Le contexte actuel a engendré une montée en puissance du télétravail pour beaucoup d’organisations à travers le monde.
Bastion nouvelle génération (Guacamole)
Contrainte ou opportunité, chacun se fera son idée en fonction de son contexte et de son activité.
Ce qui est certain en revanche, c'est que nos outils et méthodes ont dû évoluer pour s’adapter et permettre ces modes de travail.
Une des problématiques les plus courantes se manifeste très rapidement : comment permettre une prise en main à distance des ressources informatiques de l’entreprise en préservant la sécurité des installations ?
Contexte
Les solutions communes sont l’accès à l’entièreté du réseau de l’entreprise via un tunnel VPN (illustration 1) ou la connexion à un serveur dit de rebond donnant ensuite accès aux ressources et services internes (illustration 2).
Illustration 1 : Connexion VPN
Illustration 2 : Connexion avec serveur de rebond
Dans les deux cas, vous aurez besoin d’une bonne maîtrise des terminaux pour pouvoir y propager les clients de connexion ainsi que leur configuration, les certificats et clés de sécurité nominative à renouveler régulièrement et enfin les licences d’utilisation.
Inconvénient notable, cela représente un véritable frein au multi-device et exclu nombre de terminaux comme certains smartphones et les postes de travail “léger” comme les chromebook peu souvent compatibles avec ces approches.
Alors comment faire ?
Solution
L’arrivée de HTML5 à permis d’étendre les possibilités en matière de contenu dynamique sur un site web.
Le projet Guacamole de la fondation apache permet aujourd’hui de fournir un accès sécurisé à des serveurs distants (VNC, SSH et RDP), au travers d’un simple navigateur web et le tout en s’interconnectant avec les outils de gestion d’identité d’entreprise (MS Active Directory, OIDC, SAML…).
Illustration 3 : Connexion au travers d’un portail web
Un gain non négligeable en matière de sécurité avec ce genre d’outils est qu’il permet de fournir les accès de prise en main à distance en n’ouvrant que les communications web HTTPS pour lesquelles nombre de solutions de sécurisation existent déjà.
Avec une gestion centralisée des accès il devient simple d’ajouter et de retirer des droits de connexion sur les serveurs du parc aux utilisateurs et/ou groupes d’utilisateurs en quelques clics.
Autre atout de sécurité, vous avez la possibilité de mettre en place des connexions masquées qui vont permettre à l’utilisateur d’accéder à un serveur sans connaître l’identifiant, le mot de passe ou l’adresse ip du serveur cible.
Vous pouvez ainsi facilement fournir un accès à vos prestataires occasionnels sur une machine unique, sur des plages horaires précises et pour une période définie, sans lui transmettre les données de connexion propre au serveur.
Ce type de solution est disponible en version serveur, mais aussi en version container. Vous pourrez ainsi faire grossir l’infrastructure en fonction de vos besoins, mais aussi proposer différentes instances du service pour différentes populations d’utilisateurs.
Illustration 4 : Page d’accueil utilisateur
Résumé
Alors en résumé, que nous apporte ce type de solutions ?
- Une intégration avec la majorité des solutions de Single-Sign-On (SSO).
- Scalable et segmentable au besoin.
- Version container pour une implémentation serverless, ou serveur pour plus de souplesse.
- Surface d’exposition réduite et sécurisable avec des outils standards pour les protocoles web.
- Clientless, utilisable au travers de n’importe quel navigateur supportant HTML5.
- Gestion centralisée des accès et possibilité d’enregistrement vidéo des sessions pour l’auditabilité.
- Simple d’utilisation, plus besoin de penser à activer votre VPN pour vous connecter à vos serveurs.
- Aussi sécurisé qu’un VPN grâce au chiffrement TLS des sessions et une rupture protocolaire.
- Protection des données de connexion et possibilité d’accès temporaire.
Merci pour votre lecture. Si cet article vous a plu, merci de le partager sur vos réseaux 😉
Timothée Taron - Juin 04, 2022
VOUS AVEZ UN PROJET ?
Audit, migration, infogérance ?
Skale-5 vous écoute : contact@skale-5.com
Nous suivre :