Sécurisation des identités avec la Confiance Zéro

Background

Les applications cloud et la main-d’œuvre mobile ont redéfini le périmètre de sécurité. Les employés apportent leurs propres appareils et travaillent à distance. Les données sont accessibles en dehors du réseau de l’entreprise et sont partagées avec des collaborateurs externes, tels que des partenaires et des fournisseurs. Les applications et les données d’entreprise sont déplacées d’un environnement local vers un environnement hybride et cloud. Les organisations ne peuvent plus s’appuyer sur les contrôles réseau traditionnels pour la sécurité. Les contrôles doivent être déplacés vers l’emplacement où se trouvent les données : sur les appareils, dans les applications et avec les partenaires.

Les identités représentant des personnes, des services ou des appareils IoT constituent le dominateur courant parmi les nombreux réseaux, points de terminaison et applications actuels. Dans le modèle de sécurité Confiance Zéro, les identités fonctionnent comme un moyen puissant, flexible et précis de contrôler l’accès aux données.

Avant qu’une identité ne tente d’accéder à une ressource, les organisations doivent :

• Vérifiez l’identité avec une authentification renforcée.

• Assurez-vous que l’accès est conforme et standard pour cette identité.

• Suivez les principes d’accès les moins privilégiés.

Une fois l’identité vérifiée, nous pouvons contrôler l’accès de l’identité aux ressources en fonction des stratégies de l’organisation, de l’analyse des risques en cours et d’autres outils.

Objectifs du déploiement d’une identité Confiance Zéro

Avant que la plupart des organisations ne commencent le parcours Confiance Zéro, leur approche d’identification est problématique, car le fournisseur d’identité local est en cours d’utilisation, aucune authentification unique (SSO) n’est présente entre les applications cloud et les applications locales, et la visibilité du risque d’identité est très limitée.

Lors de l’implémentation d’une infrastructure Confiance Zéro pour l’identité de bout en bout, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
	I.L’identité cloud est fédérée avec des systèmes d’identité locaux. II.Les stratégies d’accès conditionnel contrôlent l’accès et fournissent des activités de correction. III.L’analytique améliore la visibilité.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
	IV.Les identités et les privilèges d'accès sont gérés avec la gouvernance d’identité V.L’utilisateur, l’appareil, l’emplacement et le comportement sont analysés en temps réel, ce qui permet de déterminer le niveau de risque et d’assurer une protection en continu. VI.Intégrer les signaux de menaces d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse.

Guide de déploiement de l’identité Confiance Zéro

Ce guide vous accompagne tout au long des étapes nécessaires à la gestion des identités selon les principes d’une infrastructure de sécurité Confiance Zéro.

Objectifs de déploiement initiaux

I. L’identité cloud est fédérée avec des systèmes d’identité locaux

Microsoft Entra ID permet une authentification stricte, un point d'intégration pour la sécurité des terminaux et le cœur de vos droit d'accès minimal. Les fonctionnalités d’accès conditionnel de Microsoft Entra fournissent le point de décision de stratégie pour l’accès aux ressources en fonction de l’identité de l’utilisateur, de l’environnement, de l’intégrité de l’appareil et des risques, qui sont vérifiés explicitement au point d’accès. Nous allons vous montrer la procédure d’implémentation d’une stratégie d’identité Confiance Zéro avec Microsoft Entra ID.

Connecter tous vos utilisateurs à Microsoft Entra ID et fédérer avec les systèmes d’identité locaux

La maintenance d’un pipeline sain des identités de vos employés et des artefacts de sécurité nécessaires (les groupes pour les autorisations et les points de terminaison pour les contrôles de stratégie d’accès supplémentaires), vous mettent dans les meilleures conditions pour utiliser des identités et des contrôles cohérents dans le cloud.

Effectuez les étapes suivantes :

1. Choisissez une option d’authentification. Microsoft Entra ID vous offre la meilleure protection en termes de force brute, de DDoS et de pulvérisation de mot de passe. Prenez toutefois la décision qui convient à votre organisation et à vos besoins en matière de conformité.

2. Apportez uniquement les identités dont vous avez absolument besoin. Par exemple, utilisez le cloud pour conserver des comptes de service qui ne fonctionnent que localement. Oubliez les rôles privilégiés locaux.

