Contact

Mettre en place une architecture Gateway dans son réseau de serveurs

Votre entreprise a des besoins croissants en accès distants et mutualisation d’applications ? Une architecture de serveurs s’impose comme la solution idéale. Dans cet article, vous découvrirez les avantages de TS2log Remote Access Édition Gateway pour la gestion de vos serveurs en cluster.

Offrez une solution d’accès à distance et performante à vos clients et collaborateurs.
Simple à mettre en place, un seul serveur TS2log Remote Access Gateway est en mesure de gérer (et protéger efficacement) plusieurs serveurs dédiés aux accès à distance.
Dans les paragraphes suivants, nous vous expliquons en détail pourquoi et comment mettre en place une ferme applicative grâce à nos solutions.

Architecture Gateway sur réseau de serveurs

Qu'est-ce qu'une ferme de serveurs applicative (ou cluster) ?

Une ferme de serveurs d’accès à distance TS2log Remote Access est une infrastructure composée de plusieurs serveurs physiques ou virtuels configurés pour fournir un accès à distance et performant aux utilisateurs finaux.
Cette solution permet de centraliser les connexions, répartir les charges de travail et garantir la continuité des services dans un environnement professionnel.
Ci-dessous, découvrez tous les avantages d’un cluster TS2log Remote Access Édition Gateway.

Avantages d’une ferme de serveurs TS2log

Notre solution est conçue pour être la plus flexible et la plus simple d’accès possible.
Nous l’avons développée pour répondre aux besoins des entreprises en pleine croissance.
Voici les principales forces de notre solution de ferme de serveurs :

  • Scalabilité : il est possible d’ajouter facilement de nouveaux serveurs au cluster pour gérer davantage d’usagers ou d’applications.
  • Performance optimisée : grâce à l’équilibrage de charge, chaque client connecté bénéficie d’une session rapide et fluide, même en cas de forte demande.
  • Sécurité Renforcée : le serveur de passerelle joue un rôle central pour filtrer les connexions entrantes et assurer une sécurité accrue. Des fonctionnalités comme le blocage géographique, les restrictions d’horaires ou l’audit sont également disponibles avec TS2log Security.
  • Centralisation des accès : les clients distants se connectent à un point d’entrée unique (la passerelle) qui gère et redirige les connexions en interne. Cela simplifie l’accès pour les utilisateurs finaux tout en facilitant l’administration.
  • Haute disponibilité : la redondance des serveurs assure que le service proposé aux utilisateurs ne soit pas interrompu en cas d’indisponibilité d’un serveur.

Ces atouts font de TS2log Remote Access Édition Gateway une solution idéale pour mettre en place une architecture de ferme de serveurs au sein de votre entreprise !

Cas d’usage d’une ferme de serveurs TS2log Remote Access

Notre logiciel TS2log est en mesure de répondre à de multiples cas d’usage. Grâce à la mise en place d’un cluster, vous pourrez ainsi répondre aux divers besoins de vos collaborateurs.
Diffusez facilement vos applications auprès de centaines de clients qui pourront se connecter de manière simultanée à votre grappe de serveurs applicatifs au travers de notre portail web.
Simplifiez le télétravail grâce à un accès protégé aux ressources internes de votre entreprise, que ce soit pour le stockage ou la diffusion de vos applications métier.
Tous vos logiciels internes sont centralisés au sein de votre architecture de ferme de serveurs, garantissant ainsi une haute disponibilité et une sécurité accrue.
L’emploi d’un cluster TS2log assure la continuité de vos activités : en cas de panne d’une machine (serveur défaillant) ou d’une action de maintenance, vos collaborateurs peuvent continuer à travailler sans interruption.
Découvrez notre article sur les fermes de serveur pour en savoir plus sur ce type d’architecture.

Comment mettre en place une architecture de ferme de serveurs applicative avec TS2log Remote Access Édition Gateway ?

Configurer une passerelle pour une ferme de serveurs implique plusieurs étapes pour garantir la sécurité, la haute performance et la fiabilité.
Voici un guide détaillé qui vous aidera à mettre en place votre architecture de ferme de serveurs.

