🔒 OverSOC Gateway

Qu'est-ce que c'est ?

Une VM préconfigurée qui permet à OverSOC d'accéder de manière sécurisée à vos APIs internes sans configuration VPN complexe. Déployez dans votre DMZ, configurez les règles firewall, et c'est terminé en moins d'1 heure.

La solution utilise Tailscale, un VPN mesh moderne basé sur le protocole WireGuard(r).

Avantages clés :

• ✅ Pas de tunnels IPSec ou certificats à gérer
• ✅ Aucun port entrant à ouvrir sur votre firewall
• ✅ La VM s'auto-configure au premier démarrage
• ✅ Seul OverSOC peut accéder à la VM (isolation réseau privée)
• ✅ Vous contrôlez exactement quelles APIs exposer

Fourni avec : VM Ubuntu 24.04 LTS avec Tailscale VPN pré-installé.

Comment ça Fonctionne

Vue d'Ensemble de l'Architecture

La VM se place dans votre DMZ et agit comme un pont sécurisé entre OverSOC et vos APIs internes. Toutes les connexions sont initiées en sortie depuis la VM—aucun trou dans votre firewall.

Modèle de Sécurité

Isolation Réseau Privée :

• La VM rejoint le réseau privé Tailscale d'OverSOC (tailnet)
• Seule la plateforme OverSOC peut y accéder—pas Internet public, pas d'autres utilisateurs Tailscale
• La VM ne peut pas accéder à l'infrastructure OverSOC—elle ne fait que relayer vos APIs

Zero Trust par Défaut :

• La VM démarre sans aucun accès à votre réseau interne
• Chaque API nécessite une règle firewall explicite
• Aucun mouvement latéral possible

Chiffrement :

• WireGuard avec ChaCha20-Poly1305
• Chiffrement bout-en-bout entre OverSOC et votre VM
• Rotation automatique des clés

Comment Circulent les Données :

• Direct peer-to-peer quand possible (meilleures performances)
• Relais chiffré en fallback quand connexion directe impossible
• Service de coordination (*.tailscale.com) gère uniquement l'authentification—ne route PAS vos données

Guide de Déploiement

Prérequis

• Hyperviseur : VMware vSphere/ESXi, Nutanix AHV ou KVM
• Ressources : 2 vCPU, 2 GB RAM, 10 GB stockage
• Réseau : Accès internet sortant, résolution DNS
• Positionnement : DMZ ou VLAN isolé

Format de livraison

Phase 1 : Déployer la VM (15 minutes)

VMware ESXi / vSphere

1. Ouvrir le vSphere Client (interface web)
2. Clic droit sur l'hôte ou le cluster > Deploy OVF Template...
3. Sélectionner Local file et choisir le fichier .ova fourni
4. Suivre l'assistant : nommer la VM, choisir le datastore, sélectionner le réseau (VLAN/portgroup)
5. Cliquer sur Finish et attendre la fin de l'import
6. Démarrer la VM

Nutanix AHV

1. Ouvrir Prism Central > Compute & Storage > Images > Add Image
2. Uploader le fichier .qcow2 fourni, type Disk, placer sur le cluster cible
3. Aller à Compute & Storage > VMs > Create VM
4. Configurer : 2 vCPU, 2 GB RAM
5. Attacher un disque : Clone from Image > sélectionner l'image uploadée
6. Ajouter un NIC sur le subnet/VLAN souhaité
7. Sauvegarder et démarrer la VM

Configuration réseau

La VM est configurée en DHCP par défaut. Si votre réseau dispose d'un serveur DHCP, la VM obtiendra automatiquement une adresse IP au démarrage.

Si vous n'avez pas de DHCP, configurez une adresse IP statique :

1. Ouvrir la console de l'hyperviseur (VMware ou Nutanix)
2. Se connecter avec le login ubuntu et le mot de passe fourni par OverSOC
3. Éditer la configuration réseau :

sudo nano /etc/netplan/01-netcfg.yaml

Remplacer le contenu par (adapter les adresses à votre réseau) :

network:
  version: 2
  ethernets:
    all-en:
      match:
        name: "en*"
      addresses: [192.168.100.10/24]
      routes:
        - to: default
          via: 192.168.100.1
      nameservers:
        addresses: [8.8.8.8, 1.1.1.1]

4. Appliquer et relancer la connexion VPN :

sudo netplan apply
sudo systemctl restart tailscale-gateway-init

Vérification

• La bannière console affiche l'adresse IP LAN et l'adresse IP Tailscale après le démarrage
• En vous connectant en SSH, le message d'accueil affiche le statut de la connexion VPN

