Quand utiliser WireGuard
{< admonitionblock style=“important” >} Traduction d’un article du site Pro Custodibus
Le contenu de cette page est la traduction Française de l’article When to Use WireGuard de Jennifer Ormond
{< /admonitionblock >}
Quand utiliser WireGuard
Cet article vous guidera à travers les trois principaux cas d’utilisation pour l’utilisation d’un réseau privé virtuel (VPN) WireGuard dans votre entreprise, ainsi que les avantages et limites de chacun.
Connecter des sites distants
Le premier cas d’utilisation est la connexion de réseaux internes entre des sites distants. WireGuard facilite cela (en utilisant une configuration site à site) pour connecter deux ou plusieurs réseaux privés sur Internet, tout comme si vous aviez un lien dédié entre eux. Par exemple, supposons que vous travailliez dans un système d’écoles primaires et que vous vouliez lier tous les réseaux d’administration des écoles ensemble, afin que n’importe quel administrateur de l’école puisse accéder au même réseau interne, aux partages de fichiers ou à logiciels de gestion des classes, peu importe où elle se trouve physiquement.
Vous pouvez installer WireGuard sur un serveur à chaque emplacement d’administration et le configurer pour permettre un accès sécurisé entre chaque réseau d’administration. Ainsi, n’importe quel serveur interne (comme Microsoft Exchange, SharePoint, etc.) que vous avez installé dans un emplacement peut être accessible depuis tout autre emplacement — et personne ne faisant pas partie de vos réseaux d’administration ne pourra y accéder.
Figure 1. Sites distants connectés avec WireGuard
Le serveur sur lequel vous installez WireGuard à chaque emplacement peut être le routeur Internet de l’administration, ou il peut être un serveur sur lequel vous hébergez d’autres applications (ou il peut être une machine dédiée — un ancien Raspberry Pi suffira dans la plupart des cas).
Bien que le côté positif d’une connexion site à site comme celle-ci soit qu’elle permet à tout le monde dans un bureau de s’adresser à d’autres serveurs dans n’importe quel autre bureau, il y a aussi des inconvénients. Si un intrus est capable d’obtenir une base sur l’un des ordinateurs à tout emplacement (par exemple, si l’un de vos administrateurs du bureau est trompé pour ouvrir une pièce jointe de courriel malveillante sur un ordinateur du bureau), cet attaquant aura la possibilité de pivoter et de commencer à explorer les autres ordinateurs à tous les sites connectés.
Pour un exemple concret d’accès site à site, consultez notre article Securing Operational Technology With WireGuard.
Accès distant sécurisé
Un autre cas d’utilisation est de permettre aux individus du monde entier (ou juste autour de la ville) un accès à distance à un réseau interne (en utilisant une configuration point-to-site WireGuard). Par exemple, si vous opérez une usine industrielle, vous pourriez configurer un serveur WireGuard sur le même réseau interne que celui où vous exécutez certains de vos équipements d’usine, afin d’autoriser le fournisseur de ces équipements à accéder à distance pour dépanner ou mettre à jour le logiciel de l’équipement sans avoir besoin d’envoyer physiquement quelqu’un dans votre usine.
Beaucoup d’entreprises utilisent la même approche pour les applications logicielles uniquement. Si votre entreprise a plusieurs applications internes hébergées sur un certain réseau cloud (ou d’autres serveurs hors site), vous pourriez configurer un serveur WireGuard sur ce réseau hors site afin d’autoriser les opérateurs IT individuels à accéder aux serveurs de ce réseau pour les mettre à jour ou les dépanner.
Figure 2. Accès distant sécurisé avec WireGuard
Le bénéfice de l’utilisation de WireGuard de cette manière est qu’il permet une communication sécurisée entre un utilisateur et le réseau interne, même si celui-ci se trouve à une grande distance. Cela peut être particulièrement utile pour les travailleurs qui travaillent à domicile ou dans des sites temporaires.
permet à des individus spécifiques ayant une nécessité d’affaires spécifique d’accéder à des réseaux spécifiques. Par exemple, vous pouvez autoriser les fournisseurs tiers à accéder uniquement au réseau sur lequel leurs équipements sont en cours d’exécution, sans leur donner l’accès à tous vos autres réseaux internes. Ou vous pouvez limiter l’accès de vos opérateurs IT qui ne font que le support des applications pour simplement accéder aux réseaux qui hébergent les applications qu’ils soutiennent, au lieu de tous vos réseaux internes.