Étape 1 : Préparer l’environnement

Tout d’abord, vous devrez élaborer l’environnement destiné à accueillir votre passerelle TS2log. Une opération simple, qui se réalise en quelques minutes.
Pour cela, il vous faut :

  • Choisir un serveur dédié pour la passerelle :
    • Il doit avoir une configuration matérielle suffisante pour gérer les connexions simultanées.-
    • Installez un système d’exploitation et à jour (par exemple, Windows Server 2022). Il faudra également veiller à ne pas installer les rôles et fonctionnalités Microsoft RDS car TS2log Remote Access se substitue à ces rôles.
  • Configurer une IP publique :
    • Attribuez une adresse IP publique statique à la passerelle pour garantir une connectivité stable. Il sera par ailleurs recommandé de déployer un certificat SSL afin de garantir la sécurité des échanges de bout en bout.
  • Préparer les serveurs applicatifs :
    • Installez le nombre de serveurs Windows nécessaires et veillez à appliquer les mises à jour Windows au préalable. Les applications métiers peuvent être installées lors de la mise en place des serveurs, ou plus tard, lorsque les accès à distance auront été validés.

Votre environnement est prêt. Il vous faut maintenant configurer la passerelle pour qu’elle soit opérationnelle.

Étape 2 : Mettre en place la passerelle

Suivez simplement nos instructions pas-à-pas pour installer l’accès à distance sur la passerelle :

  • Installez TS2log sur la passerelle et sur les serveurs applicatifs.
  • Configurez le module Ferme de la passerelle. Ce module permet d’agir comme un point de centralisation pour rediriger les connexions des usagers.
  • Enrôlez chacun des serveurs applicatifs depuis la passerelle.
  • Configurez le rôle de Reverse Proxy : selon l’architecture réseau choisie (voir notre paragraphe dédié aux modes de fonctionnement de TS2log Gateway), réglez TS2log pour rediriger les connexions entrantes vers les serveurs internes.
  • Mettez en place l’équilibrage de charge (optionnel) : activez un équilibrage de charge si plusieurs serveurs internes doivent partager la charge utilisateur et disposent des mêmes applicatifs.

Votre passerelle est désormais opérationnelle !

Étape 3 : Paramétrer la redirection interne

Maintenant que votre passerelle est active, il ne vous reste qu’à paramétrer les redirections vers vos différents serveurs internes.
Voici comment procéder :

  • Configurez un réseau privé pour les ordinateurs internes : assurez vous que tous les serveurs internes utilisent des adresses privées et ne sont pas directement accessibles depuis Internet.
  • Activez les règles NAT (Network Address Translation) : configurez la passerelle pour rediriger les connexions vers les serveurs internes en fonction des besoins. TS2log propose la Répartition de Charge ainsi que l’assignation de serveur(s) à des usagers ou groupes de sécurité.
  • Segmentez le réseau (optionnel, mais recommandé) : séparez la passerelle des serveurs internes sur différents VLANs (réseaux LAN virtuels) pour limiter l’impact d’une éventuelle attaque.

Votre grappe est prête et opérationnelle. Il faut maintenant la pour limiter tout risque d’intrusion malveillante de type Remote Access Trojan ou autre.

Étape 4 : La passerelle

Nous allons maintenant voir comment rendre votre passerelle plus sûre face aux tentatives d’intrusion et autres attaques de malwares.
Veuillez procéder selon les étapes suivantes :

