Intro

Guacamole est un produit qui va se situer entre vos serveurs et les personnes souhaitant y accéder (en général les prestataires), toutes les connexions seront loguer et les sessions pourront être enregistrées si vous le souhaitez. Le choix le plus judicieux est de le rendre accessible via VPN uniquement.
Pourquoi depuis des VPN ? Si le serveur est en accès direct sur internet et qu'il se fait compromettre. Vous risquez de mettre en péril votre infrastructure.

Le mieux serait de faire comme cela

  • Mettre en place des VPN avec des sous réseaux différents pour chaque prestataire ainsi que la double authentification (si possible). Depuis les VPN vous n'autorisez l'accès qu'à guacamole (donc guacamole doit être sur un réseau à part)
  • Créez des ACL permettant à Guacamole d'accéder à tous les serveurs dont les prestataires ont besoin, ne donnez pas l'accès à tout le réseau (sinon c'est inutile de mettre en place guacamole, car vous créez un trou de sécurité)

En image

Structure guacamole