Sécurité du Contrôleur UniFi Cloud
Résumé MKController assure une sécurité de niveau entreprise pour votre contrôleur UniFi selon trois niveaux : accès distant chiffré via tunnel VPN avec MFA et liste blanche d’IP dynamique, provisionnement automatisé des identifiants via l’API UniFi avec permissions ciblées, et chiffrement SSL de bout en bout avec renouvellement automatique des certificats. La désactivation d’un utilisateur dans MKController entraîne une révocation immédiate et totale de ses accès dans l’environnement UniFi — une capacité absente du UniFi Cloud d’Ubiquiti.
Qu’est-ce que la sécurité UniFi dans MKController ?
La sécurité UniFi dans MKController est la couche de gouvernance des accès qui contrôle comment les utilisateurs s’authentifient, se connectent et opèrent sur votre contrôleur UniFi via la plateforme cloud MKController. Elle couvre l’authentification (VPN + MFA), les autorisations (provisionnement ciblé), et la protection des données (SSL de bout en bout) — sans que vous ayez à gérer manuellement les certificats, les règles de pare-feu ou les bases d’utilisateurs.
Comment fonctionne la sécurité de l’accès distant ?
MKController achemine tous les accès distants à votre contrôleur UniFi via un tunnel VPN avancé. L’accès exige à la fois un compte MKController valide et une vérification MFA, avec une liste blanche d’IP dynamique appliquée au niveau de la session. Aucune session non vérifiée ne peut atteindre votre infrastructure UniFi.
Ce modèle élimine la principale surface d’attaque des déploiements UniFi : l’exposition directe de l’interface web UniFi sur internet. Le contrôleur n’est accessible qu’à travers l’infrastructure chiffrée de MKController.
Comment fonctionne le provisionnement des identifiants ?
Lorsque vous ajoutez un utilisateur dans MKController, ses identifiants sont provisionnés directement dans le contrôleur UniFi via API — avec des permissions prédéfinies et ciblées par site, groupe AP ou rôle opérationnel. Ce processus est entièrement automatisé, sans saisie manuelle, feuilles de calcul ni commandes SSH.
Le flux de provisionnement est reproductible et évolutif sur des déploiements multi-sites. Ce niveau d’automatisation des identifiants via API n’est pas disponible nativement dans le UniFi Cloud d’Ubiquiti, qui impose une gestion manuelle par contrôleur.
Que se passe-t-il lors de la désactivation d’un utilisateur ?
Lorsqu’un utilisateur est désactivé ou supprimé dans MKController — suite à un changement de rôle, une fin de contrat ou un incident de sécurité — ses identifiants sont révoqués instantanément et complètement dans l’environnement UniFi. Aucune permission résiduelle, aucune session fantôme, aucun jeton d’accès persistant. La révocation est en temps réel, précise et entièrement tracée.
Comparaison : MKController vs UniFi Cloud en matière de sécurité
| Fonctionnalité | UniFi Cloud (natif) | MKController |
|---|---|---|
| Authentification pour l’accès distant | Identifiant/mot de passe | Tunnel VPN + MFA + liste blanche d’IP dynamique |
| Provisionnement des identifiants | Manuel par contrôleur | Automatisé via API avec permissions ciblées |
| Révocation des accès | Manuelle | Instantanée et complète à la désactivation |
| Périmètre utilisateur multi-sites | Limité | Ciblé par site, groupe AP ou rôle |
| Gestion des certificats SSL | Manuelle ou auto-signé | Renouvellement automatique, HTTPS imposé partout |
Comment les données sont-elles chiffrées ?
Toutes les sessions et flux de données dans l’environnement MKController sont protégés par des certificats SSL conformes aux standards industriels, avec renouvellement automatique. Le HTTPS est imposé sur toutes les interfaces, garantissant un trafic de gestion chiffré depuis votre navigateur jusqu’au backend UniFi. Les certificats auto-signés ne sont pas utilisés — chaque connexion est authentifiée avec un certificat valide et renouvelé automatiquement.
Pourquoi la révocation automatique des accès est-elle essentielle ?
Dans une configuration UniFi traditionnelle, lorsqu’un technicien quitte l’équipe ou qu’un contrat se termine, l’administrateur doit se connecter manuellement à chaque contrôleur UniFi pour supprimer le compte. Sur des déploiements multi-sites avec des dizaines de contrôleurs, cette procédure est source d’erreurs et souvent négligée — laissant d’anciens employés ou partenaires avec des accès actifs indéfiniment.
La révocation instantanée de MKController règle ce problème au niveau de l’infrastructure : désactiver un utilisateur en un seul endroit retire l’accès à tous les contrôleurs UniFi associés simultanément, avec un journal d’audit complet de l’événement de révocation.
Questions fréquentes
MKController nécessite-t-il une gestion manuelle des certificats SSL ? Non. Tous les certificats SSL utilisés par le contrôleur UniFi de MKController sont automatiquement provisionnés et renouvelés. Le HTTPS est imposé sur toutes les connexions — aucune étape de renouvellement manuel, aucune alerte d’expiration, aucun risque de retour à un HTTP non chiffré.
Le MFA est-il obligatoire pour accéder à UniFi ? Le MFA est imposé au niveau du compte MKController. Puisque tout accès au contrôleur UniFi passe par le tunnel VPN authentifié de MKController, le MFA s’applique à chaque session de gestion UniFi — que le contrôleur UniFi lui-même ait ou non configuré le MFA.
Que se passe-t-il pour la configuration des appareils UniFi si je perds l’accès à MKController ? Les appareils UniFi adoptés conservent leur configuration existante et continuent de fonctionner normalement. Ils restent gérés par le contrôleur, mais les fonctionnalités de gouvernance spécifiques à MKController (alertes, journaux d’audit, gestion centralisée des utilisateurs) deviennent indisponibles jusqu’au rétablissement de l’accès.
Puis-je auditer qui a accédé à quels appareils UniFi et quand ? Oui. MKController enregistre tous les événements d’accès avec attribution utilisateur et horodatage. Consultez Historique des actions pour en savoir plus sur le fonctionnement des journaux d’audit sur la plateforme.
Des questions sur la configuration de la sécurité UniFi ou le provisionnement des utilisateurs ? Contactez le support MKController sur WhatsApp.
Des questions ? 📧 contato@mkcontroller.com