  • Configurez un pare-feu robuste :
    • Bloquez tous les ports autres que ceux nécessaires (par exemple, 80 pour HTTP, 443 pour HTTPS, et tout autre port requis pour exploiter la Ferme).
    • Paramétrez des règles strictes pour limiter l’accès à certaines adresses réseau ou plages d’adresse.
  • Utilisez un certificat SSL/TLS :
    • Installez un certificat SSL/TLS valide pour chiffrer toutes les connexions entre les utilisateurs et la passerelle. Vous pouvez obtenir un certificat SSL gratuit au travers de TS2log, ou contracter un certificat SSL tiers auprès d’une Autorité de Certification.
  • Configurez une authentification forte :
    • Activez l’authentification multifactorielle (MFA) pour tous les utilisateurs accédant à la passerelle. TS2log dispose d’un module MFA permettant l’enrôlement des clients via TOTP, SMS ou E-mail.
    • Utilisez une politique de mots de passe robuste concernant les comptes utilisateurs Windows.
  • Activez la journalisation et la surveillance :
    • Protégez votre Passerelle d’Accès contre les attaques brute force et restreignez l’accès par pays grâce à notre module de sécurité informatique.
    • Activez les logs pour conserver une trace des activités.

N’hésitez pas à sensibiliser vos équipes aux bonnes pratiques de sécurité informatique. Nous avons rédigé pour vous une checklist de cybersécurité à cette fin, avec de nombreux conseils simples à appliquer.

Étape 5 : Tester la configuration

Maintenant que vous êtes paré à résister aux attaques de pirates, il vous faut tester l’ensemble de votre cluster.
Voici les étapes pour y parvenir :

  • Effectuez des tests de pénétration : testez la sécurité de la passerelle pour identifier et corriger les vulnérabilités potentielles.
  • Simulez les sessions utilisateurs : vérifiez que vos collaborateurs peuvent se connecter via la passerelle et qu’ils sont redirigés correctement.
  • Surveillez les performances : mesurez la latence et les performances de votre bande passante pour vous assurer que la passerelle supporte la charge et que les serveurs applicatifs sont correctement dimensionnés pour supporter le nombre de connexions définies.

Vos équipes peuvent à présent profiter pleinement de leur accès à distance et utiliser les applications que vous mettrez à leur disposition !

Étape 6 : Maintenir et mettre à jour régulièrement

Votre ferme de serveur est parfaitement fonctionnelle. Toutefois, il convient de la mettre à jour régulièrement et de vous assurer de son bon fonctionnement.
Voici nos conseils pour assurer une continuité optimale de vos services :

  • Mettez à jour les logiciels et le système d’exploitation : planifiez des actions régulières afin de garder le système d’exploitation, les applicatifs métiers et tous les composants nécessaires à jour.
  • Effectuez des audits réguliers : passez en revue les règles de sécurité, les journaux et les performances pour identifier des opportunités d’amélioration.
  • Mettez en place un plan de reprise après sinistre : prévoyez des sauvegardes régulières des serveurs de la ferme et testez les procédures de restauration.

En cas de besoin, notre équipe est à votre écoute. N’hésitez pas à utiliser notre formulaire de contact pour nous poser vos questions sur TS2log Gateway ou nos autres solutions.

Ferme de serveurs TS2log : deux modes de fonctionnement pour gérer et protéger vos serveurs d'applications

Selon le niveau d’exigence en termes de sécurité, deux schémas d’architecture sont possibles pour le déploiement d’une ferme de serveurs TS2log Remote Access.

Option 1 : Tous les serveurs disposent d'une adresse IP publique et sont accessibles depuis Internet

Dans cette configuration, chaque serveur applicatif dans la grappe possède une adresse réseau publique et est directement accessible depuis Internet. Les utilisateurs se connectent individuellement à chaque machine via ces adresses publiques au travers de la Passerelle d’Accès.
La passerelle d’accès sert uniquement de relais, comme indiqué sur le schéma d’architecture ci-dessous :

Ferme de serveur applicative

Avantages :

  • Accessibilité directe : les clients distants peuvent se connecter sans intermédiaire, réduisant la complexité de l’accès.
  • Performances élevées : moins de latence, car aucune redirection n’existe via un serveur intermédiaire (passerelle d’accès).
  • Scalabilité : l’ajout de nouveaux serveurs est simple, chaque ordinateur étant autonome.

Inconvénients :

  • Sécurité : chaque serveur est exposé à Internet, augmentant les risques de cyberattaques. Cela nécessite une gestion renforcée du pare-feu et l’implémentation d’une solution de sécurité comme TS2log Security.
  • Gestion complexe : l’administration devient plus complexe à mesure que le nombre de machines augmente, chaque serveur nécessitant une attention particulière.
  • Utilisation d’adresse IP : chaque serveur a besoin d’une IP publique, ce qui peut devenir coûteux, tout en limitant les plages d’adresses disponibles.

