GitGuardian Bridge
GitGuardian Bridge étend GitGuardian SaaS avec un accès sécurisé à votre infrastructure privée via des tunnels chiffrés. Cette approche vous permet de tirer parti de tous les bénéfices de la plateforme cloud GitGuardian tout en maintenant un accès sécurisé à vos ressources internes.
Conçu avec la sécurité au cœur, GitGuardian Bridge utilise des connexions sortantes uniquement, l'authentification mutuelle TLS, le chiffrement de bout en bout, une surface d'attaque minimale avec des images de conteneurs distroless, et fournit un journal d'audit complet pour une conformité totale.
GG Bridge est disponible uniquement pour :
- Les workspaces sous plan Enterprise
- Les clients SaaS US et EU
Qu'est-ce que GitGuardian Bridge ?
GitGuardian Bridge crée un tunnel chiffré sortant uniquement de votre réseau privé vers GitGuardian SaaS, vous permettant de :
- Scanner des dépôts privés sans les exposer à Internet
- Monitorer des services Self-Hosted tout en maintenant l'isolation réseau
- Répondre aux exigences de conformité en gardant l'infrastructure sensible privée
- Supporter plusieurs réseaux avec des configurations de bridge séparées
Considérations de coût
GitGuardian Bridge a les mêmes implications de coût d'egress que l'accès direct à GitGuardian SaaS. Considérez le volume de données lors du scan de grands datasets et déployez votre bridge proche des sources de données pour minimiser les coûts de transfert réseau.
Intégrations supportées
GitGuardian Bridge fonctionne avec :
| Service | Type |
|---|---|
| GitHub Enterprise Server | Contrôle de version |
| GitLab Enterprise Edition | Contrôle de version |
| Bitbucket Data Center | Contrôle de version |
| Azure DevOps Server | Contrôle de version |
| JFrog Artifactory | Container Registry |
| Azure Container Registry | Container Registry |
| Confluence Data Center | Documentation |
| Microsoft OneDrive | Documentation |
| Microsoft SharePoint Online | Documentation |
| Jira Data Center | Ticketing |
| ServiceNow (on-premise) | Ticketing |
| Bring Your Own Sources | Sources personnalisées |
| Custom webhooks | Notifications |
| Splunk Enterprise | Notifications |
| Endpoints de validité personnalisés | Validation de secrets |
| Secrets Analyzers | Analyseurs de secrets |
| ggscout | NHI Governance |
GitGuardian Bridge supporte actuellement les validity checks pour les détecteurs vous permettant de configurer des hosts personnalisés (comme les instances GitLab). Cependant, les validity checks ne sont pas encore supportés pour les détecteurs où GitGuardian extrait automatiquement l'information de host depuis l'emplacement où le secret a été découvert (comme les chaînes de connexion PostgreSQL).
Contactez support@gitguardian.com si vous avez des questions.
Comment configurer GitGuardian Bridge
Étape 1 : Demander l'accès au bridge
Contactez support@gitguardian.com pour demander la fonctionnalité bridge pour votre compte. Spécifiez de combien de bridges vous avez besoin (typiquement un par segment de réseau isolé).
Étape 2 : Créer votre bridge
-
Connectez-vous au tableau de bord GitGuardian et naviguez vers Settings > Security > GitGuardian Bridge
-
Cliquez sur « Create Bridge »
-
Configurez votre bridge : nommez votre bridge (par exemple « Production Network », « Dev Environment »), ajoutez optionnellement une CA personnalisée si vos services internes utilisent des certificats personnalisés, et ajoutez les noms de domaine des services internes (vous pouvez aussi le faire plus tard). Puis téléchargez le bundle de certificats et copiez l'URL du bridge.
Configuration de CA personnaliséeLe champ Custom CA est requis lorsque vos services cibles utilisent des certificats signés par une autorité de certification (CA) personnalisée. Vous devez fournir la chaîne de certificats complète au format PEM, incluant :
- Le certificat Root CA
- Tous les certificats Intermediate CA (s'il y en a)
Pour exporter la chaîne de certificats depuis votre service :
openssl s_client -showcerts -connect your-internal-service.com:443 -servername your-internal-service.com </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > bundle.pemExemple de format PEM :
-----BEGIN CERTIFICATE-----MIIDXTCCAkWgAwIBAgIJAKoK/OvD... (Root CA)...certificate content...-----END CERTIFICATE----------BEGIN CERTIFICATE-----MIIDbTCCAlWgAwIBAgIJAKoK/OvD... (Intermediate CA)...certificate content...-----END CERTIFICATE-----Alternativement, vous pouvez exporter les certificats Root CA et Intermediate CA depuis votre navigateur et les concaténer en un seul fichier :
Sans une configuration appropriée de CA personnalisée, GitGuardian Bridge ne pourra pas établir de connexions sécurisées vers vos services internes et échouera avec des erreurs de vérification SSL.
Étape 3 : Configurer le client bridge
Déployez le client bridge dans votre réseau privé en utilisant le bundle de certificats et l'URL du bridge de l'étape 2.
📋 Suivez le guide d'installation détaillé : github.com/GitGuardian/ggbridge
Le dépôt fournit des instructions complètes pour :
- Déploiement VM (via k3s)
- Déploiement Kubernetes/Helm
- Configurations OpenShift
- Guides de troubleshooting
Assurez-vous d'autoriser l'URL du bridge dans vos paramètres de sécurité réseau pour permettre les connexions sortantes depuis votre réseau privé vers GitGuardian SaaS.
Étape 4 : Configurer le mapping d'URL (si non fait à la création)
Si vous n'avez pas ajouté de noms de domaine lors de la création du bridge, allez dans vos paramètres de bridge et ajoutez les noms de domaine des services internes qui devraient être routés via le bridge :
gitlab.internal.company.combitbucket.team.localartifactory.dev.internal
GitGuardian routera automatiquement le trafic vers ces URLs via votre bridge.
Étape 5 : Configurer vos intégrations
Mettez en place vos services Self-Hosted dans le tableau de bord GitGuardian :
- Sources : naviguez vers Settings > Integrations > Sources
- Destinations : naviguez vers Settings > Integrations > Destinations
- Custom Hosts : naviguez vers Settings > Secrets > Detectors.
Exemple avec GitHub Enterprise :
Lorsque vous saisissez des URLs qui correspondent à votre configuration de bridge, GitGuardian utilise automatiquement la connexion bridge.
Vérifier que tout fonctionne
- Statut du bridge : vérifiez Settings > Security > GitGuardian Bridge pour le statut de connexion
- Santé de l'intégration : monitorer les health checks de vos sources/destinations
- Tests de scan : lancez un scan de test sur un dépôt privé
Avant de lancer des scans à grande échelle, nous recommandons de commencer avec un petit lot de dépôts/sources pour confirmer que le bridge fonctionne correctement. Cette approche aide à :
- Vérifier la connectivité et l'authentification
- Valider les configurations de certificats
- Tester la santé de l'intégration sans surcharger votre réseau
- Identifier et résoudre rapidement les problèmes de configuration
Une fois que vous avez confirmé que tout fonctionne correctement avec le petit lot, vous pouvez procéder à des opérations de scan à plus grande échelle.
Pour de l'aide, contactez le support.
