Daily Home Lab

Sécuriser les webhooks sur Proxmox VE : Routage OPNsense et Cloudflare Tunnels sans exposition IP

Écrit par

La Rédaction et Daily Home Lab

dans

Introduction : Le défi de l’exposition des API dans un Home Lab gouverné

Dans le cadre d’une gouvernance rigoureuse des systèmes d’information (GSI), l’exposition de services d’administration ou de webhooks d’automatisation vers l’extérieur représente un risque majeur de sécurité. Comment permettre à des services tiers (comme GitHub ou des API SaaS) d’interagir avec notre hyperviseur Proxmox VE sans pour autant ouvrir de ports sur notre routeur principal ou exposer notre adresse IP publique ? La réponse réside dans la synergie entre la segmentation réseau stricte sur OPNsense et l’isolation des flux via un Cloudflare Tunnel (cloudflared).

Architecture et Politique de Moindre Privilège

Pour respecter les principes de gouvernance, nous mettons en œuvre une architecture segmentée en trois zones distinctes :

  • VLAN 10 (Management) : Contient l’interface d’administration de Proxmox VE (PVE). Strictement inaccessible depuis l’extérieur et depuis les autres VLANs, sauf rebond sécurisé.
  • VLAN 90 (DMZ – Webhooks) : Zone isolée contenant un conteneur LXC ‘Proxy-Webhook’ chargé de recevoir les requêtes externes et de les valider.
  • L’agent Cloudflare (Cloudflared) : Installé dans un conteneur LXC distinct sur le VLAN 90, il établit une connexion sortante sécurisée vers le réseau Cloudflare, éliminant le besoin d’ouvrir des ports entrants (NAT) sur OPNsense.

Configuration d’OPNsense : Le pare-feu comme garant de la politique de sécurité

Sur notre pare-feu OPNsense, nous créons des règles de filtrage strictes pour le VLAN 90. L’objectif est d’empêcher toute communication latérale initiée par la DMZ vers le réseau de management (VLAN 10), tout en autorisant uniquement les réponses aux requêtes légitimes.

Une règle spécifique autorise le conteneur ‘Proxy-Webhook’ à interagir uniquement avec l’API de Proxmox VE sur le port 8006, en limitant l’accès à une adresse IP source unique et à des points de terminaison d’API spécifiques via un proxy inverse local agissant comme un point de contrôle applicatif.

Mise en œuvre du Cloudflare Tunnel

Grâce à la console Cloudflare Zero Trust, nous créons un tunnel pointant vers l’IP interne du proxy inverse sur le VLAN 90. Les requêtes externes arrivent sur un sous-domaine dédié, transitent de manière chiffrée par le tunnel, et sont délivrées localement sans aucune exposition de notre routeur OPNsense sur le WAN public. Les règles de pare-feu d’OPNsense bloquent le reste du trafic, garantissant l’intégrité de l’infrastructure.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications