Renforcement de la sécurité Devolutions Server

Le renforcement de la sécurité consiste à implanter diverses mesures de sécurité pour se protéger contre les cybermenaces et assurer la confidentialité, l'intégrité et la disponibilité du système. Les différents sujets de documentation et de base de connaissances ci-dessous sont organisés dans un ordre logique que vous pouvez suivre avant, pendant et après la configuration et le déploiement de Devolutions Server. Ils contiennent des informations utiles, des meilleures pratiques et des étapes à suivre pour vous assurer que votre Devolutions Server est aussi sûr que possible.

Le sujet actuel est principalement basé sur le Tableau de bord de la sécurité. Voir Tableau de bord de sécurité de Devolutions Server pour une liste d'éléments d'action incluant des descriptions courtes et des mesures d'atténuation.

Exigences systèmes et topologies

Les spécifications matérielles et logicielles minimales recommandées pour Devolutions Server peuvent varier selon votre utilisation prévue. Visiter Exigences du système pour apprendre ce qui est requis pour votre situation.

Les instances de Devolutions Server peuvent être installées selon différentes topologies. Déterminer celle qui est la plus adaptée à vos besoins dans Topologies. S'assurer que les ports requis sont disponibles.

Paramètres des comptes d'administration

Avant le déploiement d'une instance Devolutions Server, certains comptes sont nécessaires pour faire fonctionner les divers services impliqués dans un déploiement sécurisé de Devolutions Server.

Le nombre d'administrateurs ne devrait pas dépasser 5. Limiter le nombre d'administrateurs actifs au sein de la plateforme réduira la surface d'attaque d'un assaillant uniquement à ces comptes configurés. Avoir plus de 5 administrateurs peut également être un signe de mauvaise séparation des tâches au sein de l'unité d'affaires ou de l'organisation.

Les comptes de la base de données devraient être différents pour l'application web, le planificateur et les outils de gestion. Accorder et appliquer des privilèges minimums pour que les comptes de service et de base de données fonctionnent. Des comptes de service et de base de données partagés et excessivement privilégiés peuvent induire une exposition aux risques de sécurité inutile.

Le compte administratif MSSQL "sa" par défaut est un compte à haute privilèges qui devrait être utilisé uniquement pour gérer l'instance de la base de données. Un utilisateur ou compte de service avec moins de privilèges est préféré pour réduire l'impact d'une compromission.

La première décision est d'utiliser soit des comptes de domaine pour faire fonctionner la plateforme, soit d'utiliser des comptes SQL locaux jumelés à des comptes de service locaux. Étant donné que cette décision est une question de préférence personnelle, nous soutenons les deux modèles. Voir chacun d'eux et ce qu'ils impliquent dans Enquête sur les comptes pré-déploiement et apprendre à les configurer dans Identifiants Avancés.

Pour utiliser l'authentification unique (SSO) de domaine pour se connecter à la base de données, vous devez définir le pool d'applications pour qu'il utilise un compte de domaine à exécuter. Suivez les étapes dans Configurer Devolutions Server pour utiliser l'authentification unique de domaine (SSO).

Ports et communication sécurisée

Bien que Devolutions Server en lui-même ne dicte pas quels ports utiliser pour l'ensemble des ressources auxquelles il accède, nous recommandons tout de même la pratique de sécurité de la segmentation du réseau. Vous devez consulter votre administrateur système pour déterminer quelles adaptations doivent être faites pour que le système fonctionne avec votre infrastructure. Voir Ports et Pare-feu.

Les communications sécurisées garantissent l'intégrité et la confidentialité des données transmises entre le client et le serveur. Ainsi, il est important de sécuriser les communications LDAP avec la méthode LDAP Over SSL (LADPS). Voir Domaines pour apprendre comment l'activer.

Après avoir configuré l'instance Devolutions Server et vous être connecté via une application client, vous pouvez suivre les étapes de Configurer SSL pour importer un certificat ou créer un certificat autogénéré, créer une liaison SSL, activer HTTPS, et configurer les paramètres SSL dans les applications clientes. Réaliser ces étapes dès le début peut ajouter un niveau de complexité qui peut vous empêcher de réussir la configuration initiale.

