Présentation de la tunnellisation inverse
La tunnellisation inverse est une méthode de sécurisation des communications entre clients et serveurs situés derrière un pare-feu. Cette technique renforce la sécurité et simplifie la gestion du pare-feu. Lorsque vous utilisez un tunnel inverse, le serveur établit une connexion avec le client. Ce tunnel de connexion est sécurisé par un fichier de clé préalablement échangé et qui contient un certificat d'identité. Une fois la connexion établie, le tunnel inverse permet une communication bidirectionnelle sans ouverture de ports entrants sur le pare-feu.
Contexte
Dans Security Center SaaS, la tunnellisation inverse est généralement utilisée pour connecter un ou plusieurs systèmes distants de Security Center à l’hôte FederationMC dans le nuage. L’utilisation d’un tunnel inverse simplifie la gestion du pare-feu et la configuration de Security Center Federation. Par défaut, le tunnel utilise un protocole TCP 5500 sortant pour connecter le site distant à l’hôte Federation.
Le diagramme suivant représente le flux de communication d’une instance Federation standard, en bleu, et d’une Federation avec un tunnel inverse, en violet.
Dans une instance Federation standard, l’hôte Federation est le client initiant la connexion au site fédéré, qui agit en tant que serveur. Ce flux est inversé dans une Federation à l'aide d'un tunnel inverse.
- Le rôle Serveur de tunnel inverse génère un fichier de clés comprenant un certificat d'identité, les données de connectivité réseau et un jeton à usage unique.
- Le rôle Tunnel inverse accepte le fichier de clés pour ouvrir le tunnel inverse.
- Le rôle Security Center FederationMC se connecte au site fédéré à l'aide du tunnel inverse.
Limites et exigences
- La tunnellisation inverse prend uniquement en charge le protocole TCP
- Le segment réseau utilisé pour la tunnellisation entre le site distant et l'hôte Federation doit prendre en charge le protocole Unicast TCP. Une fois que la vidéo atteint le nuage, le meilleur protocole de transport disponible peut être utilisé.
- Les flux vidéo doivent passer par un redirecteur avant et après le tunnel.
- Le mécanisme de tunnellisation n’est implémenté que pour les redirecteurs vidéo et demeure transparent pour l’application cliente.