Guides

Guide de sécurité

Comment masquer et protéger votre serveur d’origine

Un CDN ou proxy inverse n’est une frontière de sécurité utile que si les attaquants ne peuvent pas le contourner. Construisez un chemin délibéré entre la périphérie publique et une origine privée surveillée.

Placer un CDN, un WAF ou un proxy inverse devant une application ne masque pas automatiquement le serveur qui se trouve derrière. L’origine peut encore être découverte par d’anciens enregistrements DNS, les données de transparence des certificats, les messages d’erreur, l’infrastructure de messagerie, les hôtes de développement, l’accès direct par IP ou un nom d’hôte d’API oublié. Si un attaquant peut atteindre l’origine directement, il peut souvent contourner les limites de débit, les contrôles de bots, les règles de cache et les politiques géographiques de la périphérie.

La protection de l’origine est donc un problème de routage et de confiance. L’objectif est de faire de la périphérie ou de la passerelle privée prévue le seul chemin pratique vers l’application, tout en préservant un chemin d’administration authentifié pour les opérateurs et un chemin de récupération testé pour les incidents.

Modélisez d’abord l’exposition

Établissez une carte complète des points d’entrée publics et privés :

  • Noms d’hôte d’application, d’API, de téléversement, d’image, WebSocket et historiques.
  • Adresses IPv4 et IPv6, équilibreurs de charge, interfaces cloud et ports d’origine.
  • Enregistrements DNS, alias, enregistrements génériques, vérifications d’état et sondes de supervision.
  • Certificats et sous-domaines susceptibles de révéler des noms historiques.
  • Interfaces administratives, systèmes de préproduction et callbacks partenaires.
  • Dépendances sortantes qui doivent rester disponibles après les changements de pare-feu.

Supposez qu’une IP vue dans un ancien enregistrement DNS est compromise. Ne considérez pas un nom d’hôte secret comme un contrôle. Demandez-vous ce qui se produit si un attaquant envoie une requête directement à l’adresse avec l’en-tête Host attendu, avec un hôte inattendu, via IPv6 ou par un autre port.

Une IP masquée n’est pas une politique d’accès

Le nettoyage DNS réduit les possibilités de découverte, mais seuls les contrôles réseau et applicatifs empêchent l’accès direct. Associez la gestion des adresses, les règles de pare-feu, les connexions de périphérie authentifiées et la validation côté origine.

Construisez le chemin protégé

1. Faites pointer le DNS public vers la périphérie

Publiez les enregistrements destinés aux clients pour la périphérie ou la passerelle, et non l’adresse de l’origine. Supprimez les enregistrements et alias obsolètes, y compris ceux des anciens environnements qui partagent une infrastructure. Conservez autant que possible les noms internes dans un DNS privé. Examinez l’historique DNS et les inventaires de certificats pour détecter les expositions précédentes, puis changez l’adresse de l’origine si elle était publique et ne peut pas être considérée comme oubliée avec certitude.

Ne confondez pas le TTL DNS avec une protection. Un TTL court peut accélérer un changement, mais il n’empêche pas d’utiliser une adresse déjà connue. Considérez toute adresse d’origine comme potentiellement connue et appliquez le contrôle à la frontière réseau.

2. N’autorisez que l’entrée prévue

Au niveau du pare-feu de l’origine ou du groupe de sécurité, n’autorisez que les plages d’adresses documentées de la périphérie, de la passerelle privée, du système de vérification d’état et du chemin d’administration étroitement contrôlé. Refusez par défaut tout autre trafic entrant. Incluez des règles IPv6 si le service l’active ; une liste d’autorisation IPv4 ne protège pas une interface IPv6 ouverte.

Conservez la liste d’autorisation dans un contrôle de version ou un autre système auditable. N’automatisez les mises à jour que si la liste source est authentifiée, revue et testée. Supprimez les règles temporaires d’incident à leur expiration. Si le fournisseur ne peut pas proposer de plages source stables, utilisez un autre mécanisme de confiance plutôt que d’ouvrir l’origine à Internet.

3. Authentifiez la connexion entre périphérie et origine

Utilisez TLS entre la périphérie et l’origine, validez le certificat et le nom d’hôte, et désactivez les protocoles faibles et les ports inutiles. Pour une assurance renforcée, utilisez TLS mutuel ou une méthode d’authentification de l’origine liée à la passerelle de confiance. Un secret partagé dans un en-tête ne peut être utile que si l’origine valide que la requête est passée par un chemin réseau de confiance et si le secret est renouvelé et protégé ; il ne remplace pas le pare-feu.

À la frontière applicative, rejetez les noms d’hôte inattendus et ne validez les en-têtes ajoutés par la passerelle que lorsqu’elle est le composant qui peut les définir. Ne faites jamais confiance à un en-tête X-Forwarded-For, de schéma ou d’identité fourni par un client et reçu directement depuis Internet. Préservez les informations du client d’origine dans les journaux via une chaîne de confiance bien définie.

