parallels-awingu

Corel acquiert Awingu pour accélérer son offre d'espace de travail à distance sécurisé. Lire la suite

MFA sur RDP : quelles sont les options ?

Qu'est-ce que le protocole de bureau à distance et pourquoi faut-il le sécuriser ?

RDP (Remote Desktop Protocol) est l'une des technologies les plus utilisées pour accéder à des applications ou à des postes de travail basés sur des serveurs et pour permettre l'accès à distance des utilisateurs. Remote Desktop Web Access est un protocole de communication réseau sécurisé développé par Microsoft qui permet d'accéder aux applications (RemoteApp) fonctionnant sur un Terminal Server sans connexion VPN.

Malheureusement, l'utilisation de RDP dans sa forme la plus simple représente un risque énorme pour la sécurité. Le NCSC (National Cyber Security Centre) britannique a identifié le RDP non protégé comme étant la raison #1 des attaques de ransomware. Et ces bouffonneries peuvent se produire très, très rapidement lorsqu'on utilise simplement des mots de passe sans autre mesure de sécurité...

Une expérience de "pot de miel" menée par l'unité 42 au cours de l'été 2021 a révélé que 80% ( !) de ses configurations de bureau à distance non protégées ont été piratées dans les 24 heures. Ouch. Et ces attaques ne sont pas isolées : en moyenne, les environnements RDP des pots de miel sont attaqués tous les ans. 11 heures.

Il est clair que le besoin de créer davantage de mesures de sécurité est élevé, sans compliquer les paramètres pour les administrateurs et l'expérience de connexion pour les utilisateurs finaux.

Capture d'écran de l'activation de RDP.
RDP est un moyen solide d'accéder à un ordinateur distant. Cependant, sans protection ou "nu", il devient une énorme responsabilité en matière de cybersécurité.

Qu'est-ce que l'authentification multifactorielle et comment fonctionne-t-elle ?

L'une des recommandations pour protéger l'environnement Remote Desktop contre le piratage et garantir une sécurité maximale est d'ajouter l'authentification multifactorielle (MFA). Notez que c'est l'une des recommandations, mais loin d'être la seule. Cependant, c'est une recommandation qui devrait figurer dans la politique globale de chaque entreprise.

L'authentification multifactorielle est une méthode d'authentification sécurisée qui, au lieu de demander un nom d'utilisateur et un mot de passe, exige des utilisateurs qu'ils fournissent d'autres facteurs de vérification, comme une clé de sécurité. Ce n'est qu'ensuite que les utilisateurs peuvent se connecter et accéder aux ressources qu'ils souhaitent utiliser.

Par exemple, pour se connecter, on utilise quelque chose que l'on sait (mot de passe) et quelque chose que l'on a (code d'accès unique généré dans une application d'authentification sur votre téléphone portable comme clé de sécurité). Une autre vérification pourrait consister à utiliser quelque chose que vous "êtes", comme votre empreinte digitale ou votre visage.

Dans le cas de l'authentification multi-facteurs, les utilisateurs doivent se vérifier à l'aide d'informations d'identification provenant d'au moins deux ou plus de trois facteurs différents, alors que nous parlons d'authentification à deux facteurs (2FA) lorsque les utilisateurs n'ont besoin que de deux informations d'identification pour obtenir un accès.

Nous ne pouvons qu'insister sur le fait qu'il est vraiment important de configurer au moins une authentification à deux facteurs, car l'utilisation exclusive de mots de passe peut rendre le réseau de votre entreprise vulnérable.

Comment activer le MFA pour RDP ?

On pourrait penser que si de nombreuses entreprises n'utilisent pas l'authentification multifactorielle comme couche supplémentaire au RDP aujourd'hui, c'est parce qu'il y a un manque de solutions. Cependant, le contraire est vrai : le nombre d'options dans l'espace MFA pour sécuriser votre accès sont aussi nombreuses qu'il y a de poissons dans l'océan. Chez Awingu, nous avons également fourni des capacités intégrées d'authentification à deux facteurs dans le cadre du produit depuis le premier jour.

L'objectif de cet article est d'apporter une certaine structure dans vos options de solutions MFA. Nous ajouterons quelques solutions de fournisseurs spécifiques, mais n'oubliez pas qu'il existe de nombreux acteurs dans ce domaine. Plutôt que de comparer les fournisseurs, nous allons examiner l'architecture, la complexité de la configuration et les éléments de coût en jeu.

Nous ne faisons aucune analyse (ou jugement) sur la génération de jetons MFA qui est meilleure que l'autre dans ce blog.Par exemple, le SMS comme jeton est-il aussi sûr qu'un jeton basé sur le temps et généré sur un téléphone, etc.

Quelles sont les options pour le MFA ?

