Customers

Tarification

Tarification

Blog

À propos

Connection

Customers

Tarification

Tarification

Blog

À propos

Connection

Customers

Tarification

Tarification

Blog

À propos

Connection

Customers

Tarification

Tarification

Blog

À propos

Connection

Retour

Blog

Blog

Histoires

Histoires

5 août 2025

Protégez votre CI auto-hébergé des points de terminaison non protégés avec EDAMAME + Tailscale / NetBird

Frank Lyonnet

Votre GitLab Runner est un bijou de couronne—Voici comment le protéger avec un réseau conscient des appareils.
Lorsqu'un job de build touche des secrets de production ou pousse un conteneur vers votre registre, il s'exécute sur votre GitLab runner auto-hébergé. Quiconque peut atteindre ce runner détient les clés de l'ensemble de votre SDLC.
Les identifiants, les clés SSH, les jetons d'accès personnels et les connexions SSO sont excellents pour prouver qui un utilisateur est—mais ils ne disent rien sur la sécurité de l'appareil lançant le job. Un ordinateur portable compromis avec des clés valides reste un ordinateur portable compromis. EDAMAME comble cette lacune en fusionnant son moteur de posture d'appareil en temps réel avec des VPN overlay que les développeurs aiment déjà : Tailscale et NetBird. Le résultat est simple à décrire mais difficile à réaliser sans les bons outils : Seuls les appareils qui répondent à votre baseline de sécurité en direct peuvent communiquer avec l'IP privée du runner. Tout le reste—quel que soit les identifiants—n'atteint jamais le port.

Pourquoi les identifiants seuls ne suffisent pas

Les attaquants volent ou achètent de plus en plus des jetons développeur ; une fois à l'intérieur, ils se déplacent vers votre infrastructure CI. Les ACL réseau traditionnelles et les clés de jointure VPN supposent que tout pair authentifié est sûr. Cette supposition est rompue au moment où un ordinateur portable est en retard sur les mises à jour, perd sa clé de chiffrement de disque ou capte des logiciels espions.

Les VPN overlay tels que Tailscale et NetBird sont un transport parfait pour un accès sécurisé pair-à-pair, mais—même avec leurs propres fonctionnalités de posture—ils ont toujours besoin d'un signal de confiance d'appareil en temps réel et de haute fidélité. EDAMAME fournit ce signal.

Comment EDAMAME rend le maillage conscient des appareils

  1. Notation de posture continue
    L'agent léger EDAMAME mesure l'intégrité du système d'exploitation, la présence EDR, l'état du pare-feu, le chiffrement, l'exposition à une violation et des dizaines d'autres vérifications pour produire un score de sécurité en direct.

  2. Mapage de la posture au pair VPN
    L'identifiant unique de pair VPN de chaque appareil est publié vers EDAMAME Hub. Aucune corrélation manuelle n'est requise.

  3. Décision d'ordre et exécution
    Si le score répond aux politiques de l'entreprise, EDAMAME marque ce pair comme de confiance via l'API de l'overlay. Sinon, il est bloqué.

  4. Révocation en direct
    Les vérifications de posture s'exécutent en continu. Dès qu'un appareil dérive (par exemple, pare-feu désactivé), EDAMAME inverse la règle de l'overlay et le runner devient injoignable—les connexions sont interrompues en pleine session.

Parce que l'application se fait à l'intérieur du maillage, peu importe quel identifiant ou flux de connexion l'attaquant essaie ; le paquet ne quitte jamais le tunnel à moins que l'appareil ne soit vierge.

Protection de bout en bout pour votre pipeline CI

Sans EDAMAME : Tout pair qui s'authentifie à Tailscale/NetBird peut atteindre gitlab-runner.internal, tant que ses clés ou son jeton SSO sont valides.

Avec EDAMAME : L'overlay élimine silencieusement le trafic des pairs dont les appareils ne respectent pas la politique. Les push Git et les jobs de build ne réussissent que depuis des machines sécurisées, respectant les normes.

Déploiement en cinq minutes

  1. Demandez à vos développeurs d'installer l'application EDAMAME sur leurs ordinateurs portables et stations de travail.

  2. Collez un jeton API Tailscale ou NetBird dans EDAMAME Hub—notre moteur d'intégration communique par REST ou GraphQL avec pratiquement n'importe quel plan de contrôle.

  3. Définissez votre règle de posture (par exemple, score ≥ 4 et chiffrement de disque activé).

  4. Regardez l'accès s'écouler uniquement des appareils conformes ; tout le reste est automatiquement mis en quarantaine.

Plus grand qu'un seul runner : un seul plan de contrôle pour l'accès

Le même score de posture EDAMAME alimente déjà Microsoft Entra Conditional Access et Google Context‑Aware Access, vous offrant une politique pour sécuriser le SaaS et votre maillage privé. Que ce soit un développeur qui tire un dépôt via HTTPS, se connecte à Jira ou déclenche un build via Tailscale, l'appareil doit passer la même norme vérifiée en continu.

Sécurité axée sur le développeur, zéro friction

EDAMAME est né pour garder les builders productifs et conformes : agent léger, pas de MDM forcé, corrections en libre-service et télémetrie respectueuse de la vie privée. En intégrant cette philosophie avec Tailscale et NetBird, nous vous permettons d'entourer votre composant CI le plus sensible d'une sécurité Zero Trust de qualité industrielle—sans redessiner les réseaux ou ralentir le transport.

Prêt à protéger votre runner ?

Commencez dans EDAMAME Hub et transformez votre VPN maillé existant en un bouclier conscient de la posture autour de chaque build. Votre code—et vos clients—vous en seront reconnaissants.




Frank Lyonnet

Partagez ce post