KDDI Cyber Bastion, en partenariat avec Wallix, est une offre de service mettant à disposition un point d'entrée unique, robuste, centralisé et auditable à vos infrastructures sans avoir à faire appel à l'utilisation d'un tunnel VPN, d'un logiciel client, ou d'ouvrir des ports de vos pare-feux.
France
-
Besoins & Industries
-
Services
France
KDDI Cyber Bastion - Gestion des comptes à privilèges
Les différentes fonctionnalités clés
Accès sécurisé Zero-Client
L'accès aux serveurs (Window ou Linux), aux bases de données ainsi qu'aux différentes applications de l'entreprise s'effectue simplement depuis n'importe quel navigateur compatible HTML5. Cette approche garantit une accessibilité optimale, que ce soit depuis un poste de travail ou un ordinateur portable, sans contrainte liée au système d'exploitation utilisé.
Aucun plugin, agent ou composant supplémentaire n'est nécessaire : l'ensemble fonctionne directement via le navigateur, ce qui simplifie considérablement le déploiement et la maintenance. Les mises à jour sont centralisées et ne nécessitent aucune intervention sur les postes utilisateurs.
De plus, les utilisateurs n'ont pas besoin de connaître les mots de passe des comptes à privilèges. Les accès sont gérés de manière sécurisée et centralisée, réduisant les risques liés à la divulgation d'identifiants sensibles et renforçant la conformité aux politiques de sécurité.
Cette solution permet ainsi de concilier simplicité d'utilisation, sécurité renforcée et efficacité opérationnelle.
Accès sécurisé granulaire
La solution repose sur un accès renforcé appliquant le principe du "least-privileges", garantissant que chaque utilisateur dispose uniquement des droits nécessaires à ses missions.
Les autorisations sont structurées par rôles afin d'assurer une gestion claire et maîtrisée des accès.
La sécurité est renforcée grâce à l'IP whitelisting, à l'authentification forte (2FA) et à la rotation automatique des mots de passe des comptes sensibles.
Ces mécanismes combinés réduisent significativement les risques d'accès non autorisé tout en assurant une administration simple et sécurisée.
Enregistrement des sessions et auditables
Chaque session est intégralement enregistrée afin de garantir une traçabilité complète des actions réalisées.
Cette fonctionnalité permet de reconstituer précisément les opérations effectuées et d'identifier rapidement l'origine d'un incident si nécessaire.
En complément, un mécanisme d'interception et de contrôle des commandes est mis en place afin de prévenir les actions malveillantes ou non conformes aux politiques de sécurité. Les commandes sensibles peuvent être bloquées, réduisant ainsi les risques liés aux erreurs, aux abus de privilèges ou aux compromissions de comptes.
Gestion des utilisateurs
Les administrateurs disposent d'une interface centralisée leur permettant de gérer l'ensemble des utilisateurs ainsi que les politiques d'accès aux systèmes cibles. Ils peuvent créer, modifier ou supprimer des comptes, attribuer des rôles et ajuster les niveaux d'autorisation en fonction des besoins opérationnels.
La gestion des politiques d'accès permet de définir précisément qui peut accéder à quelles ressources, dans quelles conditions et selon quelles règles de sécurité.
Les différentes dimensions de Bastion
Le dimensionnement d'un Bastion se réalise en fonction du nombre de sessions simultanées qu'il doit pouvoir accueillir, afin de garantir des performances optimales et une expérience utilisateur fluide. Il est important de noter qu'un même utilisateur peut ouvrir plusieurs sessions en parrallèle.
| Type | Nombre de sessions RDP / SSH | CPU, RAM, DISK, OS |
|---|---|---|
| Bastion S | 25 / 240 | 4, 16 Go, 50 Go |
| Bastion M | 40 / 240 | 8, 16 Go, 50 Go |
| Bastion L | 50 / 480 | 8, 32 Go, 50 Go |
| Bastion XL | 75 / 480 | 16, 32 Go, 50 Go |
Il est important de savoir que :
- Le volume de stockage est à ajouter en plus de la taille du Bastion.
- Estimation du stockage pour l'enregistrement des sessions : ~35 Go / Utilisateur / mois, à raison de 3h de connexion / jour sur 5 jours ouvrés, 4 semaines par mois.
