Microsoft Entra IDaaS dans les opérations de sécurité

Microsoft Entra ID
Microsoft Sentinel

Cette architecture montre comment les équipes du centre d'opérations de sécurité (SOC) peuvent intégrer les capacités d'identité et d'accès de Microsoft Entra dans une stratégie de sécurité zéro confiance globale intégrée et en couches.

La sécurité des réseaux dominait les opérations du SOC lorsque tous les services et appareils étaient contenus dans les réseaux managés des organisations. Toutefois, selon Gartner, d’ici 2022, la taille du marché des services cloud augmentera à un rythme près de trois fois supérieur à celui de l’ensemble des services informatiques. Alors que de plus en plus d’entreprises adoptent le cloud, on observe une évolution vers le traitement de l’identité des utilisateurs comme principale limite de sécurité.

La sécurisation des identités dans le cloud est primordiale.

Le modèle de sécurité Confiance Zéro traite tous les ordinateurs hôtes comme s’ils étaient accessibles sur Internet et considère que l’ensemble du réseau est potentiellement compromis et hostile. Cette approche est axée sur la création d’une authentification, d’une autorisation et d’un chiffrement renforcés, tout en fournissant un accès compartimenté et une meilleure agilité opérationnelle.

Gartner promeut une architecture de sécurité adaptative qui remplace une stratégie basée sur la réponse aux incidents par un modèle prévention-détection-réponse-prédiction. La sécurité adaptative associe le contrôle d’accès, la surveillance comportementale, la gestion de l’utilisation et la découverte à une surveillance et une analyse continues.

L'architecture de référence de cybersécurité Microsoft (MCRA) décrit les capacités de cybersécurité de Microsoft et la manière dont elles s'intègrent aux architectures de sécurité existantes, y compris les environnements cloud et hybrides, qui utilisent Microsoft Entra ID pour l'identité en tant que service (IDaaS).

Cet article fait progresser l’approche de sécurité adaptative et sans confiance de l’IDaaS, en mettant l’accent sur les composants disponibles sur la plateforme Microsoft Entra.

Cas d’usage potentiels

  • Concevoir de nouvelles solutions de sécurité
  • Améliorer ou intégrer aux implémentations existantes
  • Éduquer les équipes SOC

Architecture

Microsoft Entra related security capabilities

Téléchargez un fichier Visio de cette architecture.

Workflow

  1. La gestion des informations d’identification contrôle l’authentification.
  2. L’approvisionnement et la gestion des droits d’utilisation définissent le package d’accès, affectent des utilisateurs aux ressources et transmettent des données pour attestation.
  3. Le moteur d’autorisation évalue la stratégie d’accès pour déterminer l’accès. Le moteur évalue également les détections de risques, notamment les données UEBA (analytique du comportement des utilisateurs/entités) , et vérifie la conformité des appareils dans le cadre de la gestion des points de terminaison.
  4. S’il est autorisé, l’utilisateur ou l’appareil obtient l’accès par stratégies et contrôles d’accès conditionnel.
  5. En cas d’échec de l’autorisation, les utilisateurs peuvent effectuer une correction en temps réel pour se débloquer.
  6. Toutes les données de session sont journalisées pour l’analyse et la création de rapports.
  7. Le système SIEM (Security information and Event Management System) de l’équipe SOC reçoit toutes les données du journal, de la détection des risques et UEBA à partir des identités locales et du cloud.

Composants

Les processus et composants de sécurité suivants contribuent à cette architecture Microsoft Entra IDaaS.

Gestion des informations d’identification

La gestion des informations d’identification comprend des services, des stratégies et des pratiques qui délivrent, suivent et mettent à jour l’accès aux ressources ou aux services. La gestion des informations d'identification Microsoft Entra inclut les fonctionnalités suivantes :

  • La réinitialisation des mots de passe en libre-service (SSPR) permet aux utilisateurs de se servir eux-mêmes et de réinitialiser leurs mots de passe perdus, oubliés ou compromis. Non seulement SSPR réduit le nombre d’appels au support technique, mais offre également une plus grande souplesse et une plus grande sécurité aux utilisateurs.

  • La réécriture du mot de passe synchronise les mots de passe modifiés dans le cloud avec les annuaires locaux en temps réel.

