Leaders

Devs

CI/CD

Zero Trust

Tarification

Blog

À propos

Connection

Leaders

Devs

CI/CD

Zero Trust

Tarification

Blog

À propos

Connection

Leaders

Devs

CI/CD

Zero Trust

Tarification

Blog

À propos

Connection

Leaders

Devs

CI/CD

Zero Trust

Tarification

Blog

À propos

Connection

Retour

Blog

Blog

Histoires

Histoires

5 août 2025

Protégez votre CI auto-hébergé des points de terminaison non protégés avec EDAMAME + Tailscale / NetBird

Frank Lyonnet

Votre GitLab Runner est un bijou précieux—Voici comment le protéger avec un réseau conscient des appareils Lorsque un job de construction touche les secrets de production ou pousse un conteneur vers votre registre, il s'exécute sur votre GitLab runner auto-hébergé. Quiconque peut atteindre ce runner détient les clés de l'ensemble de votre SDLC.
Les identifiants, les clés SSH, les jetons d'accès personnel et les connexions SSO font un excellent travail pour prouver qui est un utilisateur—mais ils ne disent rien sur la sécurité de l'appareil lançant le job. Un ordinateur portable compromis avec des clés valides est toujours un ordinateur portable compromis. EDAMAME résout ce problème en fusionnant son moteur de posture des appareils en temps réel avec des VPN de superposition que les développeurs aiment déjà : Tailscale et NetBird. Le résultat est simple à décrire mais difficile à réaliser sans les bons outils : Seuls les appareils qui respectent votre référence de sécurité en direct peuvent communiquer avec l'IP privée du runner. Tout le reste—quel que soit les identifiants—n'atteint jamais le port.

Pourquoi les identifiants à eux seuls ne sont pas suffisants

Les attaquants volent ou achètent de plus en plus de jetons de développeur ; une fois à l'intérieur, ils pivotent vers votre infrastructure CI. Les ACL réseau traditionnelles et les clés d'adhésion VPN supposent que tout pair authentifié est sûr. Cette hypothèse se brise au moment où un ordinateur portable est à la traîne sur les mises à jour, perd sa clé de chiffrement de disque, ou reçoit des logiciels espions.

Les VPN de superposition tels que Tailscale et NetBird sont un transport parfait pour un accès pair-à-pair sécurisé, mais—même avec leurs propres fonctionnalités de posture—ils ont toujours besoin d'un signal de confiance des appareils en temps réel et de haute fidélité. EDAMAME fournit ce signal.

Comment EDAMAME rend le maillage conscient des appareils

  1. Scoring de posture continue
    L'agent léger EDAMAME mesure l'intégrité de l'OS, la présence d'EDR, l'état du pare-feu, le chiffrement, l'exposition à la violation et des dizaines d'autres vérifications pour produire un score de sécurité en direct.

  2. Cartographie de la posture au pair VPN
    L'identifiant unique du pair VPN de chaque appareil est publié dans le Cloud EDAMAME. Aucune corrélation manuelle n'est requise.

  3. Décision de politique & application
    Si le score respecte les politiques de l'entreprise, EDAMAME signale ce pair comme de confiance via l'API de superposition. Sinon, il est bloqué.

  4. Révocation en direct
    Les vérifications de posture sont effectuées en continu. Dès qu'un appareil dérive (par exemple, pare-feu désactivé), EDAMAME change la règle de superposition et le runner devient inaccessible—les connexions sont interrompues en pleine session.

Parce que l'application se fait à l'intérieur du maillage, il n'importe pas quel identifiant ou flux de connexion l'attaquant essaie ; le paquet ne quitte jamais le tunnel à moins que l'appareil ne soit parfait.

Protection de bout en bout pour votre pipeline CI

Sans EDAMAME : Tout pair qui s'authentifie auprès de Tailscale/NetBird peut atteindre gitlab-runner.internal, tant que ses clés ou son jeton SSO sont valides.

Avec EDAMAME : La superposition supprime silencieusement le trafic des pairs dont les appareils sont en dessous de la politique. Les push de code et les jobs de construction ne réussissent que depuis des machines sécurisées et conformes aux normes.

Déploiement en cinq minutes

  1. Demandez à vos développeurs d'installer l'application EDAMAME sur leurs ordinateurs portables et stations de travail.

  2. Collez un jeton API Tailscale NetBird dans le Hub EDAMAME—notre moteur d'intégration parle REST ou GraphQL à pratiquement n'importe quel plan de contrôle.

  3. Définissez votre règle de posture (par exemple, score ≥ 4 et chiffrement de disque activé).

  4. Regardez le flux d'accès uniquement depuis des appareils conformes ; tout le reste est automatiquement mis en quarantaine.

Plus grand qu'un seul runner : un plan de contrôle unique pour l'accès

Le même score de posture EDAMAME alimente déjà Microsoft Entra Conditional Access et Google Context-Aware Access, vous donnant une politique pour sécuriser SaaS et votre maillage privé. Que ce soit un développeur qui tire un dépôt via HTTPS, se connecte à Jira, ou déclenche une construction via Tailscale, l'appareil doit répondre à la même norme vérifiée en continu.

Sécurité prioritaire pour les développeurs, zéro friction

EDAMAME est né pour garder les bâtisseurs productifs et conformes : agent léger, pas de MDM forcé, corrections en libre-service, et télémétrie respectueuse de la vie privée. En attachant cette philosophie à Tailscale et NetBird, nous vous permettons d'enrouler une confiance zéro de niveau industriel autour de votre composant CI le plus sensible—sans redessiner les réseaux ni ralentir l'expédition.

Prêt à protéger votre runner ?

🔗 Commencez dans EDAMAME Hub et transformez votre VPN maillé existant en un bouclier conscient de la posture autour de chaque construction. Votre code—et vos clients—vous remercieront.


Frank Lyonnet

Partagez ce post