3. Si votre entreprise compte plus de 100 000 utilisateurs, groupes et appareils combinés, générez une zone de synchronisation à haute performance qui assure la mise à jour de votre cycle de vie.

Établissez votre base d'identité avec Microsoft Entra ID

Une stratégie de Confiance Zéro requiert une vérification explicite à l’aide des principes d’accès à faibles privilèges et en supposant une violation. Microsoft Entra ID peut agir en tant que point de décision de la stratégie pour appliquer vos stratégies d’accès en fonction des insights sur l’utilisateur, le point de terminaison, la ressource cible et l’environnement.

Étape à suivre

• Placez Microsoft Entra ID dans le chemin d’accès de chaque demande d’accès. Cela connecte chaque utilisateur, application ou ressource par le biais d’un plan de contrôle d’identité et fournit à Microsoft Entra ID le signal pour prendre les meilleures décisions possibles concernant le risque d’authentification/d’autorisation. En outre, les gardes-fous de stratégie d’authentification unique et cohérente offrent une meilleure expérience utilisateur et contribuent aux gains de productivité.

Intégrer toutes vos applications à Microsoft Entra ID

L’authentification unique empêche les utilisateurs de laisser des copies de leurs informations d’identification dans différentes applications et permet d’éviter que les utilisateurs s’habituent remettre leurs informations d’identification en raison d’un nombre excessif d’invites.

Assurez-vous également que vous ne disposez pas de plusieurs moteurs IAM (gestion des identités et des accès) dans votre environnement. Non seulement, cela réduit la quantité de signaux que Microsoft Entra ID voit, ce qui permet aux mauvais intervenants de se faufiler entre les deux moteurs IAM, mais cela peut également mener à une expérience utilisateur médiocre. Ainsi, vos partenaires commerciaux deviennent les premiers à douter de votre stratégie de Confiance Zéro.

Effectuez les étapes suivantes :

1. Intégrez des applications d’entreprise modernes qui disposent d’OAuth2.0 ou de SAML.

2. Pour les applications Kerberos et d’authentification basée sur les formulaires, intégrez-les à l’aide du proxy d’application Microsoft Entra.

3. Si vous publiez vos applications héritées à l’aide de réseaux/contrôleurs de livraison d’application, utilisez Microsoft Entra ID pour les intégrer à la plupart des principaux (par exemple, Citrix, Akamai et F5).

4. Pour découvrir et migrer vos applications à partir d’ADFS et de moteurs IAM existants/anciens, consultez les ressources et outils.

5. Envoyez (push) les identités dans vos différentes applications cloud. Vous bénéficiez ainsi d’une intégration plus étroite du cycle de vie des identités au sein de ces applications.

Conseil

En savoir plus sur l’implémentation d’une stratégie de Confiance Zéro de bout en bout pour les applications.

Vérifier explicitement avec une authentification renforcée

Effectuez les étapes suivantes :

1. Déployer l'authentification multifacteur Microsoft Entra (P1). Il s’agit d’un élément fondamental de la réduction des risques de session utilisateur. À mesure que les utilisateurs s’affichent sur de nouveaux appareils et à partir de nouveaux emplacements, pouvoir répondre à une stimulation d’authentification multifacteur (MFA) est l’un des moyens les plus directs pour que vos utilisateurs puissent nous dire qu’il s’agit d’appareils/d’emplacements familiers lorsqu’ils se déplacent dans le monde (sans que les administrateurs n’analysent les signaux individuels).

2. Bloquez l’authentification héritée. L’un des vecteurs d’attaque les plus courants pour les intervenants malveillants consiste à utiliser des informations d’identification volées/relues sur des protocoles hérités, tels que SMTP, qui ne peuvent pas relever de défis modernes en matière de sécurité.

II. Les stratégies d’accès conditionnel empêchent l’accès et fournissent des activités de correction

L’accès conditionnel (CA) Microsoft Entra analyse des signaux, comme l’utilisateur, l’appareil et la localisation, afin d’automatiser les décisions et d’appliquer les stratégies d’accès propres à l’organisation pour la ressource. Vous pouvez utiliser des stratégies d’accès conditionnel pour appliquer des contrôles d’accès tels que l’authentification multifacteur (MFA). Les stratégies d’accès conditionnel vous permettent d’inviter des utilisateurs à procéder à l’authentification multifacteur (MFA) lorsque la sécurité l’exige, et elle reste également en dehors du chemin des utilisateurs lorsque ce n’est pas nécessaire.

