Phase 2 : Dimensionner correctement les autorisations et automatiser le principe du privilège minimum
Cette section du guide de référence sur les opérations Gestion des autorisations Microsoft Entra décrit les vérifications et les actions que vous devez effectuer pour corriger les résultats clés dans votre environnement et implémenter l’accès juste-à-temps (JIT) avec Autorisations à la demande.
Corriger et dimensionner correctement les autorisations en continu
Propriétaire recommandé : Opérations de sécurité de l’information
Déterminer les responsabilités de correction et de monitoring
Pour un fonctionnement optimal du produit, Gestion des autorisations Microsoft Entra nécessite l’exécution continue de tâches et processus opérationnels clés. Configurez les tâches clés et les propriétaires pour tenir à jour votre environnement.
Tâche | Propriétaire |
---|---|
Superviser et tenir à jour le score PCI en fonction des objectifs | Opérations de sécurité de l’information |
Trier et examiner les résultats des rapports | Opérations de sécurité de l’information |
Trier et examiner les alertes | Opérations de sécurité de l’information |
Passer en revue les requêtes d’audit | Assurance et audit de sécurité |
Suivre et signaler la progression | Opérations de sécurité de l’information |
Réduire le score PCI aux niveaux cibles
Il est important de réduire les scores PCI parmi les systèmes d’autorisation en fonction des stratégies et seuils PCI définis par votre organisation. Agir sur les résultats aide à renforcer la sécurité de votre environnement. Les trois résultats ayant le plus d’impact sur la réduction de vos scores PCI sont les super identités, les identités inactives et les identités surprovisionnées.
Super identités
Les super identités disposent des autorisations de privilège les plus élevées dans un système d’autorisation. Elles comprennent des identités humaines et non humaines telles que des utilisateurs, des principaux de service et des fonctions serverless. Une quantité trop élevée de super identités peut créer des risques excessifs et augmenter le rayon d’explosion pendant une violation.
Bonne pratique : Nous recommandons de disposer de moins de six utilisateurs et/ou groupes de super identités par système d’autorisation. Utilisez un petit nombre de super applications, de principaux de service, de fonctions serverless et de comptes de service. Fournissez un raisonnement et une justification clairs pour leur utilisation.
Guide de correction
- Pour les super identités attendues, telles que les administrateurs d’infrastructure, utilisez les balises ck_exclude_from_pci et ck_exclude_from_reports.
- La balise ck_exclude_from_pci supprime l’identité du calcul de score PCI du système d’autorisation
- La balise ck_exclude_from_reports supprime l’identité du rapport Analytique des autorisations, ce qui fait qu’elle n’est pas signalée comme une super identité
- Dimensionnez correctement les autorisations d’autres super identités et utilisez un modèle d’accès JIT
- Utilisez des outils de correction de Gestion des autorisations pour dimensionner correctement
- Configurez les autorisations à la demande pour obtenir le modèle d’accès JIT
Identités inactives
Ces identités n’ont pas effectué d’actions depuis 90 jours.
Bonne pratique : Dimensionnez régulièrement les autorisations des identités inactives, qui peuvent être des vecteurs d’attaque potentiels pour les acteurs malveillants.
Guide de correction
Passez en revue les identités inactives pour déterminer la correction :
- Si l’identité inactive est nécessaire, appliquez la balise ck_exclude_from_reports pour supprimer l’identité du rapport Analytique des autorisations, afin qu’elle ne soit pas signalée comme une super identité.
- Si l’identité inactive n’est pas nécessaire dans votre environnement, nous vous recommandons de révoquer les autorisations inutilisées de l’identité ou de lui affecter l’état En lecture seule. Découvrez comment révoquer l’accès aux tâches à haut risque et inutilisées ou affecter l’état en lecture seule.
Identités surprovisionnées
Les identités surapprovisionnées ou surautorisées n’ont pas utilisé un grand nombre de leurs autorisations pendant 90 jours.
Bonne pratique : Dimensionnez de manière adéquate régulièrement les autorisations de ces identités afin de réduire le risque d’utilisation incorrecte, accidentelle ou malveillante des autorisations. Cette action réduit le rayon d’explosion potentiel pendant un incident de sécurité.
Guide de correction
Corrigez les identités surprovisionnées avec des rôles intégrés disposant des privilèges minimum ou avec des rôles personnalisés dimensionnés correctement.
Remarque
Tenez compte des limites des rôles personnalisés. Nous vous recommandons l’approche faisant appel aux rôles intégrés disposant des privilèges minimum si votre organisation est proche d’atteindre ces limites.
Pour les rôles intégrés disposant des privilèges minimum, nous vous recommandons d’utiliser Gestion des autorisations Microsoft Entra pour déterminer les autorisations utilisées par l’identité, puis d’attribuer le rôle intégré qui s’aligne sur cette utilisation.
Pour les rôles personnalisés dimensionnés correctement, nous vous recommandons de corriger les identités surprovisionnées par équipes ou groupes :
Identifiez une équipe ou un groupe qui a besoin d’autorisations dimensionnées correctement. Par exemple, les administrateurs ou les développeurs d’un service web.
