Documentation
Remplacer un VPN d'entreprise par un mesh Zero Trust
Le VPN d’entreprise classique concentre tout le trafic sur une passerelle centrale et donne, une fois connecté, un accès large au réseau. Un maillage Zero Trust inverse le modèle : chaque machine a une identité, chaque flux est autorisé explicitement, et les échanges vont en direct, sans concentrateur.
Les limites du VPN d’entreprise classique
- Architecture en étoile : le concentrateur est un goulot d’étranglement et un point de panne.
- Accès trop large : une fois le tunnel monté, l’utilisateur atteint souvent bien plus que nécessaire.
- Détour systématique : le trafic remonte à la passerelle même quand deux machines pourraient se parler en direct.
Le modèle mesh Zero Trust de VIGIL
- Accès par identité : chaque machine a une identité Ed25519 unique, vérifiée contre une carte réseau (netmap) signée par le contrôleur.
- ACL ordonnées : qui parle à quoi est défini explicitement, en générations signées, vérifiables hors ligne par le client.
- Chemins directs sans concentrateur : le trafic prend le meilleur chemin, l’infrastructure ne fait que relayer sans lire.
- MagicDNS : les noms internes sont résolus localement, aucune requête DNS ne quitte la machine.
Sécurité et gouvernance
- Audit chaîné par hash, par organisation : chaque action de console est attribuée et exportable.
- MFA obligatoire sur les actions destructrices et ré-authentification sur les opérations critiques.
- Multi-tenant : le workspace est le tenant, avec des rôles séparés (exploitant, administrateur réseau, auditeur en lecture seule).
- Révocation immédiate : retirer une machine de la netmap la coupe instantanément.
VPN classique contre mesh Zero Trust
| Critère | VPN d’entreprise classique | Mesh Zero Trust VIGIL |
|---|---|---|
| Topologie | Étoile (concentrateur) | Maillage, chemins directs |
| Modèle d’accès | Large après connexion | Par identité et ACL |
| Point de panne central | Oui (la passerelle) | Non |
| Port entrant côté site | Souvent requis | Aucun côté nœud |
| Audit et MFA | Selon la solution | Intégrés |
Pour situer VIGIL face à Tailscale, ZeroTier et NetBird, voir /docs/comparatif.
In English
A classic enterprise VPN funnels all traffic through a central gateway and grants broad access once connected.
A Zero Trust mesh flips the model: every machine has an identity, every flow is explicitly allowed, and traffic goes direct — no concentrator, no inbound port at the site.
Governance is built in: hash-chained audit, mandatory MFA on destructive actions, multi-tenant roles, and instant revocation via the signed network map.