Microsoft fournit des stratégies conditionnelles standard, appelées paramètres de sécurité par défaut, et qui garantissent un niveau de sécurité de base. Toutefois, votre organisation peut avoir besoin de plus de flexibilité que ce que propose la sécurité par défaut. Vous pouvez utiliser l’accès conditionnel pour personnaliser les paramètres de sécurité par défaut avec une plus grande granularité, et pour configurer de nouvelles stratégies qui répondent à vos besoins.

La planification de vos stratégies d’accès conditionnel à l’avance et la mise en place d’un ensemble de stratégies actives et de secours sont un pilier fondamental de votre application de stratégie d’accès dans un déploiement Confiance Zéro. Prenez le temps de configurer vos emplacements d’adresses IP approuvés dans votre environnement. Même si vous ne les utilisez pas dans une stratégie d’accès conditionnel, la configuration de ces adresses IP indique le risque d’Identity Protection mentionné ci-dessus.

Étape à suivre

• Consultez nos conseils de déploiement, ainsi que les meilleures pratiques pour les stratégies d’accès conditionnel résilientes.

Inscrire des appareils avec Microsoft Entra ID pour limiter l’accès à partir d’appareils vulnérables et compromis

Effectuez les étapes suivantes :

1. Activer la jointure hybride Microsoft Entra ou Microsoft Entra. Si vous gérez l’ordinateur portable/l’ordinateur de l’utilisateur, intégrez ces informations à Microsoft Entra ID et utilisez-les pour prendre de meilleures décisions. Par exemple, vous pouvez choisir d’autoriser l’accès client enrichi aux données (clients qui ont des copies hors connexion sur leur ordinateur) si vous savez que l’utilisateur provient d’un ordinateur que votre organisation contrôle et gère. Si vous n’effectuez pas cette opération, vous allez probablement choisir de bloquer l’accès aux clients enrichis, ce qui peut pousser vos utilisateurs à contourner votre sécurité et à utiliser une informatique fantôme.

2. Activez le service Intune dans Microsoft Endpoint Manager (EMS) pour gérer les appareils mobiles de vos utilisateurs, ainsi que pour inscrire des appareils. Il en va de même pour les appareils mobiles des utilisateurs, tout comme les ordinateurs portables : plus vous en savez à leur sujet (niveau de patch, appareil jailbreaké, appareil rooté, etc.), plus vous pouvez faire confiance ou non à ces appareils et fournir les raisons pour lesquelles vous bloquez/autorisez l’accès.

Conseil

En savoir plus sur l’implémentation d’une stratégie de Confiance Zéro de bout en bout pour les points de terminaison

III. Les analyses améliorent la visibilité

À mesure que vous créez votre patrimoine dans Microsoft Entra ID avec l’authentification, l’autorisation et l’approvisionnement, il est important de disposer d’insights puissants et opérationnels sur ce qui se passe dans le répertoire.

Configurer votre journalisation et vos rapports pour améliorer la visibilité

Étape à suivre

• Planifiez un déploiement de rapports et d’analyses de Microsoft Entra pour pouvoir conserver et analyser les journaux à partir de Microsoft Entra ID, soit dans Azure ou à l’aide d’un système SIEM de votre choix.

Objectifs de déploiement supplémentaires

IV. Les identités et les privilèges d’accès sont gérés avec la gouvernance d’identité

Une fois que vous avez mené à bien les trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires, tels qu’une gouvernance d’identité plus robuste.

Sécuriser l’accès privilégié avec Privileged Identity Management

Contrôlez les points de terminaison, les conditions et les informations d’identification dont les utilisateurs se servent pour accéder aux opérations/rôles privilégiés.

Effectuez les étapes suivantes :

1. Prenez le contrôle de vos identités privilégiées. N’oubliez pas que dans une organisation transformée numériquement, l’accès privilégié n’est pas seulement un accès administratif, mais également un propriétaire d’application ou un accès développeur qui peut modifier la façon dont vos applications stratégiques s’exécutent et gèrent les données.

