L'accès Zero Trust à distance permet à un ingénieur, un prestataire ou un opérateur d'astreinte d'atteindre une enclave protégée depuis l'extérieur de votre site. Au lieu d'un VPN en tunnel complet qui place l'utilisateur sur le réseau d'entreprise, Access Gate lie le terminal distant à un overlay Tailscale et n'expose que les enclaves que l'identité de l'utilisateur est autorisée à atteindre.
En quoi c'est différent d'un VPN
Un VPN traditionnel se termine sur une passerelle d'entreprise et place la machine distante sur un sous-réseau étendu. Le risque de mouvement latéral est élevé, et la revue des accès est un exercice périodique.
L'accès ZT à distance fonctionne différemment :
| Aspect | VPN traditionnel | Accès ZT à distance |
|---|---|---|
| Surface accessible | Tout le réseau une fois connecté | Uniquement les enclaves autorisées par le rôle de l'utilisateur |
| Authentification | Identifiant de passerelle (souvent partagé) | Identité par utilisateur via votre IdP |
| Présence réseau | IP de l'utilisateur sur le LAN d'entreprise | IP overlay isolée du LAN |
| Modèle de politique | Règles de pare-feu par IP | ACLs par utilisateur / groupe |
| Révocation | Désactivation du compte VPN (globale) | Suppression de l'utilisateur de l'enclave / du groupe (par ressource) |
L'overlay est fourni par le client Tailscale intégré — voir Réseau privé virtuel pour les détails d'intégration.
Ce que voit l'utilisateur
- L'utilisateur distant installe Tailscale sur son terminal (ou il est pré-installé par l'IT).
- Il se connecte à Tailscale via votre fournisseur d'identité existant (OIDC / SAML).
- Il accède aux enclaves associées à son rôle — aux IP overlay publiées par Access Gate. Les systèmes non associés à son rôle sont invisibles.
- Lorsque l'utilisateur quitte le groupe (ou que son rôle expire), la route overlay disparaît.
Pas de configuration VPN statique. Pas de connexion par passerelle par site. Pas de route permanente vers le réseau de production.
Intégration avec les enclaves
Chaque enclave activée pour l'accès à distance reçoit un point de terminaison overlay. Access Gate annonce ce point de terminaison aux terminaux Tailscale dont l'identité utilisateur figure dans l'ACL de l'enclave. Le protocole utilisé par l'utilisateur pour communiquer avec l'actif (HTTPS, Modbus, protocole fil d'une base de données) reste inchangé — Access Gate se contente de contrôler le chemin.
Pour les sessions administratives — RDP, SSH, VNC, avec enregistrement de session — voir Gestion des accès à privilèges. Ce chemin passe par un proxy navigateur plutôt que par l'overlay et ajoute des contrôles d'audit par session.
Configuration
1. Connecter Tailscale à votre IdP
- Dans l'administration Tailscale, liez votre fournisseur SSO (Entra ID, Okta, Google Workspace).
- Créez des groupes Tailscale qui reflètent les groupes IdP que vous utilisez déjà pour les décisions d'accès (
ot-engineers,remote-vendors).
Access Gate lit ces identités directement — vous n'avez pas à reconfigurer votre annuaire utilisateurs ici.
2. Activer l'accès à distance sur l'enclave
- Accédez à Enclaves → [Votre enclave] → Accès à distance.
- Activez Accès Zero Trust à distance.
- Sélectionnez les groupes Tailscale autorisés à atteindre cette enclave.
- Enregistrez.
Seuls les groupes listés ici peuvent voir l'enclave depuis l'extérieur du site. Tout le reste reste invisible aux terminaux Tailscale.
3. Restreindre les protocoles
L'accès ZT à distance transfère les protocoles autorisés par l'ACL de l'enclave pour l'utilisateur. Si un opérateur ne doit communiquer qu'en HTTPS avec un historien, l'ACL doit le préciser — Access Gate n'ouvre pas silencieusement des ports supplémentaires.
Voir Listes de contrôle d'accès pour affiner l'ensemble de protocoles par utilisateur.
Révocation
Deux façons de couper l'accès à distance :
- Supprimer l'utilisateur du groupe dans votre IdP. Tailscale prend en compte la modification au prochain renouvellement de jeton et la route overlay disparaît.
- Désactiver le commutateur d'accès à distance de l'enclave. Tous les utilisateurs distants perdent l'accès à l'enclave simultanément — utile lors d'un incident.
Les deux événements apparaissent dans l'historique des modifications de l'enclave.
Voir aussi
- Réseau privé virtuel — le client Tailscale intégré sur lequel repose ce flux
- Gestion des accès à privilèges — RDP/SSH/VNC via proxy navigateur pour les sessions administratives
- Listes de contrôle d'accès
- Authentifier les utilisateurs avec les écrans d'accès