Au niveau le plus élevé, l'authentification multi-facteur peut être ajoutée à RDP en utilisant :

  1. Un fournisseur/produit d'authentification multi-facteur comme Duo Security, OKTA MFA, ... et bien d'autres ;

  2. Utilisation d'un fournisseur d'identité externe (IdP) et les services MFA liés à cet IdP. Plus précisément, nous examinons Azure Active Directory de Microsoft et le service Azure MFA lié ;

  3. Utiliser un VPN (supposons qu'il s'agisse d'une authentification basée sur l'AMF) avant d'autoriser l'accès au service RDP. La meilleure pratique consiste toujours à ajouter au moins une authentification à deux facteurs en plus de la connexion au bureau à distance ;

  4. Authentification par certificat où le certificat joue en quelque sorte le rôle du second facteur ;

  5. Awinguune solution d'accès à distance par navigateur qui rend les applications/postes de travail basés sur RDP disponibles en HTML5 (sur n'importe quel navigateur). Awingu est livré avec des options MFA intégrées et permet des combinaisons avec (1) des produits d'authentification multi-facteur tiers et (2) des fournisseurs d'identité (IdP).

Les possibilités d'authentification multifactorielle sont comparées à différents niveaux.

Dans cette comparaison, nous avons fait une distinction entre (a) les déploiements de bureau à distance qui s'appuient sur le client RDP pour lancer les services RDP et (b) les déploiements avec la passerelle Remote Desktop. Cette dernière est une application web qui permet de lancer des services RDP à partir du navigateur et, de là, d'ouvrir un fichier de configuration qui poussera le client RDP installé localement sur l'appareil à s'ouvrir. L'avantage d'utiliser une passerelle Remote Desktop est que seul le port 443 (https) est ouvert. L'option (a) nécessite l'ouverture du port 3389 pour une utilisation externe, ce qui est un échec du point de vue de la sécurité.

Pour être complet : Awingu ne nécessite pas l'utilisation de Remote Desktop Gateway. Il se connecte via le protocole Remote Desktop aux hôtes de la session RD (serveur du bureau) et agit ensuite comme une passerelle HTML5, rendant toutes les sessions disponibles en https dans le navigateur (en utilisant seulement le port 443). Le protocole RDP en tant que tel n'est pas rendu disponible à l'extérieur. Si Awingu remplace la passerelle RD, il offre en fait beaucoup plus.

Comment comparer les solutions d'authentification multifactorielle ?

Osez comparer... même si c'est un peu comme comparer des pommes avec des oranges. Nous avons essayé d'avoir une perspective sur :

  • Complexitéplus les réglages sont complexes, plus il y a de risques d'échec et plus cela prend du temps ;

  • Coût: quels sont les différents éléments qui doivent être achetés ou installés (par exemple, l'infrastructure de consommation) ?

  • Accès à tout appareilL'utilisation de l'Internet : cela peut s'avérer pertinent lorsque, par exemple, vous autorisez le BYOD pour vos utilisateurs, ou lorsque vous avez des utilisateurs externes (tels que des contractants) qui doivent se connecter au réseau de votre entreprise pour accéder à vos services de protocole de bureau à distance ;

  • Évaluation du risque relatif : la plus délicate de toutes. D'une part, parce que le déploiement (correct) lui-même joue un rôle important. Et d'autre part, parce qu'il existe des différences au sein de chaque catégorie (pour lesquelles nous faisons une abstraction complète).

Tableau avec aperçu des différentes solutions et de leur comparaison.
Vue d'ensemble des différents types de solutions et comment ils se comparent les uns aux autres.

Comment activer le MFA avec RDP en utilisant Awingu ?

Qu'est-ce que l'Awingu ?

Awingu est pas un produit d'authentification à deux facteurs. Si vous demandez à Gartner, Awingu est un espace de travail unifié que vous pouvez utiliser pour donner aux utilisateurs un accès à distance sécurisé. Il regroupe différentes applications, des postes de travail et des serveurs de fichiers et les met à la disposition des utilisateurs dans le navigateur (avec la possibilité d'une authentification unique) par le biais de sa fonction "RDP-to-HTML5" gateway.

Il peut s'agir de services distants Desktop, mais aussi d'applications web (qui exploitent le Reverse Proxy d'Awingu). Avoir toutes les applications disponibles dans un navigateur est vraiment pratique : il n'y a pas de données locales sur le dispositif, et les utilisateurs peuvent travailler à partir de n'importe quel dispositif (quel que soit le formfactor).

Capture d'écran de l'espace de travail d'Awingu.
Capture d'écran de l'espace de travail d'Awingu 5.0 : Lorsque les utilisateurs se connectent et accèdent à l'espace de travail, ils peuvent avoir un aperçu de leurs applications et de leurs fichiers.

Cela signifie que vous pouvez facilement configurer et utiliser Awingu pour fournir un accès sécurisé à vos employés et contractants externes, afin qu'ils puissent accéder à toutes les ressources de l'entreprise pour travailler de n'importe où. Bien sûr, vous pouvez activer des capacités de sécurité supplémentaires pour restreindre cet accès dans un certain contexte lorsque cela est nécessaire par exemple. Ceci peut être facilement configuré dans les paramètres.

Puis-je ajouter l'authentification multi-facteur à RDP avec Awingu ?

