Cybersécurité : les géants vous veulent du mal !
Certains utilisateurs pourront penser que ce titre est un peu racolleur, voir provocateur.
J’espère qu’à la lecture de cet article vous serez convaincu du contraire.
Le constat que je tire aujourd’hui est assez simple : pour pouvoir utiliser dans de bonnes conditions les services de Google, Let’s Encrypt ou même Stripe, vous êtes obligés de baisser significativement le niveau de sécurité des infrastructures faisant appel à ces services.
A travers quelques exemples concrêts, je vais illustrer mon propos.
Comment bien sécuriser la communication inter-serveurs ?
Il me semble nécessaire, dans un premier temps, de revenir rapidement sur la façon dont on doit paramétrer un pare-feu afin de sécuriser les communications entre deux serveurs ou entre un serveur et un “pool de serveurs”.
Sécuriser le traffic incoming : la base !
Bien évidemment le traffic en provenance de l’Internet vers votre service hébergé devra être filtré. Mais dans le cadre d’un service Web, le port 443 et optionnellement le 80 seront ouverts pour autoriser les requêtes à arriver jusqu’à votre serveur.
Rien de bien étonnant donc, la règle aura donc cette forme :
- IP_Source (*) Ports_Source (*) –> IP_Destination (IP_Srv_Web) Ports_Destination (443, 80)
Vous vous assurez simplement que seules les requêtes à destination de votre service web atteignent les ports web (80 et 443) en TCP.