Blog What We Do Support Community
Developers
Login Sign up

Lancement de Cloudflare Access : l'égal de BeyondCorp, mais nul besoin d'être un employé Google pour l'utiliser

by Venkat Viswanathan.

On connaît la chanson : on fait confiance au réseau de l'entreprise, mais on se méfie de tout ce qui vient de l'extérieur. Telle est la stratégie de sécurité adoptée par la plupart des entreprises aujourd'hui. Le problème est qu'une fois que le pare-feu, la passerelle ou le serveur VPN créant ce périmètre est violé(e), l'attaquant peut avoir un accès immédiat, facile et fiable à tout ce qu'il veut.

CC BY-SA 2.0 par William Warby

Le modèle traditionnel du périmètre de sécurité pose un deuxième problème. Soit les employés doivent se trouver sur le réseau de l'entreprise (c'est-à-dire être sur place), soit ils doivent utiliser un VPN, ce qui ralentit le travail car chaque page chargée fait un aller-retour supplémentaire vers le serveur VPN. En plus de cela, les utilisateurs du VPN sont tout de même très exposés aux attaques de phishing, de l'homme du milieu et d'injection SQL.

Il y a quelques années, Google a mis au point une solution pour ses propres employés appelée BeyondCorp. Au lieu de conserver leurs applications internes sur l'intranet, ils les ont rendues accessibles sur Internet. La question de se trouver à l'intérieur ou à l'extérieur du réseau ne se posait donc plus. Le réseau n'était plus une citadelle fortifiée, tout était sur Internet et aucune connexion n'était jugée fiable. Chacun devait prouver son identité.

Depuis toujours, la mission de Cloudflare consiste à démocratiser les outils des géants de l'Internet. Aujourd'hui, nous lançons Cloudflare Access, une solution de contrôle d'accès sans périmètre pour les applications en cloud et sur site. C'est la même chose que BeyondCorp, mais vous n'avez pas besoin d'être un employé de Google pour l'utiliser.

Access-blog-post-diagramv2

Comment fonctionne Cloudflare Access ?

Access fait office de proxy inverse unifié pour renforcer le contrôle des accès en s'assurant que chaque requête est :

Authentifiée : Access s'intègre immédiatement à la plupart des principaux fournisseurs d'identité comme Google, Azure Active Directory et Okta, ce qui signifie que vous pouvez rapidement connecter votre fournisseur d'identité existant à Cloudflare, et utiliser les groupes et utilisateurs déjà créés pour accéder à vos applications Web. Vous pouvez en outre utiliser l'authentification client avec TLS et limiter les connexions aux seuls périphériques disposant d'un certificat client unique. Cloudflare veillera à ce que le dispositif de connexion possède un certificat de client valide signé par l’autorité de confiance de l'entreprise, puis Cloudflare autorisera les utilisateurs à accéder à l'application interne.

Autorisée : La solution vous permet de protéger facilement les ressources applicatives en configurant les règles d'accès pour les groupes et les utilisateurs individuels que vous avez déjà créés avec vos fournisseurs d'identité. Par exemple, avec Access, vous pouvez vous assurer que seuls les employés de votre entreprise peuvent accéder à votre tableau Kanban interne ou verrouiller l'administrateur wp-admin de votre site WordPress.

access-policy

Cryptée : Dans la mesure où Cloudflare sécurise toutes les connexions avec HTTPS, il n'est pas nécessaire d'avoir un VPN.

Access est la solution idéale pour tous les responsables informatiques ayant été réprimandés par un dirigeant globe-trotter à cause de la lenteur d'un VPN. Il vous permet de contrôler et de surveiller l'accès aux applications en fournissant les fonctionnalités suivantes via le tableau de bord et les API :

  • Modification facile des politiques d'accès
  • Modification des durées des sessions
  • Révocation des sessions utilisateur existantes
  • Journalisation centralisée pour les journaux d'audit et de modification

Vous voulez une connexion encore plus rapide pour remplacer votre VPN ? Essayez d'associer Access et Argo. Si vous voulez utiliser Access en amont d'une application interne, mais que vous ne voulez pas la rendre accessible à tout Internet, vous pouvez associer Access et Warp. Warp fera de Cloudflare la connexion Internet de votre application de sorte que vous n'aurez même pas besoin d'une adresse IP publique. Si vous souhaitez utiliser Access en amont d'une application existante et protéger cette application contre les vulnérabilités non corrigées des logiciels existants, vous pouvez simplement cliquer pour activer le pare-feu applicatif Web : Cloudflare contrôlera les paquets et bloquera ceux contenant des exploits.

Cloudflare Access permet aux employés de se connecter aux applications de leur entreprise depuis n'importe quel appareil, n'importe où et sur n'importe quel type de réseau. Access est basé sur le réseau mondial de Cloudflare qui compte plus de 120 datacenters offrant une redondance et une protection DDoS adéquates, ainsi qu’une proximité avec vos employés ou le siège social, où qu'ils se trouvent.

Premiers pas :

La configuration d'Access vous demandera 5 à 10 minutes, et l'essai est gratuit pour un utilisateur unique (3 $/personne et par mois au-delà). Vous pouvez contacter le service commercial pour obtenir des réductions pour les commandes importantes. Cloudflare Access est intégralement disponible pour nos entreprises clientes actuelles, et en version bêta ouverte pour nos clients Free, Pro et Business. Pour commencer, rendez-vous dans l’onglet Access du tableau de bord Cloudflare.

comments powered by Disqus