 

Cas d’utilisation :
Cette topologie est idéale dans les situations nécessitant une connexion rapide et directe, pour des performances optimales.
Nous vous recommandons aussi cette architecture dans les environnements où la sécurité de chaque serveur peut être encadrée individuellement par l’équipe technique.

Option 2 : Seule la passerelle d'accès est accessible depuis Internet (rôle Reverse Proxy)

Dans cette configuration, seul le serveur passerelle (ou gateway) est accessible depuis Internet. La passerelle agit comme un reverse proxy, redirigeant les connexions des utilisateurs vers les serveurs internes appropriés.
Dans cette topologie, les serveurs applicatifs de la ferme ne sont pas directement exposés sur Internet. Voici plus de détails sur notre schéma d’architecture :

TS2log Architecture de ferme reverse proxy

Avantages :

  • Sécurité renforcée : seule la passerelle est exposée à Internet, ce qui réduit considérablement la surface d’attaque.
  • Centralisation : toutes les connexions franchissent un point central, simplifiant la gestion des accès et la surveillance.
  • Efficacité réseau : les serveurs internes peuvent utiliser des adresses réseau privées, réduisant les coûts tout en augmentant la sécurité.

 

Inconvénients :

  • Dépendance à la passerelle : si la passerelle d’accès est momentanément indisponible, tout l’accès à la ferme est interrompu.
  • Latence potentielle : les connexions doivent franchir la passerelle, ce qui peut – selon la configuration réseau interne – introduire un délai de latence supplémentaire.

 

Cas d’utilisation :
Nous recommandons cette architecture de ferme de serveurs pour les environnements où la sécurité est primordiale.
C’est aussi une topologie idéale pour les déploiements à grande échelle, nécessitant un point de contrôle centralisé.
Mettre en place une (ou plusieurs) passerelle d’accès permet de répartir la charge entre des « pools » de serveurs applicatifs, ce qui conforte l’utilisation d’une telle topologie dans de grands déploiements où de nombreuses machines sont en activité.
Nous mettons à votre disposition un tableau comparatif entre les deux approches. Ces détails peuvent vous aider à choisir l’architecture adaptée à vos besoins en fonction des priorités : sécurité, performances, coût ou simplicité de gestion.

Comment assurer la sécurité de votre ferme de serveurs avec les modules de sécurité informatique et MFA ?

Assurer la sécurité d’une ferme de serveurs TS2log Remote Access nécessite une stratégie intégrée avec des outils robustes comme de la sécurité informatique et MFA.
Ces modules permettent de protéger votre infrastructure contre les cybermenaces, tout en garantissant un accès sûr pour vos équipes et vos clients.
Le RGPD (Règlement Général pour la Protection des Données) exige que les responsables du traitement des données personnelles prennent des mesures appropriées pour protéger ces dernières.
L’authentification multi-facteurs n’est certes pas obligatoire, mais elle est toutefois recommandée par l’ENISA (Agence de l’Union européenne pour la Cybersécurité) pour les accès à haut risque aux informations personnelles identifiables.

Utiliser un outil de sécurité informatique pour une protection complète

La sécurité informatique est un module additionnel conçu pour protéger vos serveurs RDP et votre ferme de serveurs TS2log contre les attaques courantes, comme les tentatives de connexion non autorisées ou les failles de sécurité.

Principales fonctionnalités du module de sécurité informatique
Voici une liste des principales fonctions de notre solution de protection, dédiée à la sécurité de votre environnement de travail.

