C’est quoi un Bastion

7 août 2020

L’activité de Sécurité des Système d’Information d’IKIGAÏ nous a naturellement conduit vers des réflexions d’architectures et d’urbanismes permettant d’assoir cette sécurité et de protéger les actifs. Dans ce cadre de nombreux outils permettent d’apporter des fonctionnalités utiles ou nécessaires (proxy, WAF, Pare-feu, SIEM, indicateurs de sécurité, …) qui permettent de structurer le SI et les fonctions qu’il porte.

La fonction de « Bastion » dans un SI est à la fois structurante en termes d’urbanisme tout en ajoutant une couche de sécurité importante (essentielle ?).

 

C’est quoi un « Bastion » ?

 

La vocation d’un bastion est de sanctuariser un certain nombre d’actifs (serveurs, applications, bases de données, …) en permettant de piloter finement les accès utilisateurs (internes et externes) à ces derniers. Pour ce faire le bastion agit généralement en tant que Proxy RDP et SSH entre les utilisateurs et les actifs auxquels ils se connectent. Il est placé en coupure entre vos actifs sensibles et vos utilisateurs.

La plupart des solutions de Bastion autorisent également les connexions depuis internet par rebonds sur des plateformes situées en DMZ (dans le schéma ci-dessous notée WABAM).

Bastion-schema-principe

Les meilleures solutions de « Bastion » proposent d’autres fonctionnalités telles que :

  • L’enregistrement de sessions
  • L’audit de sessions. Qui s’est connecté ? Quand ? Sur quel équipement ? Quelles actions ont été effectuées ?
  • Le coffre-fort de mots de passe
  • La politique des 4 yeux. Vous pouvez afficher en temps réel les actions de l’utilisateur
  • Les habilitations à la demande et coupure instantanée de la connexion au besoin

IKIGAÏ déploie et exploite la solution Wallix Bastion depuis de nombreuses années pour deux raisons principales :  Cette solution fait partie des plus complètes sur le marché et la société française Wallix s’est toujours inscrite dans une importante démarche qualité comme en témoigne ses agréments ANSSI.

Oui mais concrètement, comment ça marche ???

Dans un système d’information « standard » un utilisateur se connecte, via son poste, directement aux ressources qu’il souhaite administrer.

Avec un Bastion l’utilisateur ne peut se connecter que sur celui-ci et c’est ce dernier qui monte les sessions sur les actifs demandés par les utilisateurs. Ainsi même si les utilisateurs manipulent et utilisent les actifs ils ne sont pas connectés dessus directement.

 

Mais en quoi cela protège t’il le SI ?

Le bastion opère un contrôle des accès au niveau utilisateur, ainsi vous déployez vos habilitations sur le bastion et autorisez explicitement la connexion d’un utilisateur sur une ou n ressources avec 1 ou n comptes. Par exemple dans la figure précédente :

  • Admettons qu’il existe les utilisateurs suivant dans le SI:
    • Server 1
      • Tata utilisateur RDP
      • Tutu utilisateur SSH
    • Server 2
      • Toto utilisateur RDP
      • Titi utilisateur SSH
    • L’utilisateur interne (c’est bien l’utilisateur qui sera identifié et non le poste qu’il utilise)
      • Se connecte au bastion (1)
      • Il est identifié par le bastion
      • Le bastion lui autorise uniquement une connexion sur le serveur 2
        • En RDP avec le user « toto »
        • En SSH avec le user « titi »
      • L’utilisateur externe (c’est bien l’utilisateur qui sera identifié et non le poste qu’il utilise)
        • Se connecte au WABAM (la brique du bastion en DMZ) (3)
        • Le WABAM authentifie l’utilisateur
        • Le bastion lui autorise uniquement une connexion sur le serveur 1
          • En RDP avec le user « tata »
          • En SSH avec le user « tutu »

 

Ainsi l’utilisateur interne et l’utilisateur externe ne peuvent utiliser QUE les sessions pour lesquelles ils ont explicitement été autorisés. Il est ainsi possible de décorréler (en partie) les problématiques d’infrastructure et d’accès utilisateurs.

Mais au-delà de cette « rupture protocolaire » le Wallix Bastion vous permet si vous le souhaitez de faire porter les identifiants utilisés sur les actifs par Le Bastion. Ainsi les utilisateurs n’ont plus besoin de connaitre les identifiants et mots de passe (car seul le Bastion les gère dans son coffre-fort de mots de passe), ils ne font que les utiliser si besoin et s’ils sont autorisés.

Cela vous permet dès lors de gérer votre PGMP (Politique de gestion des mots de passe) plus simplement et de donner accès à des ressources à certains utilisateurs, sans pour autant divulguer les secrets permettant d’y accéder.

Vous faites progresser votre sécurité sans faire porter la charge à vos utilisateurs.

Par ailleurs le bastion enregistre toutes les sessions en vidéos et vous permet de les rejouer au besoin, vous apportant alors conformité et sécurité sur les aspects de traçabilité et non-répudiation.

Bref le Bastion est une fonctionnalité qui est devenue structurant et son intégration dans un SI existant est techniquement simple et peu perturbante (non-disruptive pour être à la mode 😊 ).

Il faut toutefois garder à l’esprit que pour être efficace, ce type de fonctionnalité nécessite souvent la mise en place d’une segmentation (qui peut-être du coup simplifiée) et de routage au niveau réseau.

L’objectif étant de garantir que les connexions se font à travers le Bastion et non pas en empruntant un autre chemin.

La dernière étant la formation de vos utilisateurs à l’usage d’un nouvel outil. Si ceux-ci sont déjà habitués à travailler avec des outils de connexions RDP et SSH il est possible de rendre l’usage du Bastion quasiment transparent.

N’hésitez pas à nous interroger sur le sujet si vous êtes intéressés.

Recent posts
Les 10 règles d’or d’un mot de passe robuste
Comment identifier une tentative de phishing ?
Previous post La sécurité en télétravail
Next post Comment identifier une tentative de phishing ?
@2019 Ikigaï.nc