4. Séparez l’administration

N’exposez pas SSH, les panneaux de contrôle, les bases de données ni les interfaces d’orchestration via l’origine web publique. Utilisez un réseau privé, un VPN, un bastion ou une passerelle d’administration consciente de l’identité avec MFA et moindre privilège. Limitez l’accès de gestion selon le rôle, la source, la posture de l’appareil et l’horaire lorsque cela est réaliste. Auditez les sessions administratives et testez l’accès d’urgence avant une panne.

La politique sortante de l’origine est également importante. Une application compromise peut être utilisée pour atteindre des services internes ou exfiltrer des données. Limitez les sorties aux dépendances requises, utilisez des protections du service de métadonnées lorsqu’elles sont pertinentes pour votre plateforme et surveillez les destinations inhabituelles. La protection de l’origine doit réduire le rayon d’impact, pas seulement bloquer les requêtes entrantes.

Ajoutez des contrôles applicatifs et de périphérie

La restriction réseau est la fondation, pas la défense complète. Conservez la politique de WAF et de validation d’API à la périphérie et dans l’application lorsque cela est approprié. Appliquez la limitation de débit avant le travail coûteux sur l’origine. Utilisez la protection des API pour l’authentification, la validation de schéma, les quotas et l’inventaire des points de terminaison.

Examinez attentivement la mise en cache. Ne mettez pas en cache des réponses personnalisées ou des pages d’erreur contenant des données sensibles. Assurez-vous que les clés de cache incluent toute entrée qui modifie l’autorisation ou la représentation. Purgez le contenu sensible lorsque les règles d’accès changent. Un cache peut réduire la charge sur l’origine, mais ne doit pas devenir un moyen de servir à un utilisateur la réponse d’un autre.

Testez les contournements en toute sécurité

Testez depuis une source d’évaluation approuvée et coordonnez-vous avec l’équipe d’exploitation. Résolvez chaque nom d’hôte public, vérifiez les deux familles d’adresses, envoyez des requêtes aux adresses historiques connues et essayez un en-tête Host inattendu. Confirmez que les requêtes directes sont refusées avant que la logique applicative ne s’exécute. Vérifiez que la périphérie peut toujours atteindre l’origine, que les vérifications d’état fonctionnent, que les téléversements et connexions longues se comportent correctement et que les journaux distinguent une requête de périphérie d’un contournement rejeté.

Exécutez les tests après les changements DNS, migrations de fournisseur, renouvellements de certificat, reconstructions d’infrastructure et modifications de l’automatisation du pare-feu. Incluez la reprise après sinistre. Une origine de basculement non protégée reste une origine, et un guide de récupération qui demande aux ingénieurs d’ouvrir largement le serveur crée un incident au cours de l’incident.

Surveillez la frontière

Alertez sur les tentatives de connexion directe, les adresses source rejetées, les noms d’hôte inattendus, les échecs TLS de l’origine, les modifications des règles de pare-feu, les nouveaux enregistrements DNS et les hausses soudaines de défauts de cache ou de connexions à l’origine. Conservez les identifiants de requête et les métadonnées de périphérie de confiance afin qu’une enquête puisse suivre une requête sans journaliser de secrets. Comparez le trafic de l’origine avec celui de la périphérie ; une hausse à l’origine sans hausse correspondante à la périphérie est un fort signal de contournement.

Examinez régulièrement et après les changements de responsabilité la liste d’autorisation, la zone DNS, les noms de certificats, les interfaces cloud publiques et les chemins administratifs. Supprimez les environnements obsolètes plutôt que de vous en remettre à une règle de blocage non documentée.

Erreurs fréquentes

  • Supposer qu’un enregistrement DNS proxifié rend l’origine inaccessible.
  • Autoriser temporairement 0.0.0.0/0 puis ne jamais le retirer.
  • Oublier IPv6, les ports alternatifs, les hôtes de préproduction ou un second équilibreur de charge.
  • Faire confiance à un en-tête secret sans restreindre le réseau source.
  • Partager un nom d’hôte d’origine dans les pages d’erreur, en-têtes de réponse, journaux ou code public.
  • Rendre l’origine inaccessible à la supervision puis désactiver la protection pour la rétablir.
  • Considérer les origines de basculement et de reprise après sinistre comme exemptées des mêmes contrôles.

Pour une conception complète de la périphérie, poursuivez avec Protection des API à la périphérie, Comprendre la limitation de débit et la checklist des en-têtes de sécurité. Si vous avez besoin d’aide pour examiner un chemin multi-fournisseurs, contactez Optimi.

Références faisant autorité

Il n’y a que deux choses difficiles en informatique : l’invalidation du cache et nommer les choses.

Fermez le chemin direct vers votre origine

Échangez avec notre équipe sur le routage de périphérie, les contrôles d’accès à l’origine et des tests de contournement sûrs.

Contactez Optimi