Comment APISIX comble-t-il le fossé entre la DMZ et les réseaux internes ?

January 28, 2024

Technology

La DMZ, ou Zone Démilitarisée, sert de zone réseau sécurisée stratégiquement positionnée entre les réseaux internes et externes (généralement Internet). Elle agit comme une protection pour héberger des services ou des ressources qui ne sont pas entièrement fiables, renforçant ainsi la sécurité globale du réseau. Son objectif principal est de séparer la communication entre le réseau interne, qui contient souvent des données et des ressources sensibles, et le réseau externe. Simultanément, elle accueille des services ou des applications nécessitant une interaction avec le réseau externe.

Dans la DMZ, on peut déployer des serveurs publics (par exemple, des serveurs web, des serveurs de messagerie, des serveurs DNS) ou des serveurs proxy. Ces serveurs communiquent avec le réseau externe mais n'ont pas besoin d'un accès direct aux ressources du réseau interne. Placer ces services publics dans la DMZ réduit efficacement les risques pour le réseau interne. Même si des attaquants parviennent à pénétrer la DMZ, ils rencontrent des obstacles supplémentaires pour accéder aux données sensibles du réseau interne.

Pour faciliter un accès sécurisé entre la DMZ et le réseau interne, APISIX peut être utilisé pour gérer facilement les appels d'API. Deux scénarios d'application (dans les secteurs de la fabrication et de la finance) seront présentés ci-dessous.

Scénario Un : Un Fabricant de Téléphones Portables

DMZ : Ouverte au réseau externe ;

Zone Générale : Complètement isolée du réseau externe, ne pouvant ni accéder ni être accessible par le réseau externe.

Le système de passerelle existant n'est pas une simple passerelle de trafic nord-sud ; il intègre à la fois le trafic nord-sud et est-ouest.

Les demandes de trafic se manifestent principalement dans les quatre scénarios suivants :

  • Classique Nord-Sud : Le trafic du réseau externe traverse la passerelle de la DMZ, puis est acheminé vers la passerelle de la Zone Générale dans le domaine local, pour finalement atteindre les services backend.

  • Transfert Inter-domaine : Le trafic du réseau externe traverse la passerelle de la DMZ, réalisant que le service backend est situé en dehors du domaine local. Il traverse le réseau principal interne pour atteindre la passerelle de la Zone Générale dans le domaine du backend avant de finalement atteindre le service backend.

  • Est-Ouest : Une application backend (Région A) appelle une interface d'une autre application (Région B) (représentée ici comme un scénario d'invocation inter-domaine). Après avoir traversé la passerelle dans la Zone Générale de l'application (Région A), elle est transférée vers la passerelle dans la Zone Générale de l'application (Région B) avant d'atteindre l'application correspondante.

  • Appel de Services Réseau Externe : Les services backend nécessitent un accès à des services tiers (Taobao, JD, SF Express, etc.). Après avoir traversé la passerelle de la Zone Générale locale, la demande est transférée vers la passerelle de la DMZ puis dirigée vers le service tiers.

DMZ_1_ENG

Scénario Deux : Une Entreprise Financière

DMZ_2_ENG

DMZ Réseau Externe de Production : Ouverte au réseau externe ;

Réseau Interne de Production : Complètement isolé du réseau externe, et tout le trafic doit passer par la passerelle pour être géré.

Les principaux objectifs du client avec APISIX tournent autour des aspects clés suivants :

Besoins de Supervision : Pour se conformer aux normes réglementaires, le client cherche à enregistrer et auditer de manière approfondie tous les appels de microservices lors de l'accès aux services internes via le réseau externe.

Gestion Robuste des Services : Assurer une authentification stricte et mettre en œuvre des mesures de limitation de trafic pour chaque module de microservice est un aspect crucial des exigences de gestion des services du client.

Croissance Commerciale : Le client vise à résoudre les défis liés à l'expansion commerciale, en particulier en répondant au besoin de communication inter-microservices entre différents domaines commerciaux ou équipes.

Gestion Holistique : À mesure que le nombre de microservices augmente, le client reconnaît la nécessité de gérer l'impact significatif de la complexité croissante des chaînes d'appels sur la stabilité globale de l'entreprise.

Perspectives Futures : Envisageant la transformation cloud des applications, le client souligne le rôle central d'une passerelle de service dans le processus de cloudification des applications.

Résumé

En résumé, la DMZ joue un rôle central dans la sécurité des réseaux, agissant comme une barrière entre les réseaux internes et externes. Sa fonction est de protéger les données et ressources sensibles tout en facilitant les interactions externes essentielles. L'utilisation de systèmes de passerelle modernes et d'outils de gestion d'API améliore la gestion et la sécurité efficaces du trafic réseau, répondant aux besoins de sécurité et de conformité réglementaire dans divers secteurs. Que ce soit pour un fabricant de téléphones portables ou une institution financière, l'utilisation de ces technologies garantit la sécurité du réseau et la stabilité opérationnelle, tout en répondant aux exigences du développement futur.

Pour en savoir plus sur les solutions de gestion d'API, vous pouvez contacter API7.ai.

Tags:
APISIX Basics
DMZ