Réseaux de bureau
Considérations préalables
Les réseaux de bureau sont la source de la productivité, de l’efficacité et de la sécurité des opérations d’une entreprise. Ils permettent la communication d’ordinateurs, imprimantes, serveurs entre eux et avec l’Internet. La sélection de la topologie de réseau optimale pour un environnement de bureau doit prendre en compte la taille de l’entreprise, la nature du trafic de données, les besoins d’évolutivité, les exigences de fiabilité et les contraintes budgétaires.
Les attentes en matière de performance et de fonctionnalité des réseaux sont de plus en plus élevées, en raison des avancées technologiques et de la dépendance croissante aux outils numériques. Traditionnellement, les entreprises allouent moins de budget pour les réseaux de bureau qu’à l’infrastructure de production qui gère directement les services, et souvent la même équipe est en charge des environnements de bureau et de centre de données. Cependant, face au risque de cyberattaques, de fuite de données sensibles et de respect des règles de plus en plus exigeantes, la conception et l’administration des réseaux de bureau sont désormais devenues un travail à temps complet. Le réseau de bureau moderne...
Éléments d’un réseau câblé de bureau
1. Câblage
Concernant les câbles UTP, les éléments de base idéals pour les environnements de bureau, selon le budget à disposition, peuvent être la gamme Cat5e, qui date de 2001 et supporte un débit jusqu’à 1 Gbps, ou la gamme Cat6a, qui date de 2018 et permet un débit jusqu’à 10 Gbps. Ces câbles sont capables de répondre aux exigences de la plupart des applications bureautiques traditionnelles, en respectant le débit des interfaces réseau des ordinateurs de bureau. Leur utilisation généralisée est due au coût faible et à la facilité d’installation.
Alors que les câbles Ethernet trouvent leur place dans le réseau d’accès, le câblage en fibre optique est la meilleure solution pour les scénarios qui nécessitent une transmission sur de longues distances, une largeur de bande élevée ou une immunité aux interférences électromagnétiques. Les câbles SMF sont souvent utilisés comme liaison montante entre les couches de dispositifs du réseau ou pour les connexions externes.
Les appareils Wi-Fi ont également besoin de connexions physiques robustes. Les câbles compatibles avec la PoE, qui peuvent fournir à la fois...
Topologies de réseaux câblés
Dans cette section, nous analyserons les différentes topologies pour des réseaux de bureau de toute taille.
Au niveau physique, la topologie d’un bureau est pour la plupart une version simplifiée et moins chère de celle d’un centre de données. Il faut pourtant remarquer une différence importante : si le trafic d’un réseau de centre de données est de plus en plus de type est-ouest, celui d’un bureau est plutôt de type nord-sud. Ce détail est suffisant pour justifier un design de type traditionnel.
1. Réseaux de petite taille : single-switch
Un seul commutateur constitue l’exemple le plus essentiel de topologie en étoile. Il s’agit d’une configuration simple, particulièrement adaptée aux petites entreprises et aux succursales. Elle est un moyen rentable de concevoir un petit réseau de bureau. Ce n’est pas par hasard que le principe d’un réseau de bureau basé sur un seul commutateur est le même que celui d’une baie serveur, où tous les serveurs sont connectés au commutateur ToR.
Topologie réseau avec un seul commutateur
a. Succursale ou Early-Stage Start-up
Avec un seul commutateur, il n’est pas nécessaire d’utiliser des protocoles réseau spéciaux. Les utilisateurs peuvent souvent se connecter avec leurs appareils (PC, tablettes, smartphones) à un AP via Wi-Fi. Les périphériques se connectent par câble dans différents VLAN, en fonction de leurs besoins et de leurs utilisations.
Le routage et la sécurité peuvent être gérés par un pare-feu, qui peut être directement sur le site ou éventuellement externe, accessible depuis le commutateur via une connexion peering point à point.
La première étape est de définir les exigences particulières du réseau, notamment le volume d’utilisateurs, les besoins en bande passante et les services de réseau essentiels. L’élaboration d’un plan d’adressage IP améliore l’efficacité de la gestion et l’évolutivité des réseaux ; en général, l’utilisation des blocs d’adresses privées...
Éléments d’un réseau sans fil
1. AP Wi-Fi
La présence universelle du Wi-Fi a transformé les bureaux en espaces de travail agiles. Qu’il s’agisse d’une salle de réunion, d’un open space ou d’un espace de détente, cette technologie garantit la connexion des employés, des invités et des clients, en fournissant l’épine dorsale essentielle pour diverses fonctionnalités de bureau telles que la vidéoconférence, les outils de collaboration en temps réel, les applications basées sur le cloud, etc.
Le Wi-Fi réduit souvent la nécessité d’un câblage important et d’une infrastructure physique, en permettant de réaliser des économies. L’attachement traditionnel des employés à leur bureau a été remplacé par la possibilité du télétravail. Le Wi-Fi facilite l’utilisation d’appareils mobiles tels que les smartphones, les tablettes et les ordinateurs portables, en permettant aux employés de se déplacer librement, de travailler au sein d’équipes interfonctionnelles et de s’adapter à différents environnements de travail.