- Licences Windows Server RDS (SAL RDS) non incluses.
Gestion et rotation des logs
| Options de configuration | Valeur par défaut | |
|---|---|---|
| Supprimer les données utilisateur datant de plus de | 36 weeks | |
| Supprimer les journaux des utilisateurs datant de plus de | 5 weeks | |
| Supprimer les sessions plus anciennes que | 36 months | |
| Supprimer les sessions en dessous de l'espace libre | 10% | |
| Préférer les sessions datant de plus de | 15 days | |
| Conserver les sessions critiques plus récentes que | 7 days |
Recommandations de mesures de sécurité
Pour assurer une protection renforcée des environnements cloud, il est essentiel d'appliquer des mesures de sécurité adaptées aux différentes plateformes et architectures. Ces recommandations visent à limiter les risques d'accès non autorisés, à renforcer le contrôle des flux réseau et à assurer une isolation efficace des ressources critiques.
KDDI Cloud Serenity
Pour l'offre KDDI Cloud Serenity, il est recommandé d'activer le firewall au niveau OS de type "least privileges". Concrètement, cela signifie que seuls les flux strictement nécessaires sont autorisés, à savoir les connexions SSH et RDP en provenance du bastion. Cette approche limite l'exposition du serveur aux mencaes extérieures et réduit considérablement la surface d'attaque, tout en maintenant la possibilité pour les administrateurs légitimes d'effectuer leurs opérations de gestion.
KDDI Cloud Autonomy
Pour l'offre KDDI Cloud Autonomy, l'utilisation de la micro-segmentation entre les machines virtuelles constitue une mesure de sécurité clé. Le filtrage Est-Ouest permet de restreindre les communications SSH et RDP uniquement aux connexions autorisés, limitant ainsi la propagation éventuelle d'attaques internes. Cette isolation fine entre les VM renforce la sécurité du réseau internet et empêche tout accès non contrôlé entre les ressources, tout en conservant la flexibilité nécessaire aux opérations quotidiennes.
Pourquoi Bastion as a Service ?
Le bastion sert de point d'accès sécurisé entre les utilisateurs et les systèmes cibles. Il centralise les connexions SSH et RDP, contrôle les accès et enregistre les sessions pour plus de sécurité et de traçabilité.
Contactez un expert
Une question, un projet d’externalisation de vos infrastructures, une demande d’information ?
Nos consultants experts vous répondent !
Témoignages clients
IMPF
KDDI France fait ses premiers pas prometteurs dans le monde très spécifique de l’hébergement des données de santé, avec l’ouverture d’un cloud privé en plein cœur de Paris au sein de son propre Data Center et une première collaboration avec l'IMPF.
SECTA AUTOSUR
Depuis 10 ans, une infrastructure cloud de qualité pour nos applications coeur de métier
RESTALLIANCE
POURQUOI RESTALLIANCE A CHOISI KDDI FRANCE POUR HÉBERGER
SES INFRASTRUCTURES À LA SUITE D’UN INCIDENT MAJEUR ?
Difenso
DIFENSO, éDITEUR DE LOGICIELS DE GéNéRATION DE CLéS DE CHIFFREMENT ET DE DéCHIFFREMENT DE DONNéES SENSIBLES, A CHOISI D’HéBERGER SES SOLUTIONS CHEZ KDDI FRANCE.
Tenor Data Solutions
COMMENT TENOR DATA SOLUTIONS AMÉLIORE LA CONTINUITÉ DE SERVICES ET ASSURE LA DISPONIBILITÉ DE SES SOLUTIONS SAAS AVEC KDDI FRANCE ?
EasyVista
POURQUOI EASYVISTA A RETENU KDDI FRANCE COMME PARTENAIRE CLOUD DE CONFIANCE POUR SES APPLICATIONS SAAS ?
Japan Tobacco (Hong Kong) Limited
More efficient inventory management and import/export data entry are achieved with RPA solution "UiPath". Speed and accuracy are dramatically improved, while personnel can focus on more productive tasks. (English Page)
The Japan School Singapore
"RPA solution ""UiPath"" applied to student admission procedures.
Automation achieved without large costs. (English Page)"