  • Les mots de passe interdits analysent les données de télémétrie révélant les mots de passe faibles ou compromis couramment utilisés et interdisent leur utilisation à l'échelle mondiale dans Microsoft Entra ID. Vous pouvez personnaliser cette fonctionnalité pour votre environnement et inclure une liste de mots de passe personnalisés à interdire au sein de votre organisation.

  • Verrouillage intelligent compare les tentatives d’authentification légitimes et les tentatives de force brute qui visent à obtenir un accès non autorisé. Sous la stratégie de verrouillage intelligent par défaut, un compte est verrouillé pendant une minute après 10 tentatives infructueuses de connexion. À mesure que les tentatives de connexion continuent d’échouer, le temps de verrouillage de compte augmente. Vous pouvez utiliser des stratégies pour ajuster les paramètres pour la combinaison appropriée de sécurité et d’utilisation pour votre organisation.

  • L’authentification multifacteur (MFA) nécessite plusieurs formes d’authentification lorsque les utilisateurs tentent d’accéder à des ressources protégées. Lors de l’accès aux ressources, la plupart des utilisateurs sont habitués à utiliser une méthode d’authentification familière, comme un mot de passe. L’authentification multifacteur demande également aux utilisateurs de démontrer qu’ils ont quelque chose, comme l’accès à un appareil de confiance, ou qu’ils correspondent bien à quelque chose, comme un identifiant biométrique. MFA peut utiliser des types de méthodes d’authentification différents, comme les appels téléphoniques, les textos ou les notifications via l’application Authenticator.

  • L’authentification sans mot de passe remplace le mot de passe dans le flux de travail d’authentification par un smartphone ou un jeton matériel, un identificateur biométrique ou un code confidentiel. L’authentification sans mot de passe Microsoft peut fonctionner avec des ressources Azure telles que Windows Hello Entreprise et l’application Microsoft Authenticator sur appareils mobiles. Vous pouvez également activer l’authentification sans mot de passe avec des clés de sécurité compatibles FIDO2, qui utilisent WebAuthn et le protocole CTAP (Client-to-Authenticator) de FIDO Alliance.

Approvisionnement et droit d’utilisation des applications

Stratégies et contrôles d’accès conditionnel

Une stratégie d’accès conditionnel est une instruction if-then des affectations et des contrôles d’accès. Vous définissez la réponse (« faites ceci ») à la raison du déclenchement de votre stratégie (« si ceci »), ce qui permet au moteur d’autorisation de prendre des décisions qui font respecter les stratégies organisationnelles. Avec Microsoft Entra Conditional Access, vous pouvez contrôler la manière dont les utilisateurs autorisés accèdent à vos applications. L'outil Microsoft Entra ID What If peut vous aider à comprendre pourquoi une stratégie d'accès conditionnel a été ou n'a pas été appliquée, ou si une stratégie s'appliquerait à un utilisateur dans une circonstance spécifique.

Les contrôles d’accès conditionnel fonctionnent conjointement avec les stratégies d’accès conditionnel pour renforcer la stratégie de l’organisation. Les contrôles d'accès conditionnel Microsoft Entra vous permettent de mettre en œuvre une sécurité basée sur des facteurs détectés au moment de la requête d'accès, plutôt qu'une approche universelle. En associant les contrôles d’accès conditionnel aux conditions d’accès, vous réduisez le besoin de créer des contrôles de sécurité supplémentaires. Par exemple, vous pouvez permettre aux utilisateurs d’un appareil joint à un domaine d’accéder à des ressources en utilisant l’authentification unique, mais exiger l’authentification multifacteur pour les utilisateurs hors réseau ou qui utilisent leurs appareils.

Microsoft Entra ID peut utiliser les contrôles d'accès conditionnel suivants avec des stratégies d'accès conditionnel :

Détection d’événements à risque

Azure Identity Protection comprend plusieurs stratégies qui peuvent aider votre organisation à gérer les réponses aux actions suspectes de l’utilisateur. Le risque utilisateur est la probabilité qu’une identité d’utilisateur soit compromise. Le risque de connexion est la probabilité qu’une demande de connexion ne provienne pas de l’utilisateur. Microsoft Entra ID calcule les scores de risque de connexion en fonction de la probabilité que la requête de connexion provienne de l'utilisateur réel, sur la base d'analyses comportementales.