Selon le secteur d’activité et le lieu, il existe des réglementations spécifiques et des exigences de conformité liées à l’utilisation et à la sécurité des réseaux Wi-Fi.
Il existe différents types de points d’accès (Access Points, AP), notamment les AP autonomes et les AP gérés par un contrôleur, qui peut être un équipement physique installé dans le bâtiment, ou un dispositif virtuel, dans une VM locale ou dans le cloud. Le choix dépend souvent de facteurs tels que la taille de l’entreprise, les fonctionnalités requises...
Endpoints et BYOD
Le BYOD permet aux employés de travailler sur des plateformes avec lesquelles ils sont à l’aise (PC, tablettes, smartphones). Cette approche favorise le travail à distance, améliorant l’accessibilité et la collaboration en dehors du bureau, et réduit potentiellement les coûts de matériel pour l’organisation. Dans cette sous-section, nous discuterons rapidement des principales prescriptions et pratiques de sécurité de ce protocole concernant les BYOD, qui sont de plus en plus appliquées à tout type de endpoint (terminal).
1. OMA DM
Le protocole Device Management (DM) de l’Open Mobile Alliance (OMA), spécialement conçu pour la gestion des appareils mobiles, fournit un cadre pour la sécurisation des environnements BYOD dans les organisations modernes. Alors que le protocole lui-même englobe un large éventail de fonctionnalités pour la gestion des appareils, y compris la configuration, l’approvisionnement et les mises à jour logicielles, des mesures de sécurité spécifiques garantissent à la fois la sécurité des appareils et la protection des données de l’entreprise.
2. Authentification et autorisation
La mise en place de mécanismes robustes d’authentification et d’autorisation est la première couche de sécurité fondamentale qui garantit que seuls les appareils autorisés ont accès au réseau et peuvent communiquer avec le serveur de gestion. L’OMA DM prend en charge...
Zero-Trust Architecture
La Zero-Trust (confiance zéro) est souvent perçue comme un nouveau concept en raison de son récent regain de popularité. Cependant, mis à part les techniques de marketing, les principes fondamentaux qui sous-tendent la confiance zéro ne sont pas nouveaux, mais existent depuis plusieurs décennies dans le domaine de la sécurité des réseaux.
L’essence de la confiance zéro est l’idée de ne pas faire automatiquement confiance à une entité à l’intérieur ou à l’extérieur du périmètre du réseau. Des systèmes comme Novell NetWare et le NetWare Core Protocol ont mis en œuvre des contrôles d’accès et des mécanismes d’authentification rigoureux il y a quarante ans, qui sont encore des éléments fondamentaux de la sécurité des réseaux.
Cependant, le concept de confiance zéro tel qu’il est compris aujourd’hui a été façonné par l’évolution du paysage de la sécurité des réseaux, sous l’effet de facteurs tels que la prolifération de l’informatique en cloud, la dissolution des périmètres traditionnels des réseaux, l’essor de l’informatique mobile et la sophistication croissante des cybermenaces. La sécurité traditionnelle des réseaux repose souvent sur des défenses basées sur le périmètre, où l’intérieur du réseau est considéré digne de confiance et l’accent est mis sur la protection contre les menaces externes. Ce modèle est devenu moins efficace dans les environnements réseau modernes et complexes, où les menaces peuvent provenir de n’importe où et où la distinction entre les frontières internes et externes du réseau est de plus en plus floue.
La confiance zéro se méfie de toutes les entités (utilisateurs, appareils, applications) jusqu’à ce qu’elles soient vérifiées, quel que soit leur emplacement par rapport au périmètre perçu du réseau. Elle met l’accent sur la vérification continue, l’accès...
Breakout
Dans cette section, nous faisons des considérations rapides autour d’une fonctionnalité essentielle pour les réseaux de bureau, c’est-à-dire leurs connexions à l’Internet. Ces éléments relient les différentes branches d’une entreprise, garantissent un accès ininterrompu aux ressources centralisées et maintiennent une connectivité internet robuste pour les bureaux qui ne sont pas assez importants pour justifier les coûts des technologies déjà vues dans les chapitres Peerings privés et Réseau périmétrique.
1. Central breakout
Quand les entreprises ouvrent de nouveaux bureaux dont la taille est négligeable, si les besoins de sécurités sont importants, il peut être envisageable que toutes les fonctions nécessaires, telles que l’inspection de sécurité, le filtrage ou l’application de politiques de routage spécifiques, soient déléguées au réseau du centre de données principal, grâce à une configuration de central breakout.
Cette approche peut se révéler plus rentable parce qu’elle n’exige pas d’investir dans des dispositifs de sécurité et d’autres infrastructures dédiées pour chaque site distant, mais comporte l’achat d’une connexion point-à-point, normalement de type MPLS, avec le centre de données. En plus...