  • Blocage des attaques par force brute : Le module surveille les tentatives d’intrusions répétées et bloque automatiquement les adresses réseau suspectes. Cela protège vos serveurs contre les attaques par dictionnaire.
  • Restriction géographique : vous pouvez autoriser ou bloquer l’accès à vos machines en fonction des localisations géographiques. Exemple : autorisez uniquement les accès depuis des pays où votre entreprise opère.
  • Restrictions des horaires d’accès : paramétrez des plages horaires pendant lesquelles les utilisateurs peuvent se connecter aux serveurs. Cela limite les risques d’accès en dehors des heures de travail.
  • Liste blanche et liste noire d’IP : créez des règles pour autoriser ou bloquer des adresses IP spécifiques. Exemple : placez les adresses internes de confiance dans la liste blanche et bloquez toutes les autres par défaut.
  • Audit de sécurité et journalisation : obtenez des rapports détaillés sur les tentatives de connexion, les activités suspectes et les adresses bloquées. Cela vous permet de suivre et d’analyser les événements de sécurité.
  • Protection contre les ransomwares : le module surveille les fichiers et bloque les comportements suspects typiques des ransomwares. En cas de détection, l’action est arrêtée immédiatement.

Mettre en place l’authentification multi-facteurs

L’authentification multi-facteurs (2FA/MFA) est un mécanisme complémentaire qui apporte une couche de sécurité supplémentaire en exigeant une validation secondaire après la saisie des identifiants. La mise en place d’un tel outil améliore grandement la protection de votre ferme TS2log, notamment si un mot de passe Windows venait à être compromis.

Fonctionnement de la MFA avec TS2log
Lorsqu’un utilisateur se connecte à la passerelle TS2log, il entre son nom d’utilisateur et son mot de passe habituels.
Le module MFA génère un code à usage unique (OTP), envoyé sur l’application mobile de l’utilisateur (compatible avec Google Authenticator ou Microsoft Authenticator).
L’utilisateur doit entrer le code reçu pour finaliser sa connexion en toute sécurité.
Ainsi, même en cas d’usurpation d’identité, un pirate ne pourra pas accéder à votre ferme de serveurs, faute d’avoir avec lui un moyen d’authentification secondaire.

Avantages de la MFA
Le module MFA apporte plusieurs avantages qui renforcent la sécurité des accès à votre parc informatique d’entreprise.
Voici quels sont ses atouts :

  • Protection contre les vols d’identifiants : même si un mot de passe est piraté, l’accès sera impossible sans le code MFA.
  • Solution conviviale : l’application mobile est simple à configurer et rapide à utiliser pour les usagers.
  • Conformité renforcée : l’authentification multifacteur est une exigence dans de nombreux standards de sécurité (ISO, RGPD, etc.).
  • Centralisation : le module MFA s’intègre parfaitement avec TS2log Remote Access édition Gateway pour toutes les connexions à distance.

En résumé

En combinant le module de sécurité informatique pour une protection proactive contre les menaces et l’option de MFA pour protéger l’authentification de vos équipes, vous créez une architecture de ferme de serveurs TS2log Remote Access hautement .
Ainsi, vous réduisez considérablement les risques d’intrusions, protégez vos données critiques et garantissez la conformité aux normes de sécurité modernes.
Si vous souhaitez une démonstration ou des conseils spécifiques pour votre configuration, vous pouvez solliciter notre équipe technique.

Conclusion

L’édition Gateway de TS2log Remote Access s’impose comme une solution idéale pour la mise en service de votre groupe de serveurs applicatifs. Simple et rapide à paramétrer, notre solution supporte deux modes de fonctionnement : simple relais ou reverse proxy, de façon à répondre à tous les besoins.
Ajoutez à cela les fonctionnalités avancées des modules de sécurité informatique et de MFA pour une sécurisation renforcée. Le tout à des prix très attractifs, qui permettent un ROI bien plus élevé que d’autres solutions du marché telles qu’une ferme Microsoft RDS ou Citrix.
Vous désirez créer une architecture de ferme de serveurs au sein de votre entreprise ? Vous voulez tester la solution TS2log Remote Access édition Gateway ? Vous avez besoin de gérer plusieurs clusters de serveurs ?

Nos équipes techniques et commerciales sont à votre disposition pour échanger avec vous sur le sujet, par téléphone ou via notre formulaire de contact.

Sommaire

Autres publications