Le 01-09-2020 20:46, Philippe Bourcier a écrit :
Bonsoir,
802.1x sans client lourd ca fonctionne parfaitement et ca se déploie
rapidement...
C'était mon approche favorite jusqu'au Covid.
Cela me parait un meilleur investissement de considérer que le LAN
n'est plus un réseau de
confiance (approche Zero Trust)
et que l'utilisateur doive être connecté en VPN en interne comme en
externe (always on).
Mais j'avoue que je trouve ca vraiment sexy comme approche de faire du
"tous en VPN", d'autant que les clients VPNs sont bien au point pour
ce qui est du suivi/validation des mises à jour AV/OS pré-connexion...
Je trouve que c'est une très bonne idée.
Oui encore faut il que ce soit transparent le plus possible pour
l'utilisateur.
En 2008 je deployai des Juniper NetScreen SA Avec du Stormshield et des
clés RSA SecureID. C'était cool, ça marchait bien... Pour un geek.
Le problème c'est qu'il faut que ce soit un max transparent pour le end
user pour éviter le problème d'interface chaise clavier. Avec le
télétravail post covid, je pense que les difficultés des services de
support end user doivent s'être complexifiées.
Bref, encore une fois, je le vois pas sous cet angle. Pour moi,
sécuriser un réseau physique = 802.1x. sécuriser un réseau logique /
périmètre et des clients de plus en plus nomades (donc pas sur le réseau
physique) = firewall / détection d'application / client vpn un peu plus
lourd pour renforcer les mesures avant la connexion.
Rien n'empêche d'ajouter l'un a l'autre, 802.1x peut être transparent
pour le end user.
Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Fabien VINCENT
_@beufanet_
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
