Sécurisation de l’identité avec Confiance nulle

Fond

Les applications cloud et la main-d’œuvre mobile ont redéfini le périmètre de sécurité. Les employés apportent leurs propres appareils et travaillent à distance. Les données sont accessibles en dehors du réseau d’entreprise et partagées avec des collaborateurs externes tels que des partenaires et des fournisseurs. Les applications et données d’entreprise passent des environnements locaux aux environnements hybrides et cloud. Les organisations ne peuvent plus compter sur les contrôles réseau traditionnels pour la sécurité. Les contrôles doivent passer à l’endroit où se trouvent les données : sur les appareils, à l’intérieur des applications et avec des partenaires.

Les identités, qui représentent des personnes, des services ou des appareils IoT, sont le dominateur commun parmi les nombreux réseaux, points de terminaison et applications d’aujourd’hui. Dans le modèle de sécurité Confiance nulle, ils fonctionnent comme un moyen puissant, flexible et granulaire de contrôler l’accès aux données.

Avant qu’une identité tente d’accéder à une ressource, les organisations doivent :

  • Vérifiez l’identité avec une authentification forte.

  • Vérifiez que l’accès est conforme et classique pour cette identité.

  • Suit les principes d’accès aux privilèges minimum.

Une fois l’identité vérifiée, nous pouvons contrôler l’accès de cette identité aux ressources en fonction des stratégies d’organisation, de l’analyse continue des risques et d’autres outils.

Objectifs de déploiement de Confiance nulle d’identité

Avant que la plupart des organisations ne commencent le parcours Confiance nulle, leur approche de l’identité est problématique en ce que le fournisseur d’identité local est utilisé, qu’aucune authentification unique n’est présente entre les applications cloud et locales, et que la visibilité sur les risques d’identité est très limitée.

Lors de l’implémentation d’une infrastructure Confiance nulle de bout en bout pour l’identité, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :

List icon with one checkmark.

L’identité I.Cloudse fédère avec les systèmes d’identité locaux.

II.Les stratégies d’accès conditionnel contrôlent l’accès et fournissent des activités de correction.

III.L’analytique améliore la visibilité.

Une fois ces opérations terminées, concentrez-vous sur ces objectifs de déploiement supplémentaires :

List icon with two checkmarks.

IV.Les identités et les privilèges d’accès sont gérés avec la gouvernance des identités.

V.User, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer les risques et fournir une protection continue.

VI.Intégrez les signaux de menace d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse.

Guide de déploiement Confiance nulle d’identité

Ce guide vous guide tout au long des étapes nécessaires à la gestion des identités en suivant les principes d’une infrastructure de sécurité Confiance nulle.




Checklist icon with one checkmark.

Objectifs de déploiement initiaux

Je. L’identité cloud se fédère avec des systèmes d’identité locaux

Azure Active Directory (AD) permet une authentification forte, un point d’intégration pour la sécurité des points de terminaison et le cœur de vos stratégies centrées sur l’utilisateur pour garantir l’accès le moins privilégié. Les fonctionnalités d’accès conditionnel de Azure AD sont le point de décision de stratégie pour l’accès aux ressources en fonction de l’identité de l’utilisateur, de l’environnement, de l’intégrité de l’appareil et des risques, vérifiés explicitement au point d’accès. Nous allons montrer comment implémenter une stratégie d’identité Confiance nulle avec Azure AD.

Diagram of the steps within phase 1 of the initial deployment objectives.

Connecter tous vos utilisateurs à Azure AD et à se fédérer avec des systèmes d’identité locaux

Le maintien d’un pipeline sain des identités de vos employés et des artefacts de sécurité nécessaires (groupes pour l’autorisation et points de terminaison pour les contrôles de stratégie d’accès supplémentaires) vous place au meilleur endroit pour utiliser des identités et des contrôles cohérents dans le cloud.

Procédez comme suit :

  1. Choisissez une option d’authentification. Azure AD vous offre la meilleure protection par force brute, DDoS et pulvérisation de mots de passe, mais prenez la décision qui convient à votre organisation et à vos besoins en matière de conformité.

  2. Apportez uniquement les identités dont vous avez absolument besoin. Par exemple, utilisez l’utilisation du cloud pour laisser derrière vous des comptes de service qui n’ont de sens qu’en local. Laissez les rôles privilégiés locaux derrière vous.

  3. Si votre entreprise a plus de 100 000 utilisateurs, groupes et appareils combinés, créez une zone de synchronisation hautes performances qui maintiendra votre cycle de vie à jour.

Établir votre Identity Foundation avec Azure AD

Une stratégie de Confiance nulle nécessite une vérification explicite, l’utilisation des principes d’accès les moins privilégiés et l’hypothèse d’une violation. Azure AD pouvez agir comme point de décision de stratégie pour appliquer vos stratégies d’accès en fonction d’insights sur l’utilisateur, le point de terminaison, la ressource cible et l’environnement.