Oui, parce qu'en plus d'offrir un 'gateway' sécurisé, Awingu ajoute vraiment beaucoup de 'Capacités de sécurité "Zero Trust" disponibles pour l'administrateur dans les paramètres avancés.

Surtout en plus des environnements de protocole de bureau à distance typiquement vulnérables, ceux-ci sont très intéressants car toutes les fonctions de sécurité font partie du même produit. Elles peuvent être activées et gérées par l'équipe informatique à partir de la même console de gestion Awingu (via les paramètres du système Awingu).

Aperçu des capacités Zero Trust de l'Awingu
Aperçu des capacités Zero Trust de l'espace de travail unifié Awingu.

L'une des fonctionnalités intégrées est en effet l'authentification multi-facteur. Awingu permettra la génération de jetons basés sur le temps (TOTP) ainsi que sur le compteur (HOTP). Cela signifie que vous n'avez pas besoin d'acheter une autre solution MFA pour assurer une authentification sécurisée pour les utilisateurs quand ils ont besoin d'accès.

Voulez-vous que les utilisateurs finaux qui se connectent à l'espace de travail utilisent une authentification à deux facteurs avant d'y accéder ? Ceci est facilement configurable pour les administrateurs dans les paramètres. Pour les utilisateurs, la sécurité et la simplicité sont essentielles. Ils n'ont donc pas à se soucier des étapes difficiles. Ils peuvent simplement installer une application d'authentification sur leurs téléphones, comme Microsoft Authenticator ou Google Authenticator. Après avoir vérifié leurs appareils avec le code de vérification, ceux-ci peuvent être considérés comme des appareils mémorisés. Lorsque les utilisateurs veulent se connecter à nouveau à l'espace de travail plus tard, ils peuvent simplement utiliser leur téléphone pour obtenir des mots de passe uniques pour l'authentification.

Si vous souhaitez plus d'options de jetons pour un accès sécurisé, Awingu peut permettre l'utilisation d'autres systèmes (tels que les services basés sur RADIUS, ou la sécurité DUO, ou les services basés sur IdP tels que Azure Multi Factor Authentication ou IdenProtect) pour une authentification sécurisée. 

Les autres fonctions de sécurité que vous pouvez activer en tant qu'administrateur pour sécuriser l'accès sont l'enregistrement des sessions, le contrôle granulaire de l'utilisation, la prise en compte du contexte (sur la localisation géographique ou l'adresse IP), ...

Awingu est-il une solution simple ?

Curieux de savoir quelle est la seule chose que tous les clients et partenaires d'Awingu aiment ? Eh bien, c'est le fait que Awingu est si simple à mettre en place et à gérer pour l'accès à distance. Cette simplicité est due à l'architecture : une simple appliance virtuelle qui peut être installée dans votre cloud (infrastructure) de choix.

L'appliance virtuelle Awingu agira alors comme un gateway et se connectera en utilisant des protocoles standard à votre back-end : Remote Desktop Protocol (RDP), WebDAV, CiFS, ... Awingu n'a pas de base de données utilisateur intégrée et se rabat sur l'Active Directory ou un IDP externe pour cela.

Aperçu de l'architecture simple de l'Awingu
L'architecture d'Awingu est vraiment simple et non intrusive pour votre infrastructure. La solution agit comme un gateway entre le dispositif de l'utilisateur final et le back-end de l'entreprise.

Cela signifie que vous n'avez pas besoin d'installer (ou de gérer) quoi que ce soit de supplémentaire dans le back-end. De même, pour l'utilisateur final, il n'y a rien à installer. (*) La seule chose dont les utilisateurs ont besoin est un navigateur (que ce soit sur un Chromebook, un iPad, un ordinateur Windows, ...) pour accéder à tout ce dont ils ont besoin pour travailler. Il n'y a donc pas de connexion directe ou de tunnel vers le réseau de l'entreprise.

(*) Il est possible de travailler avec des cartes à puce dans Awingu, mais dans ce cas l'utilisateur devra installer l'Awingu Remote Application Helper, mais c'est la seule exception.

Une fois authentifié dans l'espace de travail, plus besoin d'ajouter des identifiants et des mots de passe pour accéder aux applications connectées, aux bureaux ou aux serveurs de fichiers, car Awingu s'occupe de l'authentification unique en toute sécurité.

Couverture de l'Awingu Whitepaper sur la sécurisation de RDP

Vous voulez en savoir plus sur la manière dont Awingu ajoute des couches de sécurité à votre RDP ?

Téléchargez notre livre blanc : " Au-delà de RDP "

TÉLÉCHARGER LE LIVRE BLANC
A propos de l'auteur
place arnaud
Arnaud Marliere

Directeur général des ventes et du marketing

  • Une expérience de pot de miel de l'unité 42 : https://inf.news/en/science/577260735e9c3928aead881fd5e68275.html
Table des matières
Vous voulez en savoir plus sur l'Awingu ?
Ce site web utilise des cookies. Lisez notre transparent politique en matière de cookies!