Comme beaucoup d’organisations aujourd’hui, les serveurs de votre entreprise sont probablement hébergés dans le cloud. Si une infrastructure hébergée dans le cloud peut offrir de nombreux avantages opérationnels, elle peut aussi entraîner un affaiblissement de la sécurité... à moins que vous n'ayez un outil comme un accès à distance sécurisé VPN.
Le nombre de vecteurs d’attaque sur un système cloud est pratiquement trop élevé pour être compté ; des listes de mots de passe sont divulguées, des clés SSH privées sont commitées sur GitHub, d’anciens employés réutilisent d’anciens identifiants, des employés sont victimes de spear phishing, etc. L’une des premières étapes les plus cruciales qu’une organisation puisse entreprendre pour renforcer sa sécurité consiste à placer ses hôtes dans un VPN ou derrière un hôte bastion.
Le Edge
Un VPN comme un bastion host présentent chacun des points forts et des points faibles, mais leur principale valeur réside dans le fait de canaliser tous les accès par un point unique. Utiliser un point d’entrée unique (ou « périphérie ») pour accéder à vos systèmes de production est une mesure de sécurité importante, car cela limite les points d’entrée potentiels pour les hackers et autres cyberattaques.
Lorsque de nouvelles ressources sont déployées au sein d’un VPN, elles sont automatiquement sécurisées avec une configuration appropriée. Sans VPN, un mot de passe compromis ou une clé SSH suffit pour accéder à vos ressources de production. N'oubliez pas : un système n'est sécurisé qu'à hauteur de son maillon le plus faible, et une simple clé SSH ou un mot de passe statique est déjà assez faible à lui seul.
Gestion du compte
Cependant, votre VPN a également besoin de son propre système d’identification. Il peut être tentant de revenir à une gestion manuelle des utilisateurs, mais il est préférable de lier le VPN au répertoire des employés afin de garantir que personne en dehors de l’entreprise ne puisse y accéder.
Lorsque vous intégrez un nouveau collaborateur, il peut instantanément accéder aux ressources dont il a besoin. Plus important encore, lorsque vous mettez fin aux accès d’un employé, il perd immédiatement l’accès à votre infrastructure. Gérer manuellement le système de gestion des identifiants ajoute un facteur humain qui, malheureusement, rend le processus lent, laborieux et sujet aux erreurs.
Sécuriser l’identité
Une autre fonctionnalité VPN essentielle, l’authentification multifacteur (MFA), renforce les failles laissées par l’intégration des identifiants. Si l’utilisation d’une seule source de comptes permet de tenir les utilisateurs indésirables à l’écart, l’authentification multifacteur garantit qu’ils sont bien ceux qu’ils prétendent être.
Lorsqu’un utilisateur essaie de se connecter au VPN, un message distinct est envoyé à un appareil préalablement authentifié pour approuver la tentative de connexion. Si l’utilisateur est bien la personne qu’il prétend être, il peut approuver la tentative de connexion. Par conséquent, la MFA garantit que la personne derrière le clavier est bien celle qu’elle prétend être.
De nombreux systèmes utilisent des services basés sur smartphone comme Duo, bien que des appareils tiers comme des clés RSA et des Yubikeys soient également très courants. Alors que les mots de passe et les clés SSH peuvent être facilement compromis, il est bien plus difficile d’accéder aussi à l’appareil physique ou au téléphone d’un utilisateur. De plus, ces appareils physiques ne peuvent pas être volés à distance, ce qui réduit le vecteur d’attaque de plusieurs ordres de grandeur.
Mise en œuvre
S’il est toujours utile de parler des bonnes pratiques, les mettre en œuvre est une tout autre affaire. Comme pour la plupart des pratiques opérationnelles, les choses ne sont souvent mises en œuvre que lorsque le point de douleur devient trop important à supporter.
Pour de nombreuses entreprises, configurer un serveur OpenVPN, même OpenVPN Access Server, prend plus de temps qu’elles ne souhaitent y consacrer. Il en va de même pour la configuration d’un bastion host : sa complexité ne semble tout simplement pas justifier l’effort. Cependant, il n’existe aucun « point de douleur » pour les mesures de sécurité. Votre système est soit sécurisé, soit il ne l’est pas, et le pire scénario possible l’emporte largement sur les désagréments que peut occasionner l’utilisation d’un système VPN sécurisé.
Heureusement, Foxpass vient d’annoncer un VPN gratuit qui inclut toutes ces fonctionnalités et est simple à configurer. Il utilise Foxpass pour s’intégrer à l’annuaire des employés de votre organisation et s’intègre à Duo pour la MFA. Lancez simplement l’AMI et vous êtes prêt à démarrer ! Le VPN ne nécessite aucun logiciel personnalisé et s’intègre directement au système VPN intégré de votre OS, ce qui le rend facile à configurer et à utiliser.
Vous voulez découvrir Foxpass par vous-même ? Découvrez l’AMI ici, créez l’image vous-même à partir de notre repo Github, ou cliquez ici pour démarrer un essai gratuit :