Un autre avantage est que vous pouvez révoquer l’accès d’un individu à un réseau une fois qu’il n’a plus besoin de le faire - par exemple, pour révoquer l’accès lorsque le salarié quitte l’entreprise ou se déplace dans un autre département. Vous pouvez également activer ou désactiver l’accès de manière sélective sur une base cas par cas, comme permettre l’accès à un fournisseur tiers lorsqu’ils doivent servir un équipement et puis le désactiver à nouveau lorsque ils sont terminés.
Pour plus d’informations sur pourquoi WireGuard est une excellente façon d’activer l’accès à distance, consultez notre article SSH Jumphost vs WireGuard Jumphost.
Établir un Réseau Zero-Trust
La principale limitation de cette approche est qu’elle ne fait rien pour limiter le mouvement latéral au sein d’un réseau interne si un acteur malveillant (comme un wiper de ransomware) gagne l’accès à n’importe quel ordinateur dans celui-ci. C’est là que ce prochain cas d’utilisation entre en jeu : Avec WireGuard, vous pouvez établir un Accès au Réseau Zero-Trust (ZTNA) parmi tout groupe d’ordinateurs locaux et distants pour empêcher l’accès non autorisé à aucun de ceux-ci.
En contraste avec les autres approches, qui permettent l’accès à un groupe entier de ordinateurs en même temps, dans ce cas d’utilisation, vous accordez à chaque utilisateur l’accès uniquement aux ordinateurs spécifiques (ou aux services particuliers s’exécutant sur un ordinateur spécifique) qu’il a besoin d’accéder. De plus, en contraste avec les autres scénarios, chaque ordinateur doit avoir WireGuard installé individuellement (avec une configuration point-to-point), et être configuré pour refuser toutes les connexions entrantes à part celles qui passent par WireGuard.
Figure 3. Réseau sans confiance établi avec WireGuard
Par exemple, dans le département des ventes d’une entreprise, chaque vendeuse individuelle pourrait avoir WireGuard installé sur son ordinateur portable et utiliser cette connexion WireGuard pour accéder au serveur de messagerie interne de l’entreprise (avec WireGuard installé dessus), la partage de fichiers du département (avec WireGuard installé dessus), et les applications de gestion des relations clients internes (CRM) et d’invoicing (avec également WireGuard installées).
Quel que soit le lieu où une vendeuse utilise son ordinateur portable — qu’il s’agisse de son bureau au travail, à la maison, dans un café à quelques kilomètres de là, lors d’une présentation chez un client potentiel, ou pendant un voyage à travers le pays — elle pourra se connecter à ces autres systèmes avec le même niveau de sécurité et d’accessibilité qu’en étant juste à côté d’eux.
Bien que cela puisse être plus complexe à mettre en place et à gérer, c’est la méthode la plus sécurisée pour permettre l’accès distant entre les ordinateurs sur tout réseau. Elle garantit que seuls les individus autorisés ont accès à chaque ordinateur, et que l’accès peut être révoqué à un ordinateur spécifique lorsque l’individu n’en a plus besoin. Les journaux d’accès de WireGuard peuvent également être utilisés pour auditer en détail qui a accédé à quel ordinateur quand et où. Et cruciallement, il limite la capacité d’un attaquant qui gagne un pied dans un système d’ordinateur à basculer pour attaquer
Les autres systèmes du même réseau.
Pour un guide sur la façon de commencer avec ZTNA, consultez notre article Architecture Zero Trust Avec WireGuard.
Publié le 27/11/2021
par Jennifer Ormond
by Jennifer Ormond translated by: Patrice Le Guyader