Sécuriser l’accès distant (télétravail par ex.) avec Guacamole
Sécuriser l’accès distant (télétravail par ex.) avec Guacamole

Sécuriser l’accès distant (télétravail par ex.) avec Guacamole

Le contexte actuel a engendré une montée en puissance du télétravail pour beaucoup d’organisations à travers le monde.

Bastion nouvelle génération (Guacamole)

image

Contrainte ou opportunité, chacun se fera son idée en fonction de son contexte et de son activité.

Ce qui est certain en revanche, c'est que nos outils et méthodes ont dû évoluer pour s’adapter et permettre ces modes de travail.

Une des problématiques les plus courantes se manifeste très rapidement : comment permettre une prise en main à distance des ressources informatiques de l’entreprise en préservant la sécurité des installations ?

Contexte

Les solutions communes sont l’accès à l’entièreté du réseau de l’entreprise via un tunnel VPN (illustration 1) ou la connexion à un serveur dit de rebond donnant ensuite accès aux ressources et services internes (illustration 2).

image

Illustration 1 : Connexion VPN

image

Illustration 2 : Connexion avec serveur de rebond

Dans les deux cas, vous aurez besoin d’une bonne maîtrise des terminaux pour pouvoir y propager les clients de connexion ainsi que leur configuration, les certificats et clés de sécurité nominative à renouveler régulièrement et enfin les licences d’utilisation.

Inconvénient notable, cela représente un véritable frein au multi-device et exclu nombre de terminaux comme certains smartphones et les postes de travail “léger” comme les chromebook peu souvent compatibles avec ces approches.

Alors comment faire ?

Solution

L’arrivée de HTML5 à permis d’étendre les possibilités en matière de contenu dynamique sur un site web.

Le projet Guacamole de la fondation apache permet aujourd’hui de fournir un accès sécurisé à des serveurs distants (VNC, SSH et RDP), au travers d’un simple navigateur web et le tout en s’interconnectant avec les outils de gestion d’identité d’entreprise (MS Active Directory, OIDC, SAML…).

image

Illustration 3 : Connexion au travers d’un portail web

Un gain non négligeable en matière de sécurité avec ce genre d’outils est qu’il permet de fournir les accès de prise en main à distance en n’ouvrant que les communications web HTTPS pour lesquelles nombre de solutions de sécurisation existent déjà.

Avec une gestion centralisée des accès il devient simple d’ajouter et de retirer des droits de connexion sur les serveurs du parc aux utilisateurs et/ou groupes d’utilisateurs en quelques clics.

Autre atout de sécurité, vous avez la possibilité de mettre en place des connexions masquées qui vont permettre à l’utilisateur d’accéder à un serveur sans connaître l’identifiant, le mot de passe ou l’adresse ip du serveur cible.

Vous pouvez ainsi facilement fournir un accès à vos prestataires occasionnels sur une machine unique, sur des plages horaires précises et pour une période définie, sans lui transmettre les données de connexion propre au serveur.

Ce type de solution est disponible en version serveur, mais aussi en version container. Vous pourrez ainsi faire grossir l’infrastructure en fonction de vos besoins, mais aussi proposer différentes instances du service pour différentes populations d’utilisateurs.

image

Illustration 4 : Page d’accueil utilisateur

Résumé

Alors en résumé, que nous apporte ce type de solutions ?

  • Une intégration avec la majorité des solutions de Single-Sign-On (SSO).
  • Scalable et segmentable au besoin.
  • Version container pour une implémentation serverless, ou serveur pour plus de souplesse.
  • Surface d’exposition réduite et sécurisable avec des outils standards pour les protocoles web.
  • Clientless, utilisable au travers de n’importe quel navigateur supportant HTML5.
  • Gestion centralisée des accès et possibilité d’enregistrement vidéo des sessions pour l’auditabilité.
  • Simple d’utilisation, plus besoin de penser à activer votre VPN pour vous connecter à vos serveurs.
  • Aussi sécurisé qu’un VPN grâce au chiffrement TLS des sessions et une rupture protocolaire.
  • Protection des données de connexion et possibilité d’accès temporaire.

Merci pour votre lecture. Si cet article vous a plu, merci de le partager sur vos réseaux 😉

Timothée Taron - Juin 04, 2022

image