Phase 2 : Configurer les Firewalls (15-30 minutes)

Firewall Edge (DMZ -> Internet) :

Source : IP de la VM (ex: 192.168.100.10)
Destination : *.tailscale.com:443/tcp
Action : AUTORISER

Source : IP de la VM
Destination : derp*.tailscale.com:443/tcp,udp
Action : AUTORISER

Source : IP de la VM
Destination : 51.15.222.156:41641/udp (IP sortante OverSOC)
Action : AUTORISER

Par défaut : REFUSER tout autre trafic sortant

Firewall Interne (DMZ -> Réseau Interne) :

Source : IP de la VM (ex: 192.168.100.10)
Destination : 10.0.1.50:8443/tcp (API cible)
Action : AUTORISER

Source : IP de la VM
Destination : 10.0.0.0/8 (tout autre interne)
Action : REFUSER

Phase 3 : Activation et ajout des sources de données

Une fois la VM déployée et les firewalls configurés, informez OverSOC que la VM est en ligne. OverSOC vérifie la connexion VPN et valide le bon fonctionnement.

Une fois la Gateway connectée, elle apparaît automatiquement dans votre interface OverSOC lorsque vous ajoutez une source de données. C'est vous qui configurez les accès aux APIs cibles :

1. Dans OverSOC, aller dans Sources de données > Ajouter
2. Sélectionner votre Gateway comme point de collecte
3. Renseigner les informations de connexion à l'API cible

Vos actions :

• Vous assurer que les règles firewall internes autorisent la VM à joindre les adresses IP de vos APIs
• Ajouter vos sources de données dans OverSOC en utilisant les adresses IP de vos services

Accès à la VM

Recommandation de sécurité : une fois la VM connectée au réseau, configurez une clé SSH et désactivez le mot de passe :

# Ajouter votre clé SSH
echo "ssh-ed25519 AAAA... votre@email" >> ~/.ssh/authorized_keys

# Désactiver le mot de passe
sudo passwd -d ubuntu

Commandes utiles :

• tailscale status — Vérifier l'état de la connexion VPN
• sudo gateway-reconfig — Menu de reconfiguration (changer la clé VPN, reconnecter)

Détails Techniques

Flux Réseau Requis

Flux sortants requis :

Aucune règle entrante requise. WireGuard utilise des connexions avec état—les réponses sont automatiquement autorisées.

Ce qui est Fourni

• VM Ubuntu 24.04 LTS avec configuration durcie
• Agent VPN Tailscale préconfigué pour l'auto-enrolement
• Mises à jour automatiques de sécurité (OS + VPN)
• Documentation et support OverSOC

FAQ

Q : Devons-nous ouvrir des ports entrants sur notre firewall ? R : Non. Toutes les connexions sont sortantes depuis la VM. Aucun trou dans votre firewall.

Q : Comment accéder à la VM ? R : Via la console de votre hyperviseur (VMware/Nutanix) avec le login ubuntu et le mot de passe fourni par OverSOC. Vous pouvez également vous connecter en SSH une fois le réseau configuré.

Q : Que faire si la VM n'a pas de DHCP ? R : Connectez-vous via la console de l'hyperviseur et configurez une IP statique. Voir la section Configuration réseau.

Q : Qui peut accéder à la VM ? R : Uniquement OverSOC. La VM fait partie du réseau privé Tailscale d'OverSOC, isolé d'Internet et de tout autre accès.

Q : La VM peut-elle accéder à notre réseau interne ? R : Seulement ce que vous autorisez explicitement via vos règles firewall. Par défaut : zéro accès.

Q : Que se passe-t-il si la VM est compromise ? R : Le rayon d'impact est limité aux APIs explicitement autorisées par vos règles firewall. La VM ne peut pas pivoter vers d'autres ressources.

Q : Quel est l'impact sur les performances ? R : L'overhead WireGuard est < 5%. Le mode peer-to-peer performe comme une connexion directe.

Q : Que faire si la connexion VPN tombe ? R : Connectez-vous à la VM et lancez sudo gateway-reconfig pour reconnecter. Si le problème persiste, contactez le support OverSOC.

Q : Comment révoquer un accès ? R : Contactez OverSOC. La révocation est instantanée (propagation < 30 secondes).

Q : Peut-on exposer plusieurs APIs ? R : Oui. Ajoutez une règle firewall par API que vous souhaitez rendre accessible.