Effectuez cette étape :

  • Placez Azure AD dans le chemin de chaque demande d’accès. Cela connecte chaque utilisateur et chaque application ou ressource via un plan de contrôle d’identité et fournit Azure AD avec le signal pour prendre les meilleures décisions possibles concernant le risque d’authentification/d’autorisation. En outre, l’authentification unique et les garde-fous de stratégie cohérents offrent une meilleure expérience utilisateur et contribuent aux gains de productivité.

Intégrer toutes vos applications à Azure AD

L’authentification unique empêche les utilisateurs de laisser des copies de leurs informations d’identification dans différentes applications et permet d’éviter que les utilisateurs ne s’habituent à remettre leurs informations d’identification en raison d’une invite excessive.

Vérifiez également que vous n’avez pas plusieurs moteurs IAM dans votre environnement. Non seulement cela diminue la quantité de signal que Azure AD voit, permettant aux mauvais acteurs de vivre dans les joints entre les deux moteurs IAM, mais cela peut également entraîner une mauvaise expérience utilisateur et vos partenaires commerciaux deviennent les premiers douteurs de votre stratégie de Confiance nulle.

Procédez comme suit :

  1. Intégrez des applications d’entreprise modernes qui parlent OAuth2.0 ou SAML.

  2. Pour les applications Kerberos et d’authentification basées sur des formulaires, intégrez-les à l’aide de la Azure AD Proxy d'application.

  3. Si vous publiez vos applications héritées à l’aide de réseaux/contrôleurs de distribution d’applications, utilisez Azure AD pour vous intégrer à la plupart des applications majeures (telles que Citrix, Akamai et F5).

  4. Pour découvrir et migrer vos applications hors d’ADFS et des moteurs IAM existants/plus anciens, passez en revue les ressources et les outils.

  5. Power push des identités dans vos différentes applications cloud. Vous bénéficiez ainsi d’une intégration plus étroite du cycle de vie des identités au sein de ces applications.

Vérifier explicitement avec une authentification forte

Procédez comme suit :

  1. Déployer Azure AD MFA (P1). Il s’agit d’un élément fondamental de la réduction du risque de session utilisateur. À mesure que les utilisateurs apparaissent sur les nouveaux appareils et à partir de nouveaux emplacements, être en mesure de répondre à un défi d’authentification multifacteur est l’un des moyens les plus directs que vos utilisateurs peuvent nous apprendre qu’il s’agit d’appareils ou d’emplacements familiers lorsqu’ils se déplacent dans le monde entier (sans que les administrateurs analysent les signaux individuels).

  2. Bloquer l’authentification héritée. L’un des vecteurs d’attaque les plus courants pour les acteurs malveillants consiste à utiliser des informations d’identification volées/relues sur des protocoles hérités, tels que SMTP, qui ne peuvent pas relever de défis de sécurité modernes.

II. Les stratégies d’accès conditionnel contrôlent l’accès et fournissent des activités de correction

Azure AD l’accès conditionnel analyse les signaux tels que l’utilisateur, l’appareil et l’emplacement pour automatiser les décisions et appliquer des stratégies d’accès organisationnel pour les ressources. Vous pouvez utiliser des stratégies d’autorité de certification pour appliquer des contrôles d’accès tels que l’authentification multifacteur (MFA). Les stratégies d’autorité de certification vous permettent d’inviter les utilisateurs à utiliser l’authentification multifacteur si nécessaire pour des raisons de sécurité et de rester à l’écart des utilisateurs quand cela n’est pas nécessaire.

Diagram of Conditional Access policies in Zero Trust.

Microsoft fournit des stratégies conditionnelles standard appelées paramètres de sécurité par défaut qui garantissent un niveau de sécurité de base. Toutefois, votre organisation peut avoir besoin de plus de flexibilité que l’offre par défaut de sécurité. Vous pouvez utiliser l’accès conditionnel pour personnaliser les paramètres de sécurité par défaut avec plus de granularité et configurer de nouvelles stratégies qui répondent à vos besoins.

Planifier vos stratégies d’accès conditionnel à l’avance et disposer d’un ensemble de stratégies actives et de secours est un pilier fondamental de l’application de votre stratégie d’accès dans un déploiement Confiance nulle. Prenez le temps de configurer vos emplacements IP approuvés dans votre environnement. Même si vous ne les utilisez pas dans une stratégie d’accès conditionnel, la configuration de ces adresses IP informe le risque de protection d’identité mentionné ci-dessus.

