Nous avons récemment parlé des façons dont vous pouvez étendre les capacités des VLAN Linode, y compris l'isolation de votre réseau avec des VPC et une configuration supplémentaire pour étendre les VLAN à travers plusieurs régions. Le déploiement et la maintenance d'un réseau sécurisé nécessitent souvent des applications et des outils supplémentaires pour garantir la visibilité dans des environnements en pleine croissance. Voici quelques applications disponibles sur Marketplace pour sécuriser davantage vos VLAN ou VPC.
Commençons par un élément absolument essentiel de toute configuration VLAN ou VPC : un VPN permettant aux utilisateurs d'accéder à des ressources isolées. WireGuard, l'un des VPN les plus populaires, est un protocole comme OpenVPN ou IPSec. Il est léger, rapide et incroyablement sûr. En termes pratiques, allégé signifie moins d'utilisation de l'unité centrale, rapide signifie moins de latence et de temps de connexion, et sécurisé est par conception avec la mise en œuvre de primitives de cryptographie robustes et modernes.
WireGuard a également une surface d'attaque très faible, jusqu'au niveau du code. Il est construit pour Linux avec moins de 4000 lignes de code, contre des centaines de milliers de lignes pour les VPN OpenVPN ou IPSec. Même Linus Tolvards avait des choses positives à dire sur WireGuard alors qu'il se préparait à être intégré au noyau Linux en 2018.
Nous comptons sur les VPN pour sécuriser nos données sur l'internet public. Commençons donc par l'un des protocoles les plus réputés du secteur.
Ressources Linode et WireGuard : Déployer l'application | Guide de déploiement | Page d'accueil WireGuard
WardSpeed est un serveur VPN qui utilise le protocole WireGuard et ajoute quelques fonctionnalités enveloppantes pour l'expérience de l'utilisateur. WarpSpeed supporte plusieurs fournisseurs SSO, l'historique des connexions et le contrôle de la bande passante en temps réel. Il est important de noter que même si WarpSpeed utilise le protocole WireGuard, il s'agit d'un projet séparé qui n'est pas affilié à l'équipe de développement de WireGuard.
WarpSpeed est gratuit pour un utilisateur et un nombre limité de connexions avec des options payantes.
Ressources Linode et WarpSpeed : Déployer l'application | Guide de déploiement | Page d'accueil WarpSpeed
Wazuh est une plateforme de sécurité unifiée qui offre des fonctions SIEM et XDR unifiées. Elle peut être utilisée pour protéger les charges de travail dans plusieurs environnements en surveillant l'infrastructure et en détectant les menaces, les vulnérabilités ou les intrusions.
- SIEM - Security Information Event Management (gestion des informationset des événements de sécurité) recueille les données des journaux de chaque partie de votre environnement et offre une visibilité permettant de repérer les activités malveillantes.
- XDR -Extended Detectionand Response( détectionet réponseétendues) se concentre sur la réponse aux menaces ou l'atténuation proactive.
*Remarque : ces définitions sont très générales. XDR est un terme relativement nouveau et il y a souvent des chevauchements entre les fonctionnalités des solutions SIEM et XDR.
Les SIEM et les XDR deviennent essentiels pour assurer la visibilité des environnements en expansion et répondre aux menaces de manière rapide et complète.
Puisque nous parlons de réseau privé, examinons la détection d'intrusion avec Wazuh. Wazuh peut être associé à un outil de détection d'intrusion dans le réseau (NIDS) tel que Suricata pour surveiller les points de transit sur votre réseau ou le trafic vers et depuis des serveurs individuels. Wazuh récupère les événements NIDS dans votre environnement et les achemine vers un tableau de bord unifié. Consultez la documentation de Wazuh pour plus de détails sur la manière de détecter le trafic réseau suspect avec Suricata.
Ressources Linode et Wazuh : Déployer l'application | Guide de déploiement | Page d'accueil Wazuh
Kali est directement disponible en tant qu'application en un clic sur Linode et reste une plateforme de sécurité incroyablement populaire pour les tests de pénétration et la recherche. Kali est une distribution de Linux qui est pré-packagée avec les outils de sécurité les plus utilisés dans l'industrie. Jetons un coup d'œil à quelques-uns des plus importants.
- Nmap - abréviationde Network Mapper - utilise des paquets IP bruts pour dresser l'inventaire du système et du réseau de votre environnement. Nmap peut analyser rapidement de grands réseaux et renvoyer une liste des hôtes disponibles, des services qu'ils exécutent, des types de filtres et de pare-feu en place, et bien plus encore.
- Wireshark est un analyseur de trafic réseau de premier plan qui permet de résoudre les problèmes en temps réel. Wireshark est un pilier de la boîte à outils de l'administrateur réseau qui nous permet de nous plonger dans tous les domaines, des paquets déposés aux problèmes de latence, et même de repérer les activités malveillantes. Wireshark nécessite une bonne connaissance des réseaux TCP/IP, mais dispose d'une abondante documentation pour vous aider à démarrer.
- Metasploit est un cadre de test de pénétration qui nous permet d'utiliser une base de données massive d'exploits connus pour simuler des attaques réelles sur notre réseau. Il nous permet d'être les premiers à trouver et à atténuer les vulnérabilités de notre environnement.
Ressources Linode et Kali Linux : Déployer l'application | Guide de déploiement | Page d'accueil de Kali Linux
Réseau sécurisé sur Linode
Linode propose un service gratuit VLAN qui s'est récemment étendu à l'Europe dans nos centres de données de Londres et de Francfort. Les VLAN sont créés au cours du processus de déploiement d'un nouveau Linode, y compris lors du déploiement d'une application Marketplace . Il est possible d'appliquer jusqu'à trois VLAN à un seul Linode. Lisez la documentation pour obtenir des instructions de déploiement complètes. Vous pouvez également créer des applications redondantes, sécurisées et géo-distribuées via une implémentation de type VPC.
Commentaires