cela affectera pas les autres serveurs.
  • LAN : C'est un réseau local composé de 6 sous-réseaux (30 adresses ip disponibles dans chaque sous-réseau).
  • Firewalls :
    • Le premier pare-feu sert à isoler Internet et la DMZ_1 et ainsi filtrer le trafic externe pour éviter des attaques par Internet.
    • Le second pare-feu permet d'isoler l'intranet et le LAN. Il permet aussi de protéger la DB. C'est un ajout de sécurité non négligeable.

Schéma Infrastructure Cloud et Conteneurisation

image

  • Auteurs des deux schémas : Arthur Kalinowska et Anthony Iv.

Explication et justification

Nous avons réparti les différents services en fonction de leur emplacement dans la zone. Par conséquent, les services situés dans l'intranet partageront le même réseau et les services situés dans la DMZ en feront de même. Cependant, malgré cette disposition logique, nous avons décidé d'isoler la base de données dans une DMZ distincte pour plus de sécurité.

Un volume a été place dans la même zone que la base de données. Ce volume est utilisé pour stocker les fichiers de données ainsi que les fichiers journaux, lesquels permettent de conserver les informations de façon permanente tout en préservant la cohérence et l'intégrité des données en cas de dysfonctionnement ou d'erreur système.

Un autre volume a aussi été placé en DMZ au niveau du serveur mail au cas où si celui-ci crashe, on ne perde pas les données liées au serveur car stockées dans le volume.

Enfin, les applications qui s'exécutent dans les conteneurs doit être accessibles depuis l'extérieur afin de leur permettre de communiquer avec d'autres applications et services, il est donc nécessaire d'exposer les ports de ces conteneurs. Toutefois, cette démarche doit être sécurisée, en limitant l'accès aux ports exposés uniquement aux utilisateurs autorisés. Les ports exposés sur Internet seront ceux du serveur web et du serveur mail.