Certains appareils administrés se trouvent toujours en dehors du réseau principal (par exemple, les ordinateurs dans les succursales régionales d'une entreprise ; les kiosques, les distributeurs de billets et les terminaux installés dans différents points de vente ; les ordinateurs dans les bureaux à domicile des employés). Certains appareils sortent du périmètre de temps en temps (par exemple, les ordinateurs portables des utilisateurs qui visitent les succursales régionales ou le bureau d'un client).
Vous devez toujours surveiller et administrer la protection des appareils itinérants : recevoir des informations réelles sur leur état de la protection et maintenir leurs applications de sécurité à jour. Cela est nécessaire, car, par exemple, si un tel appareil est compromis alors qu'il est éloigné du réseau principal, il pourrait devenir une plateforme de propagation de menaces dès qu'il se connecte au réseau principal. Pour connecter des appareils itinérants au Serveur d'administration, vous pouvez utiliser deux méthodes :
Voir le schéma de trafic de données : Serveur d'administration sur LAN, appareils administrés sur Internet, passerelle de connexion utilisée
Voir le schéma de trafic de données : Serveur d'administration dans la DMZ, appareils administrés sur Internet.
Une passerelle de connexion dans la DMZ
Une méthode recommandée pour connecter des appareils itinérants au Serveur d'administration consiste à organiser une DMZ dans le réseau de l'organisation et à installer une passerelle de connexion dans la DMZ. Les appareils externes se connecteront à la passerelle de connexion, et le Serveur d'administration à l'intérieur du réseau amorcera la connexion aux appareils via la passerelle de connexion.
Par rapport à l'autre méthode, celle-ci est plus sécurisée :
En outre, une passerelle de connexion ne nécessite pas de nombreuses ressources matérielles.
Cependant, cette méthode comporte un processus de configuration plus compliqué :
Le scénario de cette section décrit cette méthode.
Pour ajouter une passerelle de connexion à un réseau précédemment configuré, procédez comme suit :
Serveur d'administration dans la DMZ
Une autre méthode consiste à installer un seul Serveur d'administration dans la DMZ.
Cette configuration est moins sécurisée que l'autre méthode. Pour gérer les ordinateurs portables externes dans ce cas, le Serveur d'administration doit accepter les connexions de n'importe quelle adresse sur Internet. Il gérera toujours tous les ordinateurs du réseau interne, mais à partir de la DMZ. Par conséquent, un serveur compromis pourrait causer d'énormes dégâts, malgré la faible probabilité d'un tel événement.
Le risque diminue considérablement si le Serveur d'administration de la DMZ ne gère pas les appareils du réseau interne. Une telle configuration peut être utilisée, par exemple, par un fournisseur de services pour gérer les appareils des clients.
Cette méthode peut être intéressante dans les cas suivants :
Cette solution présente également des difficultés possibles :