  • Les détections de risques Microsoft Entra utilisent des algorithmes d'apprentissage automatique adaptatifs et des heuristiques pour détecter les actions suspectes liées aux comptes d'utilisateurs. Chaque action suspecte détectée est stockée dans un enregistrement appelé détection d’événement à risque. Microsoft Entra ID calcule la probabilité de risque de connexion et d'utilisateur à l'aide de ces données, améliorées par les sources et signaux de renseignements sur les menaces internes et externes de Microsoft.

  • Vous pouvez utiliser les API de détection des risques Identity Protection dans Microsoft Graph pour exposer les informations sur les utilisateurs et les connexions à risque.

  • La correction en temps réel permet aux utilisateurs de débloquer leur accès en utilisant SSPR et MFA afin de corriger automatiquement certaines détections de risques.

Considérations

Gardez ces points à l’esprit lorsque vous utilisez cette solution.

Journalisation

Les rapports d'audit Microsoft Entra assurent la traçabilité des activités Azure avec des journaux d'audit, des journaux de connexion, ainsi que des rapports sur les connexions et les utilisateurs à risque. Vous pouvez filtrer et rechercher les données du journal en fonction de plusieurs paramètres, notamment le service, la catégorie, l’activité et l’état.

Vous pouvez acheminer les données du journal Microsoft Entra ID vers des points de terminaison tels que :

Vous pouvez également utiliser l'API de création de rapports Microsoft Graph pour récupérer et consommer les données du journal Microsoft Entra ID dans vos propres scripts.

Considérations locales et hybrides

Les méthodes d’authentification sont essentielles pour sécuriser les identités de votre organisation dans un scénario hybride. Microsoft fournit des conseils spécifiques sur le choix d'une méthode d'authentification hybride avec Microsoft Entra ID.

Microsoft Defender pour Identity peut utiliser vos signaux Azure Active Directory locaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions malveillantes internes. Defender pour Identity utilise UEBA pour identifier les menaces internes et signaler les risques. Même si une identité est compromise, Defender pour Identity peut aider à identifier la compromission en se basant sur un comportement inhabituel de l’utilisateur.

Defender pour Identity est intégré à Defender pour applications cloud pour étendre la protection aux applications cloud. Defender pour applications cloud vous permet de créer des stratégies de session qui protègent vos fichiers lors du téléchargement. Par exemple, vous pouvez définir automatiquement des autorisations d’affichage seul sur n’importe quel fichier téléchargé en fonction des types spécifiques d’utilisateurs.

Vous pouvez configurer une application locale dans Microsoft Entra ID pour utiliser Defender for Cloud Apps pour la surveillance en temps réel. Defender for Cloud Apps utilise le contrôle d’application par accès conditionnel pour surveiller et contrôler les sessions en temps réel en fonction des stratégies d’accès conditionnel. Vous pouvez appliquer ces stratégies aux applications locales qui utilisent un proxy d’application dans Microsoft Entra ID.

Microsoft Entra Proxy d’application permet aux utilisateurs d'accéder à des applications Web sur site à partir de clients distants. Avec Proxy d’application, vous pouvez surveiller toutes les activités de connexion de vos applications dans un même emplacement.

Vous pouvez utiliser Defender pour Identity avec Microsoft Entra ID Protection pour protéger les identités des utilisateurs synchronisées avec Azure avec Microsoft Entra Connect.

Si certaines de vos applications utilisent déjà un contrôleur de livraison ou un contrôleur réseau existant pour fournir un accès hors réseau, vous pouvez les intégrer à Microsoft Entra ID. Plusieurs partenaires, dont Akamai, Citrix, F5 Networks et Zscaler, proposent des solutions et des conseils pour l'intégration avec Microsoft Entra ID.

Optimisation des coûts

Les tarifs de Microsoft Entra vont de gratuit, pour des fonctionnalités telles que SSO et MFA, à Premium P2, pour des fonctionnalités telles que PIM et gestion des droits d’utilisation. Pour plus de détails sur les tarifs, consultez Tarification Microsoft Entra.

Étapes suivantes