2. Utilisez Privileged Identity Management pour sécuriser les identités privilégiées.

Limiter le consentement de l’utilisateur pour les applications

Le consentement de l’utilisateur pour les applications est un moyen très courant pour les applications modernes d’accéder aux ressources de l’organisation, mais il existe des meilleures pratiques à garder à l’esprit.

Effectuez les étapes suivantes :

1. Limitez le consentement de l’utilisateur et gérez les demandes de consentement pour éviter toute exposition inutile des données de votre organisation aux applications.

2. Recherchez dans le consentement préalable/existant de votre organisation tout consentement excessif ou malveillant.

Pour plus d’informations sur les outils permettant de se protéger contre les tactiques d’accès aux informations sensibles, consultez « Renforcer la protection contre les cybermenaces et les applications non fiables » dans notre guide d’implémentation d’une stratégie d’identité Confiance Zéro.

Gérer les droits d’utilisation

Avec les applications qui s’authentifient et sont pilotées de manière centralisée à partir de Microsoft Entra ID, vous pouvez désormais simplifier vos processus de demande d’accès, d’approbation et de renouvellement de certificat pour vous assurer que les bonnes personnes disposent de l’accès approprié et que vous avez un traçage des raisons pour lesquelles les utilisateurs de votre organisation ont l’accès dont ils disposent.

Effectuez les étapes suivantes :

1. La gestion des droits d’utilisation permet de créer des packages d’accès que les utilisateurs peuvent demander lorsqu’ils rejoignent des équipes/projets différents et qui leur attribuent l’accès aux ressources associées (telles que les applications, les sites SharePoint, les appartenances au groupe).

2. Si le déploiement de la gestion des droits d’utilisation n’est pas possible pour votre organisation en ce moment, vous pouvez au moins activer des paradigmes en libre-service dans votre organisation en déployant la gestion de groupes en libre-service et l’accès aux applications en libre-service.

L’authentification sans mot de passe permet de réduire les risques d’attaque par hameçonnage et de mot de passe

Avec la prise en charge de la connexion téléphonique sans mot de passe et FIDO 2.0 par Microsoft Entra ID, vous vous concentrez sur les identifiants que vos utilisateurs (surtout les utilisateurs sensibles/privilégiés) emploient au quotidien. Ces informations d’identification sont des facteurs d’authentification forts qui peuvent également atténuer les risques.

Étape à suivre

• Commencez à déployer des informations d’identification sans mot de passe dans votre organisation.

V. L’utilisateur, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer les risques et offrir une protection continue

L’analyse en temps réel est essentielle pour déterminer les risques et la protection.

Déployer la protection par mot de passe Microsoft Entra

Lorsque vous permettez à d’autres méthodes de vérifier explicitement les utilisateurs, n’ignorez pas les mots de passe faibles, la pulvérisation de mot de passe et les attaques par relecture de violations. De plus, les stratégies de mots de passe complexes classiques n’empêchent pas les attaques de mot de passe les plus fréquentes.

Étape à suivre

• Activez la protection par mot de passe Microsoft Entra pour vos utilisateurs dans le cloud et en local.

Activer Identity Protection

Obtenez un signal de risque de session/d’utilisateur plus précis avec Identity Protection. Vous pouvez examiner les risques et confirmer le compromis ou le rejet du signal, ce qui permet au moteur de mieux comprendre à quoi ressemble le risque dans votre environnement.

Étape à suivre

• Activez Identity Protection.

Activer l’intégration de Microsoft Defender for Cloud Apps à Identity Protection

Microsoft Defender for Cloud Apps surveille le comportement des utilisateurs dans les applications SaaS et les applications modernes. Cela informe Microsoft Entra ID de ce qui est arrivé à l’utilisateur une fois qu’il s’est authentifié et a reçu un jeton. Si le modèle utilisateur commence à paraître suspect (par exemple, si un utilisateur commence à télécharger des gigaoctets de données à partir de OneDrive ou commence à envoyer des emails indésirables dans Exchange Online), un signal peut être acheminé vers Microsoft Entra ID indiquant que l’utilisateur semble être compromis ou à haut risque. À la prochaine demande d’accès de cet utilisateur, Microsoft Entra ID peut agir correctement pour vérifier l’utilisateur ou le bloquer.