Créez un rôle dimensionné correctement en fonction de ce que l’équipe utilise actuellement.
Accédez à Correction>Rôles/stratégies>Créer un rôle/une stratégie.
Sélectionnez les utilisateurs d’une équipe ou d’un groupe.
Cliquez sur Suivant et, sous Tâches sélectionnées, validez les autorisations dans le nouveau rôle. Celles-ci sont renseignées automatiquement en fonction de l’historique d’activité des utilisateurs/groupes que vous avez sélectionnés.
Ajoutez des autorisations d’équipe supplémentaires, en fonction des besoins.
Créez le nouveau rôle ou la nouvelle stratégie.
Révoquez les autorisations d’équipe actuelles.
Attribuez aux membres de l’équipe le rôle/la stratégie dimensionné(e) correctement.
Remarque
Nous vous recommandons de commencer par dimensionner correctement les identités non humaines, comme les principaux de service et les comptes d’ordinateur. L’activité des identités non humaines est moins susceptible de varier d’un jour à l’autre, ce qui réduit le risque d’interruptions de service potentielles causées par le dimensionnement approprié.
Pour plus d’informations sur les outils de correction disponibles dans Gestion des autorisations Microsoft Entra :
- Créer un rôle/une stratégie
- Cloner un rôle/une stratégie
- Modifier un rôle/une stratégie
- Supprimer un rôle/une stratégie
- Attacher et détacher des stratégies pour les identités AWS
- Ajouter et supprimer des rôles et des tâches pour Microsoft Azure et les identités GCP
- Révoquer l’accès aux tâches à haut risque et inutilisées ou affecter l’état en lecture seule pour les identités Microsoft Azure et Google Cloud Platform (GCP)
Suivre la progression et mesurer la réussite
Pour atteindre les objectifs organisationnels, activez les processus permettant de suivre et de signaler la progression. Voici certains des outils intégrés de Gestion des autorisations Microsoft Entra :
- Rapport d’historique PCI : obtenez une vue d’ensemble régulière et détaillée de l’évolution au fil du temps des scores PCI dans les systèmes d’autorisation et les dossiers. Mesurez le degré de respect et de maintien des objectifs PCI de votre organisation. Nous vous recommandons de planifier un rapport d’historique PCI périodique pour les principales parties prenantes. Vérifiez que la cadence correspond aux révisions de progression internes.
- Rapport Analytique des autorisations : mesurez la progression de la correction et planifiez l’envoi du rapport aux principales parties prenantes et/ou exportez régulièrement une version PDF du rapport pour vos systèmes d’autorisation. Cette pratique permet à votre organisation de mesurer la progression de la correction au fil du temps. Par exemple, avec cette approche, vous pouvez voir combien d’identités inactives sont nettoyées chaque semaine et quel impact cela a eu sur vos scores PCI.
- Tableau de bord Gestion des autorisations : obtenez une vue d’ensemble de vos systèmes d’autorisation et de leurs scores PCI. Utilisez la section Liste des changements PCI les plus élevés pour trier les systèmes d’autorisation par score PCI, afin de hiérarchiser l’activité de correction. Consultez également Changement PCI pour les sept derniers jours afin de voir quels systèmes d’autorisation ont eu le plus de progression et lesquels pourraient nécessiter davantage de révision. Sélectionnez les systèmes d’autorisation dans la section Carte thermique PCI afin d’accéder au Graphique de tendances PCI pour ce système d’autorisation. Notez comment le score PCI change sur une période de 90 jours.
Opérationnaliser Autorisations à la demande
Propriétaire recommandé : Architecture de sécurité de l’information
Autorisations à la demande complète l’image JIT et JEA (just-enough-access) en permettant aux organisations d’accorder aux utilisateurs des autorisations limitées dans le temps, le cas échéant.
Pour opérationnaliser Autorisations à la demande, créez et gérez un processus bien défini afin d’implémenter Autorisations à la demande dans votre environnement. Le tableau suivant décrit les tâches et les propriétaires recommandés.
Tâche | Propriétaire recommandé |
---|---|
Déterminer les systèmes d’autorisation à utiliser avec Autorisations à la demande | Architecture de sécurité des informations |
Définir les processus d’administration pour intégrer de nouveaux systèmes d’autorisation au modèle Autorisations à la demande. Sélectionner et former les approbateurs et les demandeurs, puis déléguer les autorisations. Consultez la section suivante pour plus d’informations. | Architecture de sécurité des informations |
Mettre à jour les procédures de modèle opérationnel standard pour les attributions initiales des autorisations utilisateur, et un processus de demande pour les autorisations ad hoc | Architecture de sécurité des informations |
Déterminer les approbateurs
Les approbateurs examinent les demandes d’Autorisations à la demande, et ont l’autorité d’approuver ou de refuser les demandes. Sélectionnez Approbateurs pour les systèmes d’autorisation que vous souhaitez utiliser avec Autorisations à la demande. Nous recommandons au moins deux approbateurs pour chaque système d’autorisation.