Effectuez cette étape :

Inscrire des appareils avec Azure AD pour restreindre l’accès des appareils vulnérables et compromis

Procédez comme suit :

  1. Activez Azure AD jointure hybride ou jointure Azure AD. Si vous gérez l’ordinateur portable/ordinateur de l’utilisateur, entrez ces informations dans Azure AD et utilisez-les pour prendre de meilleures décisions. Par exemple, vous pouvez choisir d’autoriser un accès client enrichi aux données (clients qui ont des copies hors connexion sur l’ordinateur) si vous savez que l’utilisateur provient d’un ordinateur que votre organisation contrôle et gère. Si vous ne l’apportez pas, vous choisirez probablement de bloquer l’accès à partir de clients riches, ce qui peut entraîner l’utilisation de votre sécurité ou de l’informatique fantôme par vos utilisateurs.

  2. Activez le service Intune dans Microsoft Endpoint Manager (EMS) pour gérer les appareils mobiles de vos utilisateurs et inscrire des appareils. Il en va de même pour les appareils mobiles utilisateur comme pour les ordinateurs portables : plus vous en savez sur eux (niveau correctif, jailbreaké, rooté, etc.), plus vous êtes en mesure de les approuver ou de les méfier et de fournir une raison pour laquelle vous bloquez/autorisez l’accès.

III. L’analytique améliore la visibilité

Lorsque vous générez votre patrimoine dans Azure AD avec l’authentification, l’autorisation et l’approvisionnement, il est important d’avoir des insights opérationnels solides sur ce qui se passe dans l’annuaire.

Configurer votre journalisation et vos rapports pour améliorer la visibilité

Effectuez cette étape :




Checklist icon with two checkmarks.

Objectifs de déploiement supplémentaires

IV. Les identités et les privilèges d’accès sont gérés avec la gouvernance des identités

Une fois que vous avez atteint vos trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires tels que la gouvernance des identités plus robuste.

Diagram of the steps within phase 4 of the additional deployment objectives.

Sécuriser l’accès privilégié avec Privileged Identity Management

Contrôlez les points de terminaison, les conditions et les informations d’identification que les utilisateurs utilisent pour accéder aux opérations/rôles privilégiés.

Procédez comme suit :

  1. Prenez le contrôle de vos identités privilégiées. Gardez à l’esprit que dans une organisation transformée numériquement, l’accès privilégié n’est pas seulement un accès administratif, mais également un accès propriétaire d’application ou développeur qui peut modifier la façon dont vos applications stratégiques s’exécutent et gèrent les données.

  2. Utilisez Privileged Identity Management pour sécuriser les identités privilégiées.

Le consentement de l’utilisateur aux applications est un moyen très courant pour les applications modernes d’accéder aux ressources organisationnelles, mais il existe quelques bonnes pratiques à garder à l’esprit.

Procédez comme suit :

  1. Limitez le consentement de l’utilisateur et gérez les demandes de consentement pour vous assurer qu’aucune exposition inutile ne se produit des données de votre organisation aux applications.

  2. Examinez le consentement antérieur/existant dans votre organisation pour tout consentement excessif ou malveillant.

Pour plus d’informations sur les outils de protection contre les tactiques d’accès aux informations sensibles, consultez « Renforcer la protection contre les cybermenaces et les applications non autorisées » dans notre guide d’implémentation d’une stratégie d’identité Confiance nulle.

Gérer les droits d’utilisation

Avec les applications qui s’authentifient et sont pilotées de manière centralisée à partir de Azure AD, vous pouvez désormais simplifier votre processus de demande d’accès, d’approbation et de recertification pour vous assurer que les bonnes personnes ont le bon accès et que vous disposez d’un aperçu des raisons pour lesquelles les utilisateurs de votre organisation disposent de l’accès dont ils disposent.

Procédez comme suit :

  1. Utilisez la gestion des droits d’utilisation pour créer des packages d’accès que les utilisateurs peuvent demander lorsqu’ils rejoignent différentes équipes/projets et qui leur attribuent l’accès aux ressources associées (telles que les applications, les sites SharePoint, les appartenances aux groupes).

  2. Si le déploiement de la gestion des droits d’utilisation n’est pas possible pour votre organisation pour le moment, activez au moins les paradigmes en libre-service dans votre organisation en déployant la gestion des groupes en libre-service et l’accès aux applications en libre-service.

Utiliser l’authentification sans mot de passe pour réduire le risque d’hameçonnage et d’attaques par mot de passe

Avec Azure AD prise en charge de la connexion FIDO 2.0 et par téléphone sans mot de passe, vous pouvez déplacer l’aiguille sur les informations d’identification que vos utilisateurs (en particulier les utilisateurs sensibles/privilégiés) utilisent au jour le jour. Ces informations d’identification sont des facteurs d’authentification forts qui peuvent également atténuer les risques.

Effectuez cette étape :

C. L’utilisateur, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer les risques et fournir une protection continue

L’analyse en temps réel est essentielle pour déterminer les risques et la protection.

