Teleport

Fonctionnement technique

Teleport est une plateforme d'accès unifié Zero Trust qui sécurise l'accès à l'infrastructure : SSH, Kubernetes, bases de données (PostgreSQL, MySQL, MongoDB), applications web et bureaux Windows. Elle remplace les VPN, les bastions et les clés SSH statiques par une authentification basée sur des certificats éphémères et une vérification d'identité continue.

L'architecture se compose de trois composants principaux. Le Proxy Service est le point d'entrée unique pour tous les protocoles, terminant TLS et routant les connexions. L'Auth Service délivre des certificats x509 et SSH de courte durée (typiquement 8-12 heures) après authentification via SSO. L'Agent Service (ou Node) s'exécute sur chaque ressource protégée et vérifie les certificats présentés.

Chaque session est enregistrée intégralement (session recording) avec possibilité de rejouer les sessions SSH et les requêtes SQL. Les certificats éphémères éliminent le besoin de distribuer et révoquer des clés SSH : à expiration du certificat, l'accès est automatiquement révoqué. Le principe du just-in-time access permet de demander des élévations temporaires approuvées par workflow.

Cas d'usage

Teleport est adopté par les équipes SRE/DevOps qui gèrent des centaines de serveurs et clusters Kubernetes. Il centralise l'accès avec un audit trail complet, satisfaisant les exigences de conformité SOC 2, PCI DSS, HIPAA et FedRAMP. L'authentification SSO avec des certificats éphémères élimine le risque de clés SSH compromises ou oubliées sur des machines.

Pour l'accès aux bases de données, Teleport agit comme un proxy qui authentifie l'utilisateur via SSO avant de générer des credentials de base de données temporaires. Les DBA n'ont plus besoin de connaître les mots de passe de base de données, et chaque requête SQL est journalisée pour l'audit.

Outils et implémentation

Teleport est disponible en édition open source (Community) et commerciale (Enterprise/Cloud). Le client tsh (Teleport Shell) remplace le client SSH classique : tsh login --proxy=teleport.example.com puis tsh ssh user@server. L'interface web offre un terminal SSH dans le navigateur et un gestionnaire de sessions.

tctl est l'outil d'administration pour gérer les rôles, les nœuds et les politiques d'accès. Machine ID fournit des identités machine pour l'automatisation CI/CD. Teleport Connect est une application desktop (Electron) offrant une interface graphique pour se connecter aux ressources. L'intégration avec Slack/PagerDuty permet les workflows d'approbation d'accès.

Défense / Bonnes pratiques

Déployez Teleport en haute disponibilité avec plusieurs instances Proxy et Auth derrière un load balancer. Utilisez un backend de stockage distribué (DynamoDB, etcd, PostgreSQL) pour le cluster Auth. Configurez le chiffrement at-rest pour les enregistrements de sessions qui peuvent contenir des données sensibles.

Définissez des rôles RBAC granulaires limitant l'accès par environnement (prod/staging/dev), par label de serveur et par base de données. Implémentez les access requests avec approbation obligatoire pour les accès de production. Configurez la durée des certificats au minimum nécessaire (4-8 heures pour les développeurs).

Activez l'audit logging et exportez les événements vers votre SIEM pour la corrélation avec d'autres sources de sécurité. Surveillez les access requests non approuvées et les tentatives d'accès à des ressources hors scope. Activez la détection d'anomalies pour identifier les comportements suspects (connexions depuis des géolocalisations inhabituelles, horaires atypiques).

Articles associés

Voir nos articles détaillés sur ce sujet.