URI d'accès

Si vous mettez à jour votre Devolutions Server d'une version antérieure à 2022.1 vers 2022.2 ou plus tard, suivez les étapes dans URI d'accès. Pendant le processus de mise à jour ou d'installation de Devolutions Server, nous devons fournir une URI d'accès. Cette URI est une URL de redirection utilisée par le système OAuth et redirige le trafic d'authentification vers l'URI d'accès.

Access URI
Access URI

Chiffrement

Pour s'assurer que la communication entre l'instance de Devolutions Server et la base de données SQL Server est chiffrée, une procédure exhaustive doit être suivie sur l'instance de SQL Server. Voir Chiffrer les connexions à SQL Server.

Use SQL Server encrypted connection
Use SQL Server encrypted connection

Lors de l'utilisation de comptes de connexion SQL Server, chiffrer les fichiers web.config et appsettings.json est d'une importance capitale, car des informations sensibles y sont stockées. Visiter Chiffrer le fichier web.config pour plus d'informations et de recommandations.

La clé de chiffrement est utilisée pour chiffrer les entrées de données (connexions, coffre de l'utilisateur, documentation et pièces jointes). Les clés de chiffrement sont générées et stockées dans le fichier encryption.config uniquement sur le serveur. Apprendre comment les exporter, importer et les régénérer dans Gérer les clés de chiffrement.

Encryption Keys Management
Encryption Keys Management

Pour les entreprises nécessitant les normes FIPS (Federal Information Processing Standards), se référer à FIPS (Chiffrement).

Gestion des sauvegardes et des journaux

Le Gestionnaire de sauvegarde accessible depuis l'interface web de Devolutions Server permet aux administrateurs de configurer les paramètres pour sauvegarder la base de données et le dossier de l'application web. Les sauvegardes devraient être activées et configurées sur un support externe ou un stockage en nuage pour éviter la perte permanente de données.

Backup Manager
Backup Manager

Aussi, apprendre les exigences et les étapes pour configurer correctement le Planificateur de sauvegarde de Devolutions Server et des instructions sur comment restaurer votre instance de Devolutions Server après un sinistre dans Sauvegarder et restaurer Devolutions Server.

Concernant les journaux, il est recommandé de les envoyer à un système externe pour maintenir l'intégrité et la disponibilité des informations sur les événements. Configurer la fonctionnalité Journalisation dans l'interface web de Devolutions Server.

Logging
Logging

Durée de vie du jeton d'actualisation

Une durée de session excessive peut permettre une exposition au-delà de ce qui est nécessaire pour des utilisateurs non autorisés. Le temps de vie du jeton de rafraîchissement devrait donc être configuré à moins de 24 heures (1440 min). Ceci peut être configuré dans les Paramètres avancés du serveur via l'interface web de Devolutions Server.

Refresh Token Lifetime
Refresh Token Lifetime

Notifications par courriel

Une configuration de serveur de courriel est requise pour transmettre des messages importants d'application tels que des événements de sécurité ou des erreurs. Ils peuvent être configurés dans l'interface Web. Voir Configurer un courriel SMTP ou Configurer un courriel SMTP avec Azure pour des étapes de configuration et des informations sur chaque réglage.

Email Configuration
Email Configuration

Mot de passe de la console Devolutions Server

Il est recommandé d'ajouter une autre couche de sécurité en activant et en définissant un mot de passe pour la console Devolutions Server. Apprendre à propos de ce réglage de mot de passe et de tous les autres réglages de la console Devolutions Server dans Console Devolutions Server.

Set a Devolutions Server Console password
Set a Devolutions Server Console password

Tableau de bord de la sécurité de Devolutions Server

Le Tableau de bord de sécurité de Devolutions Server est un outil pour offrir des conseils sur comment améliorer la sécurité de la plateforme Devolutions Server et également des astuces pour réduire la charge de travail des administrateurs. Certaines astuces sont des meilleures pratiques courantes en matière de sécurité de l'information, d'autres sont un consensus entre nos propres équipes. Il peut être accédé à tout moment depuis l'interface web de Devolutions Server, dans Administration – Gestion de la sécurité – Tableau de bord de la sécurité.

Les scores sont certes susceptibles d'être remis en question et nous ne prétendons pas que chaque sujet ait la même valeur relative pour tous les membres de la communauté. Atteindre 100% n'est sûrement pas un objectif final en soi, nous visons simplement à sensibiliser et à donner des idées pour votre propre renforcissement de sécurité.

Security Dashboard
Security Dashboard
Devolutions Forum logo Donnez-nous vos commentaires