Sécurisez votre coffre NodeWarden via Cloudflare

Dès l'instant où votre instance NodeWarden est exposée publiquement sur Internet, elle commence à attirer des milliers de bots automatisés qui scannent les vulnérabilités 24h/24 et 7j/7. Pour protéger vos données sensibles, vous devez verrouiller votre instance NodeWarden au maximum.

Pour sécuriser votre instance NodeWarden, vous pouvez utiliser l'une de ces deux fonctionnalités de Cloudflare :

• Cloudflare IP Access Rules (Règles d'accès IP) : Permet de bloquer, d'imposer un défi de sécurité (challenge) ou d'autoriser le trafic en fonction d'adresses IP ou de pays spécifiques.
• Cloudflare Zero Trust (Recommandé) : Agit comme une passerelle sécurisée qui rend votre instance NodeWarden complètement invisible au public, ne laissant passer que les utilisateurs autorisés.

Pourquoi nous recommandons Cloudflare Zero Trust

Nous vous conseillons vivement d'utiliser Cloudflare Zero Trust, car les règles d'accès IP sont liées à des adresses IP ou à des pays. Cela signifie que vous devez mettre à jour manuellement vos règles à chaque fois que vous voyagez ou si vous avez une IP dynamique. Cloudflare Zero Trust, en revanche, repose sur votre identité et non sur votre emplacement géographique — vous offrant un accès à NodeWarden à la fois transparent et sécurisé.

Guide de Configuration

Suivez ces étapes pour configurer Cloudflare Zero Trust pour NodeWarden.

Phase 1 : Pour commencer

1. Dans votre tableau de bord Cloudflare, cliquez sur 'Zero Trust' dans le menu de gauche.
2. Cliquez sur 'Access controls' puis sur 'Applications'.
3. Il se peut qu'on vous demande de choisir un forfait ('Choose a plan').
4. Cliquez sur le bouton 'Choose a plan' et choisissez 'Zero Trust Free'.

Phase 2 : Sécurisez votre interface web

Tout d'abord, nous allons créer une application pour protéger le tableau de bord web de NodeWarden.

1. Cliquez sur 'Create new application' pour créer la première application.
2. Choisissez 'Self-hosted and private'.
3. Entrez le nom de domaine de NodeWarden.
4. Cliquez sur 'Create new policy' pour créer une politique.
5. Sélectionnez 'Emails' et entrez un e-mail sous 'Policy rules'.
6. Entrez un nom et sélectionnez 'Allow' sous 'Policy details'.
7. Cliquez sur 'Save Policy' pour créer la politique.
8. Entrez un nom et sélectionnez '1 month' dans la section 'Details'.
9. Cliquez sur 'Create' pour créer l'application.
10. Testez-le : Ouvrez le domaine dans le navigateur web, vous verrez 'Cloudflare Access' vous demander une adresse e-mail.

Phase 3 : Autoriser la synchronisation des clients BitWarden (Contournement de l'API)

Les applications de bureau et mobiles BitWarden ne peuvent pas traiter l'écran de connexion par e-mail de Cloudflare. Nous devons donc créer une deuxième application permettant au trafic de contourner (bypass) cet écran de connexion, spécifiquement pour la synchronisation de l'API.

1. Retournez dans Applications et cliquez sur Create new application, en choisissant à nouveau Self-hosted and private.
2. Entrez 'api/', 'identity/', 'notifications/' et 'icons/' dans les Destinations.
3. Cliquez sur 'Create new policy' pour créer la politique.
4. Sélectionnez 'Everyone' sous 'Policy rules'.
5. Entrez un nom et sélectionnez 'Bypass' sous 'Policy details'.
6. Cliquez sur 'Save Policy' pour sauvegarder.
7. Entrez un nom et sélectionnez '1 month' pour 'Session Duration'.
8. Vous devriez maintenant avoir 2 applications créées.

Le mot de la fin

N'oubliez pas que Cloudflare n'est que votre bouclier extérieur. Pour conserver un coffre-fort (vault) véritablement sécurisé, assurez-vous de toujours utiliser un mot de passe maître robuste, d'activer l'authentification à double facteur (2FA) et de bien protéger votre compte Cloudflare.