Identité et sécurité multicloud avec Azure et AWS (Amazon Web Services)

  • Article

De nombreuses organisations se retrouvent aujourd’hui avec une stratégie multicloud de facto, même si ce n’était pas une intention stratégique délibérée. Dans un environnement multicloud, il est essentiel de garantir la cohérence des expériences de sécurité et d’identité, afin d’éviter toute augmentation des frictions pour les développeurs et les initiatives commerciales, ainsi que toute augmentation des risques organisationnels liés aux cyberattaques tirant parti des failles de sécurité.

La garantie de la cohérence de la sécurité et des identités entre les clouds implique les éléments suivants :

  • Intégration des identités multicloud
  • Authentification forte et validation d’approbation explicite
  • Sécurité des plateformes cloud (multicloud)
  • Microsoft Defender pour le cloud
  • Privilege Identity Management (Azure)
  • Gestion cohérente des identités de bout en bout

Intégration des identités multicloud

Les clients qui utilisent les plateformes cloud Azure et AWS bénéficient du regroupement des services d’identité entre ces deux clouds en utilisant Microsoft Entra ID et des services d’authentification unique (SSO). Ce modèle permet de bénéficier d’un plan d’identité centralisé par le biais duquel l’accès aux services dans les deux clouds peut être régulièrement sollicité et régi.

Cette approche permet d’activer les contrôles d’accès en fonction du rôle enrichis dans Microsoft Entra ID sur les services de gestion des identités et des accès (IAM) dans AWS en tirant parti de règles pour associer les attributs user.userprincipalname et user.assignrole de Microsoft Entra ID aux autorisations IAM. Cette approche réduit le nombre d’identités uniques que les utilisateurs et les administrateurs doivent tenir à jour sur les deux clouds, et offre une centralisation de l’identité par conception de compte utilisée par AWS. La solution IAM AWS identifie Microsoft Entra ID en tant que source de fédération et d’authentification pour ses clients.

Vous trouverez une procédure pas à pas complète de cette intégration dans le Tutoriel : intégration de l’authentification unique Microsoft Entra à Amazon Web Services (AWS).

Authentification forte et validation d’approbation explicite

Étant donné que de nombreux clients continuent à prendre en charge un modèle d’identité hybride pour les services Active Directory, il est de plus en plus important pour les équipes d’ingénierie de sécurité d’implémenter des solutions d’authentification fortes et de bloquer les méthodes d’authentification héritées associées principalement aux technologies Microsoft héritées et locales.

Une combinaison de l’authentification multifacteur et de stratégies d’accès conditionnel permet de bénéficier d’une sécurité renforcée pour les utilisateurs finaux de votre organisation dans les scénarios d’authentification courants. Bien que l’authentification multifacteur procure elle-même un niveau de sécurité accru pour confirmer les authentifications, vous pouvez appliquer des contrôles supplémentaires à l’aide de contrôles d’accès conditionnel afin de bloquer l’authentification héritée dans les environnements cloud Azure et AWS. L’authentification stricte utilisant uniquement des clients d’authentification moderne est possible uniquement avec la combinaison de l’authentification multifacteur et de stratégies d’accès conditionnel.

Sécurité des plateformes cloud (multicloud)

Une fois qu’une identité commune a été établie dans votre environnement multicloud, vous pouvez utiliser le service de sécurité des plateformes cloud (CPS, Cloud Platform Security) de Microsoft Defender for Cloud Apps pour découvrir, superviser, évaluer et protéger ces services. À l’aide du tableau de bord Cloud Discovery, le personnel chargé des opérations de sécurité peut passer en revue les applications et les ressources en cours d’utilisation sur les plateformes cloud AWS et Azure. Une fois que les services ont été examinés et approuvés, ils peuvent être gérés en tant qu’applications d’entreprise dans Microsoft Entra ID afin d’activer le mode d’authentification unique SAML, basé sur mot de passe et lié sur l’authentification unique, et ainsi faciliter la vie des utilisateurs.

Le service CPS offre également la capacité à évaluer les plateformes cloud connectées afin de vérifier la bonne configuration et la conformité à l’aide de contrôles de configuration et de sécurité recommandés propres au fournisseur. Cette conception permet aux organisations de conserver une vue regroupée unique de tous les services de plateforme cloud et de leur état de conformité.

Le service CPS fournit également des stratégies de contrôle d’accès et de session afin de protéger votre environnement contre les points de terminaison ou les utilisateurs à risque en cas d’exfiltration de données ou d’introduction de fichiers malveillants dans ces plateformes.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud offre une gestion unifiée de la sécurité et une protection contre les menaces sur vos charges de travail hybrides et multicloud, y compris les charges de travail dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP). Defender pour le cloud aide à rechercher et à corriger les failles de sécurité, applique des contrôles d’accès et d’application pour bloquer les activités malveillantes, détecte les menaces à l’aide de l’analytique et de l’analyse décisionnelle et répond rapidement en cas d’attaque.

Pour protéger vos ressources basées sur AWS avec Microsoft Defender pour le cloud, vous pouvez connecter un compte à l’expérience classique des connecteurs cloud ou à la page des paramètres d’environnement (en préversion), ce qui est recommandé.

Privileged Identity Management (Azure)

Pour limiter et contrôler l’accès à vos comptes aux privilèges les plus élevés dans Microsoft Entra ID, vous pouvez activer PIM (Privileged Identity Management) pour fournir un accès juste-à-temps aux services Azure. Une fois déployé, PIM peut servir à contrôler et à limiter l’accès à l’aide du modèle d’attribution pour les rôles, à éliminer l’accès permanent pour ces comptes privilégiés, et à procurer une découverte et une supervision supplémentaires des utilisateurs ayant ces types de comptes.

Associés à Microsoft Sentinel, des workbooks et des règles peuvent être établis pour superviser et déclencher des alertes envoyées à votre personnel de centre des opérations de sécurité en cas de mouvement latéral des comptes ayant été compromis.

Gestion cohérente des identités de bout en bout

Assurez-vous que tous les processus incluent une vue de bout en bout de tous les clouds et des systèmes locaux, et que le personnel chargé de la sécurité et des identités est formé à ces processus.

L’utilisation d’une identité unique à l’échelle de Microsoft Entra ID, des comptes AWS et des services locaux permet de bénéficier de cette stratégie de bout en bout ainsi que d’une sécurité et d’une protection accrues des comptes privilégiés et non privilégiés. Les clients qui cherchent actuellement à réduire la charge liée à la gestion de plusieurs identités dans leur stratégie multicloud adoptent Microsoft Entra ID pour garantir un contrôle et un audit cohérents et renforcés, ainsi qu’une détection des anomalies et de l’abus des identités dans leur environnement.

La croissance continue de nouvelles fonctionnalités dans l’écosystème Microsoft Entra vous permet d’avoir une longueur d’avance sur les menaces pesant sur votre environnement dues à l’utilisation d’identités en guise de plan de contrôle commun dans vos environnements multicloud.

Étapes suivantes