Un bastion pour protéger vos connexions

Qu'est-ce qu'un bastion (en informatique)

Le bastion désigne à la fois un principe d'architecture et, par usage, un composant de cette architecture.

"Bastionner", c'est :

• considérer que gérer un accès direct via un réseau public à chaque machine d'une infrastructure est potentiellement risqué : plus de surface d'attaque, et une attaque réussie donne un accès immédiat à un serveur d'exploitation
• en conséquence décider que les serveurs d'une même infrastructure ne pourront plus être administrés directement via un réseau public, en les cantonnant à un réseau isolé - souvent appelé "DMZ" (pour zone démilitarisée)

Le "bastion" devient alors le moyen central et unique pour accéder aux fonctions administratitives de ses serveurs non exposés publiquement :

• il n'y a qu'un équipement à sécurisé et il est spécialisé (il ne fait pas tourner vos sites, il peut faire l'objet de mesures de sécuritées renforcées
• si cet équipement est compromis, il ne contient aucun service ou aucune donnée de votre infrastructure, et sans élément d'authentification (clé SSH typiquement) ne permet pas à l'attaquant de joindre un des serveurs de votre infrastructure
• en général il implémente le protocole administratif déjà existant, SSH, ce qui permet aux développeurs et administrateurs de continuer à utiliser leurs outils de déploiement avec très peu de modifications; une alternative plus complexe consisterait à utiliser un VPN (Wireguard, IPSec)
• nous ajoutons sur ce type d'équipement un service de contrôle accru vous permettant de tracer qui peut se connecter (clé et identité), depuis où (adresses IPs), et quand (journal des autorisations et révocations)

Il s'agit donc d'un composant stratégique pour renforcer votre stratégie de Privileged Access Management (PAM) dans le cadre de nos prestation d'infogérance.

Nous proposons à nos clients la mise en place d'un bastion, en option, pour toutes nos prestations d'infogérance. Le bastion vient en complément des règles de firewalling que nous configurons sur mesure pour chaque machine.

Par ailleurs, quelque soit le niveau de service séléctionné et indépendament de la mise en place d'un bastion, nous listons sur notre dashboard de pilotage multicloud l'ensemble des connexions SSH vers tous les serveurs infogérés par Bearstech, incluant pour chaque connexion :

• Provenance IP de la connexion
• Date et heure de la connexion
• Date et heure de la déconnexion

Protéger votre infrastructure

Bearstech dans le cadre des ses missions d'infogérance peut déployer un bastion d'administration afin de renforcer la sécurité de vos services. Cette protection garantie que seules les adresses IP validées en amont peuvent accéder à l'infrastructure.

Quand établir une DMZ ?

Répondre à la question : "la mise en œuvre d'un bastion est-elle une nécessité ?", comme souvent lorsqu'il est question d'architecture informatique, n'est pas simple.

L'établissement d'une DMZ est un choix pertinent pour votre architecture si le code déployé ou les données stockées sont sensibles (données personnelles, données de santé, documents à caractère confidentiels dont la présence sur votre infrastructure est nécessaire...) et nécessitent une attention particulière.

Souvent, la mise en place d'un bastion est exigée dans votre plan d'assurance sécurité ou pour l'acquisition d'une certification (ISO 27001 par exemple).

Dans ce cadre, un couche supplémentaire permettant de renforcer la sécurité des accès à votre infrastructure est une très bonne solution pour réduire les menaces et renforcer votre cybersécurité.

Quelles sont les contraintes d'un bastion

Nous pouvons identifier deux types de contraintes liés au déploiement d'un Bastion :

• Les contraintes relatives au coût de gestion de la VM ;
• Les contraintes s'appliquant aux utilisateurs, liées au processus de validation des développeurs.

Maintenance du bastion et coûts de gestion du serveur

Si vous décidez de déployer un bastion pour protéger votre infrastructure, il faut s'assurer qu'il est bien surveillé et maintenu à jour.

Maintenir correctement le service de bastion est critique, puisqu'il s'agit du point d'entrée vers l'ensemble de vos serveurs.

Permettre aux cybercriminels d'accéder à votre infrastructure parce que la DMZ présente des failles de sécurité serait une cruelle ironie.

Il faut donc s'assurer que le service filtrant le trafic soit lui-même correctement maintenu pour ne pas devenir une menace supplémentaire.

Si vous n'avez pas d'expert dans votre organisation ou si le coût de gestion d'une machine supplémentaire est trop elevé, nous vous recommandons de faire appel à une entreprise comme Bearstech pour l'infogérance système de votre bastion d'administration.

Notre approche pour votre bastion d'administration

Si votre entreprise a besoin de sécuriser son infrastructure avec un bastion, Bearstech saura vous accompagner et définir le mode opératoire le mieux approprié. Il est important de noter que vous devez connaître par avance le nombre de développeurs concernés pour que nous puissions autoriser l'ensemble des IP.

Une connexion sécurisée sans mots de passe

Les connexions sont réalisées via SSH et sans mot de passe mais par jeux de clés privées/publiques. Il s'agit de la méthode de connexion la plus exigeante et la meilleure garantie de sécurité. Si un tiers veux accéder à votre infrastructure, il devra préalablement voler votre clé privée et les tentatives d'accès par force brute pour deviner / casser vos mots de passe sont donc rendues inopérantes.

Nous vous recommandons de protéger vos clés SSH par une "passphrase" pour plus de sécurité : ainsi si vos clés sont volées (via un vol physique, un accès à une sauvegarde, etc), le voleur ne pourra pas les exploiter.

Bearstech déploie un serveur dédié, surveillé et profitant d'un niveau de service irréprochable, afin que la question des accès des développeurs à l'infrastructure ne se pose plus.

Nous proposons un niveau d'infogérance de votre bastion incluant :

• une garantie de disponibilité de 99,7%
• un de temps d'intervention garanti (GTI) de 6 heures (heures et jours ouvrés)

Protégez les services hébergés par Bearstech

En choisissant Bearstech pour l'hébergement de votre plateforme vous bénéficiez de l'accompagnement d'un expert pouvant vous conseiller et vous accompagner au quotidien. Il en va de même pour les services tiers tel que le bastion d'administration.

Nous vous aidons à configurer vos agents SSH pour faciliter l'accès à l'infrastructure et nous sommes en mesure de vous conseiller sur vos usages.