Étape à suivre

• Activez la surveillance Defender pour le cloud Apps pour enrichir le signal Identity Protection.

Activer l’intégration de l’accès conditionnel avec Microsoft Defender for Cloud Apps

Grâce aux signaux émis après l'authentification et à Defender pour le cloud Apps qui proxifie les demandes vers les applications, vous pourrez surveiller les sessions allant vers les applications SaaS et appliquer des restrictions.

Effectuez les étapes suivantes :

1. Activez l’intégration d’accès conditionnel.

2. Étendez l’accès conditionnel à des applications locales.

Activer une session restreinte pour une utilisation dans les décisions d’accès

Lorsque le risque d’un utilisateur est faible, mais qu’il se connecte à partir d’un point de terminaison inconnu, vous souhaitez peut-être lui autoriser l’accès aux ressources critiques, mais pas l’autoriser à effectuer des opérations qui laissent votre organisation dans un état non conforme. Vous pouvez maintenant configurer Exchange Online et SharePoint Online pour offrir à l’utilisateur une session restreinte qui lui permet de lire des e-mails ou d’afficher des fichiers, mais pas de les télécharger et de les enregistrer sur un appareil non approuvé.

Étape à suivre

• Activer l’accès limité à SharePoint Online et Exchange Online

VI. Intégrer les signaux de menaces d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse

Enfin, d’autres solutions de sécurité peuvent être intégrées pour une plus grande efficacité.

Microsoft Defender pour Identity est intégré à Microsoft Defender for Cloud Apps

L’intégration avec Microsoft Defender pour Identity permet à Microsoft Entra ID de savoir qu’un utilisateur adopte un comportement risqué tout en accédant à des ressources locales et non modernes (telles que des Partages de fichiers). Cela peut ensuite être pris en compte dans le risque global de l’utilisateur pour bloquer tout accès supplémentaire dans le cloud.

Effectuez les étapes suivantes :

1. Activez Microsoft Defender pour Identity avec Microsoft Defender for Cloud Apps pour placer des signaux locaux dans le signal de risque que nous connaissons pour l’utilisateur.

2. Vérifiez le score de priorité d’investigation combiné pour chaque utilisateur à risque pour obtenir une vue holistique de celui sur lequel votre SOC (centre des opérations de sécurité) doit se concentrer.

Activer Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison vous permet d’attester de l’intégrité des ordinateurs Windows et de déterminer s’ils sont en cours de compromission. Vous pouvez ensuite alimenter ces informations afin d’atténuer les risques au moment du runtime. Tandis que la Jonction de domaine vous offre un sens de contrôle, Defender pour point de terminaison vous permet de réagir à une attaque de programme malveillant quasiment en temps réel en détectant les modèles dans lesquels plusieurs appareils utilisateur accèdent à des sites non fiables. Il vous permet également de réagir en augmentant leur risque d’appareil/d’utilisateur au moment de l’exécution.

Étape à suivre

• Configurez l’Accès conditionnel dans Microsoft Defender pour point de terminaison.

Sécurisation de l’identité conformément au décret 14028 sur la cybersécurité et au mémorandum 22-09 de l’OMB

Le Décret 14028 sur l’amélioration de la cybersécurité des nations et le Mémorandum 22-09 de l’OMB comprennent des actions spécifiques sur la Confiance Zéro. Les actions d’identité incluent l’utilisation de systèmes de gestion des identités centralisés, l’utilisation de l’authentification multifacteur résistant au hameçonnage et l’incorporation d’au moins un signal au niveau de l’appareil dans les décisions d’autorisation. Pour obtenir des instructions détaillées sur l’implémentation de ces actions avec Microsoft Entra ID, voir Répondre aux exigences d’identité du protocole 22-09 avec Microsoft Entra ID.

Produits abordés dans ce guide

Microsoft Azure

Microsoft Entra ID

Microsoft Defender pour Identity

Microsoft 365

Microsoft Endpoint Manager (notamment Microsoft Intune)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

Conclusion

L’identité est essentielle à une stratégie de Confiance Zéro réussie. Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client ou continuez à lire les autres chapitres de ce guide, qui couvrent tous les piliers de la Confiance Zéro.

Série de guides de déploiement de la Confiance Zéro