Je cherche à mettre en place un VLAN de gestion, sur lequel je vais mettre toutes les interfaces de gestion pour mes différents périphériques réseau (interfaces de pare-feu MGMT, RAC serveur, interfaces WAP MGMT, etc.).
Quelles sont les meilleures pratiques en matière d'accès à ce MGMT VLAN - par exemple, en tant qu'administrateur informatique, mon poste de travail est uniquement sur le réseau d'entreprises - mais si je dois accéder au pare-feu via l'interface MGMT, devrais-je avoir un 2e Nic que j'utilise exclusivement pour le réseau MGMT? Ou devrais-je écrire des ACL qui permettent uniquement à certains IPS (mon poste de travail) d'accéder au réseau MGMT?
Une façon dont j'ai vu cette configuration, qui semblait être une approche raisonnable consistait à autoriser un accès à un seul hôte au réseau local de gestion, puis à avoir une personne ayant besoin d'accéder à ce périphérique via RDP ou SSH et à partir du réseau de gestion.
Un avantage de cette approche est que vous réduisez la visibilité du réseau de gestion en termes de numérisation, mais vous n'êtes pas lié à l'accès à partir d'hôtes spécifiques que vous le seriez avec une solution de carte réseau multiple.
Un autre avantage est que cela devrait permettre une audit plus facile sur quelles actions sont prises sur des périphériques dans le réseau local de gestion, par des activités d'audit sur l'hôte de la passerelle.
Bien sûr, la sécurisation de cet hôte devient très importante, à la fois en termes d'authentification des administrateurs qui se connectent et de l'audit.