Diagram of the steps within phase 5 of the additional deployment objectives.

Déployer Azure AD protection par mot de passe

Tout en activant d’autres méthodes pour vérifier explicitement les utilisateurs, n’ignorez pas les mots de passe faibles, la pulvérisation de mots de passe et les attaques par relecture de violation. Et les stratégies de mot de passe complexes classiques n’empêchent pas les attaques de mot de passe les plus courantes.

Effectuez cette étape :

Activer Identity Protection

Obtenez un signal de session/risque utilisateur plus précis avec Identity Protection. Vous serez en mesure d’examiner les risques et de confirmer la compromission ou d’ignorer le signal, ce qui aidera le moteur à mieux comprendre à quoi ressemble le risque dans votre environnement.

Effectuez cette étape :

Activer l’intégration Microsoft Defender for Cloud Apps à Identity Protection

Microsoft Defender for Cloud Apps surveille le comportement des utilisateurs dans SaaS et les applications modernes. Cela informe Azure AD sur ce qui est arrivé à l’utilisateur après qu’il s’est authentifié et a reçu un jeton. Si le modèle utilisateur commence à paraître suspect (par exemple, un utilisateur commence à télécharger des gigaoctets de données à partir de OneDrive ou commence à envoyer des courriers indésirables dans Exchange Online), un signal peut être transmis à Azure AD l’informer que l’utilisateur semble compromis ou à haut risque. Lors de la demande d’accès suivante de cet utilisateur, Azure AD pouvez prendre correctement des mesures pour vérifier l’utilisateur ou le bloquer.

Effectuez cette étape :

Activer l’intégration de l’accès conditionnel à Microsoft Defender for Cloud Apps

À l’aide des signaux émis après l’authentification et avec Defender pour le cloud Applications qui proxyent les demandes aux applications, vous pouvez surveiller les sessions qui vont aux applications SaaS et appliquer des restrictions.

Procédez comme suit :

  1. Activer l’intégration de l’accès conditionnel.

  2. Étendez l’accès conditionnel aux applications locales.

Activer la session restreinte pour une utilisation dans les décisions d’accès

Lorsque le risque d’un utilisateur est faible, mais qu’il se connecte à partir d’un point de terminaison inconnu, vous pouvez lui permettre d’accéder aux ressources critiques, mais pas de faire des choses qui laissent votre organisation dans un état non conforme. Vous pouvez maintenant configurer Exchange Online et SharePoint Online pour offrir à l’utilisateur une session restreinte qui lui permet de lire des e-mails ou d’afficher des fichiers, mais pas de les télécharger et de les enregistrer sur un appareil non approuvé.

Effectuez cette étape :

VI. Intégrer les signaux de menace d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse

Enfin, d’autres solutions de sécurité peuvent être intégrées pour une plus grande efficacité.

Intégrer Microsoft Defender pour Identity à Microsoft Defender for Cloud Apps

L’intégration à Microsoft Defender pour Identity permet à Azure AD de savoir qu’un utilisateur se livre à un comportement risqué lors de l’accès à des ressources locales et non modernes (comme les partages de fichiers). Cela peut ensuite être pris en compte dans le risque global de l’utilisateur pour bloquer l’accès supplémentaire dans le cloud.

Procédez comme suit :

  1. Activez Microsoft Defender pour Identity avec Microsoft Defender for Cloud Apps pour introduire des signaux locaux dans le signal de risque que nous connaissons au sujet de l’utilisateur.

  2. Vérifiez le score de priorité d’investigation combiné pour chaque utilisateur à risque pour donner une vue holistique de celles sur lesquelles votre SOC doit se concentrer.

Activer Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison vous permet d’attester de l’intégrité des machines Windows et de déterminer si elles font l’objet d’un compromis. Vous pouvez ensuite alimenter ces informations pour atténuer les risques au moment de l’exécution. Alors que la jonction de domaine vous donne un sentiment de contrôle, Defender pour point de terminaison vous permet de réagir à une attaque de programmes malveillants en quasi temps réel en détectant les modèles où plusieurs appareils utilisateur atteignent des sites non fiables, et de réagir en augmentant le risque de leur appareil/utilisateur au moment de l’exécution.

Effectuez cette étape :

Produits abordés dans ce guide

Microsoft Azure

Azure Active Directory

Microsoft Defender pour Identity

Microsoft 365

Microsoft Endpoint Manager (inclut Microsoft Intune)

Microsoft Defender pour point de terminaison

SharePoint Online

Exchange Online

Conclusion

L’identité est au cœur d’une stratégie de Confiance nulle réussie. Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez votre équipe customer success ou continuez à lire les autres chapitres de ce guide, qui couvrent tous les Confiance nulle piliers.



La série de guides de déploiement Confiance nulle

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration