Étude de cas : Fournisseur d'accès à Internet

Personnel : 7 + pigistes - Applications : 2 - Coûts : 100$/mois (ZenVPN Business Plan + Serveur VPN dédié + Serveur de basculement)

Iframely, une entreprise SaaS entièrement distante, cherchait un moyen pratique et sécurisé de protéger son environnement de test sans avoir à modifier l'application elle-même, ce qui la rendrait différente de la version réelle. Elle utilisait l'authentification HTTP Basic qui s'est avérée assez lourde car elle nécessitait le partage des informations d'identification entre tous les membres de l'équipe (y compris les membres temporaires).

Ils ont déployé une restriction d'accès basée sur l'IP et utilisent des serveurs dédiés ZenVPN pour se connecter à leur application de préparation ainsi qu'à une certaine application de back-office à partir d'un ensemble fixe d'adresses IP.

Il était également important pour eux de ne pas imposer des règles générales de routage du trafic aux membres de leur équipe, car la plupart d'entre eux utilisent leur matériel privé pour le travail et certains sont des entrepreneurs indépendants qui n'accepteraient pas un tel niveau de contrôle de leur machine par le client. L'utilisation du split tunneling a permis de résoudre facilement ce problème, car seul le trafic lié au projet a été acheminé via le VPN.

Enfin, l'entreprise a choisi d'ajouter une couche de sécurité supplémentaire en mettant en place une liste blanche d'adresses IP sur son hôte bastion, qu'elle utilise pour l'accès ssh à ses serveurs d'application.

Mise en œuvre

Pour les applications de transit et de back-office, la restriction d'IP a été mise en œuvre à l'aide du module ngx_http_access_module de Nginx :

allow: "{{ shield_ips }}"
deny: all

Pour l'hôte bastion, la restriction a été mise en œuvre à l'aide des groupes de sécurité AWS :

resource "aws_security_group" "bastion" { name = "bastion" vpc_id = aws_vpc.main.id ingress { description = "SSH from Internet" protocol = "tcp" from_port = 22 to_port = 22 cidr_blocks = shieldIps ipv6_cidr_blocks = shieldIpv6s } }

Conclusion

L'utilisation de ZenVPN avec des restrictions d'accès basées sur l'IP a fourni à cette société un moyen discret de gérer l'accès à ses applications de staging et de back-office et lui a permis de se concentrer sur le développement de ses offres principales.