Créer des groupes de sécurité Microsoft Entra pour les approbateurs
Pour déléguer des autorisations, votre équipe IAM crée des groupes de sécurité Microsoft Entra mappés à vos approbateurs. Vérifiez que les approbateurs disposant d’une propriété et de responsabilités partagées se trouvent dans le même groupe de sécurité.
Nous vous recommandons d’utiliser PIM pour les groupes. Cela fournit l’accès JIT aux autorisations Approbateur pour approuver ou refuser des demandes Autorisations à la demande.
Pour créer des groupes de sécurité Microsoft Entra ID, consultez Gérer les groupes et l’appartenance aux groupes.
Attribuer des autorisations aux approbateurs
Une fois les groupes de sécurité Microsoft Entra créés, un administrateur de Gestion des autorisations accorde aux groupes de sécurité leurs autorisations Approbateur dans Gestion des autorisations. Vérifiez que les groupes de sécurité reçoivent des autorisations Approbateur pour les systèmes d’autorisation dont ils sont responsables. Apprenez-en davantage sur les rôles et niveaux d’autorisations dans Gestion des autorisations Microsoft Entra.
Déterminer et créer un groupe de sécurité Administrateur demandeur
Désignez au moins deux administrateurs demandeurs qui créent des demandes Autorisations à la demande pour le compte des identités dans votre environnement. Par exemple, pour les identités d’ordinateur. Créez un groupe de sécurité Microsoft Entra pour ces administrateurs demandeurs.
Nous vous recommandons d’utiliser PIM pour les groupes. Cela fournit l’accès JIT aux autorisations Demandeur nécessaires pour effectuer des demandes Autorisations à la demande pour le compte d’autres utilisateurs.
Pour créer des groupes de sécurité Microsoft Entra ID, consultez Gérer les groupes et l’appartenance aux groupes.
Autoriser les utilisateurs à effectuer des demandes Autorisations à la demande
Un administrateur de Gestion des autorisations ajoute des identités de demandeur au groupe de sécurité Administrateur demandeur, pour chaque système d’autorisation. L’ajout d’une identité de demandeur lui permet d’effectuer des demandes Autorisations à la demande pour n’importe quel système d’autorisation pour lequel il dispose d’autorisations. Les membres du groupe de sécurité Administrateur demandeur peuvent demander des autorisations pour le compte des identités du système d’autorisation spécifié. Apprenez-en davantage sur les rôles et niveaux d’autorisations dans Gestion des autorisations Microsoft Entra.
Déterminer les stratégies organisationnelles pour Autorisations à la demande
Vous pouvez configurer les paramètres Autorisations à la demande pour qu’ils s’alignent sur les besoins de l’organisation. Nous vous recommandons d’établir des stratégies pour ce qui suit :
- Rôles et stratégies pour les demandes des utilisateurs : utilisez des filtres de rôle et de stratégie pour spécifier ce que les utilisateurs peuvent demander. Empêcher les utilisateurs non qualifiés de demander des rôles à haut risque et hautement privilégiés tels que Propriétaire de l’abonnement.
- Limites de durée de la demande : spécifiez la durée maximale autorisée pour les autorisations acquises via Autorisations à la demande. Acceptez une limite de durée qui s’aligne sur la façon dont les utilisateurs demandent et obtiennent l’accès aux autorisations.
- Stratégie de code secret à usage unique (OTP) : vous pouvez exiger des OTP par e-mail pour que les demandeurs puissent créer des demandes. Vous pouvez également exiger des OTP par e-mail pour que les approbateurs approuvent ou rejettent les demandes. Utilisez ces configurations pour l’un ou l’autre scénario, ou pour les deux.
- Approbations automatiques pour AWS : en guise d’option pour Autorisations à la demande pour AWS, vous pouvez configurer l’approbation automatique de demandes de stratégie spécifiques. Par exemple, vous pouvez ajouter des stratégies courantes et à faible risque à votre liste d’approbation automatique, et ainsi aider les demandeurs et les approbateurs à gagner du temps.
Découvrez comment sélectionner des paramètres pour les demandes et les approbations automatiques.
Créer des modèles de rôle/stratégie personnalisés pour l’organisation
Dans Gestion des autorisations Microsoft Entra, les modèles de rôle/stratégie sont des ensembles d’autorisations que vous pouvez créer pour Autorisations à la demande. Créez des modèles qui établissent des mappages aux actions courantes effectuées dans votre environnement. Les utilisateurs disposent alors de modèles pour demander des jeux d’autorisations, plutôt que de devoir sélectionner continuellement des autorisations individuelles.
Par exemple, si la création d’une machine virtuelle est une tâche courante, créez un modèle Créer une machine virtuelle avec les autorisations requises. Les utilisateurs n’ont pas besoin de connaître ou de sélectionner manuellement toutes les autorisations requises pour la tâche.
Pour découvrir comment créer des modèles de rôle/stratégie, consultez Afficher les rôles/stratégies et les demandes d’autorisation dans le tableau de bord Correction.