Sécurisation des identités avec la Confiance Zéro

Contexte

Les applications cloud et la main-d’œuvre mobile ont redéfini le périmètre de sécurité. Les employés apportent leurs propres appareils et travaillent à distance. Les données sont accessibles en dehors du réseau de l’entreprise et sont partagées avec des collaborateurs externes, tels que des partenaires et des fournisseurs. Les applications et les données d’entreprise sont déplacées d’un environnement local vers un environnement hybride et cloud. Les organisations ne peuvent plus s’appuyer sur les contrôles réseau traditionnels pour la sécurité. Les contrôles doivent être déplacés vers l’emplacement où se trouvent les données : sur les appareils, dans les applications et avec les partenaires.

Les identités représentant des personnes, des services ou des appareils IoT constituent le dominateur courant parmi les nombreux réseaux, points de terminaison et applications actuels. Dans le modèle de sécurité Confiance Zéro, les identités fonctionnent comme un moyen puissant, flexible et précis de contrôler l’accès aux données.

Avant qu’une identité ne tente d’accéder à une ressource, les organisations doivent :

• Vérifiez l’identité avec une authentification renforcée.

• Assurez-vous que l’accès est conforme et standard pour cette identité.

• Suivez les principes d’accès les moins privilégiés.

Une fois l’identité vérifiée, nous pouvons contrôler l’accès de l’identité aux ressources en fonction des stratégies de l’organisation, de l’analyse des risques en cours et d’autres outils.

Objectifs du déploiement d’une identité Confiance Zéro

Avant que la plupart des organisations ne commencent le parcours Confiance Zéro, leur approche d’identification est problématique, car le fournisseur d’identité local est en cours d’utilisation, aucune authentification unique (SSO) n’est présente entre les applications cloud et les applications locales, et la visibilité du risque d’identité est très limitée.

Lors de l’implémentation d’une infrastructure Confiance Zéro pour l’identité de bout en bout, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :
	I.CloudIdentity se fédère avec des systèmes d’identité locaux. II.Les stratégies d’accès conditionnel contrôlent l’accès et fournissent des activités de correction. III.L’analytique améliore la visibilité.
Une fois cela en place, concentrez-vous sur les objectifs de déploiement supplémentaires suivants :
	IV.Les identités et les privilèges d’accès sont gérés avec la gouvernance des identités. L’utilisateurvirtuel, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer les risques et offrir une protection continue. VI.Intégrez les signaux de menace provenant d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse.

Guide de déploiement de l’identité Confiance Zéro

Ce guide vous accompagne tout au long des étapes nécessaires à la gestion des identités selon les principes d’une infrastructure de sécurité Confiance Zéro.

Objectifs de déploiement initiaux

I. L’identité cloud est fédérée avec des systèmes d’identité locaux

Azure Active Directory (AD) permet une authentification renforcée, un point d’intégration pour la sécurité des points de terminaison, ainsi que le cœur de vos stratégies centrées sur l’utilisateur afin de garantir un accès avec le moins de privilège. Les fonctionnalités d’accès conditionnel d’Azure AD sont le point de décision de stratégie pour l’accès aux ressources en fonction de l’identité de l’utilisateur, de l’environnement, de l’intégrité de l’appareil et des risques, qui sont vérifiés explicitement au point d’accès. Nous allons vous montrer la procédure d’implémentation d’une stratégie d’identité Confiance Zéro avec Azure AD.

Connecter tous vos utilisateurs à Azure AD et fédérer avec les systèmes d’identité locaux

La maintenance d’un pipeline sain des identités de vos employés et des artefacts de sécurité nécessaires (les groupes pour les autorisations et les points de terminaison pour les contrôles de stratégie d’accès supplémentaires), vous mettent dans les meilleures conditions pour utiliser des identités et des contrôles cohérents dans le cloud.

Procédez comme suit :

1. Choisissez une option d’authentification. Azure AD vous offre la meilleure protection en termes de force brute, de DDoS et de pulvérisation de mot de passe. Prenez toutefois la décision qui convient à votre organisation et à vos besoins en matière de conformité.

2. Apportez uniquement les identités dont vous avez absolument besoin. Par exemple, utilisez le cloud pour conserver des comptes de service qui ne fonctionnent que localement. Oubliez les rôles privilégiés locaux.

3. Si votre entreprise compte plus de 100 000 utilisateurs, groupes et appareils combinés, générez une zone de synchronisation à haute performance qui assure la mise à jour de votre cycle de vie.

Établir votre Identity Foundation avec Azure AD

Une stratégie de Confiance Zéro requiert une vérification explicite à l’aide des principes d’accès à faibles privilèges et en supposant une violation. Azure AD peut agir en tant que point de décision de la stratégie pour appliquer vos stratégies d’accès en fonction des insights sur l’utilisateur, le point de terminaison, la ressource cible et l’environnement.

Étape à suivre

• Placez Azure AD dans le chemin d’accès de chaque demande d’accès. Cela connecte chaque utilisateur, application ou ressource par le biais d’un plan de contrôle d’identité et fournit à Azure AD le signal pour prendre les meilleures décisions possibles concernant le risque d’authentification/d’autorisation. En outre, les gardes-fous de stratégie d’authentification unique et cohérente offrent une meilleure expérience utilisateur et contribuent aux gains de productivité.

Intégrer toutes vos applications avec Azure AD

L’authentification unique empêche les utilisateurs de laisser des copies de leurs informations d’identification dans différentes applications et permet d’éviter que les utilisateurs s’habituent remettre leurs informations d’identification en raison d’un nombre excessif d’invites.

Assurez-vous également que vous ne disposez pas de plusieurs moteurs IAM (gestion des identités et des accès) dans votre environnement. Non seulement, cela réduit la quantité de signaux qu’Azure AD voit, ce qui permet aux mauvais intervenants de se faufiler entre les deux moteurs IAM, mais cela peut également mener à une expérience utilisateur médiocre. Ainsi, vos partenaires commerciaux deviennent les premiers à douter de votre stratégie de Confiance Zéro.

Procédez comme suit :

1. Intégrez des applications d’entreprise modernes qui disposent d’OAuth2.0 ou de SAML.

2. Pour les applications Kerberos et d’authentification basée sur les formulaires, intégrez-les à l’aide du proxy d’application Azure AD.

3. Si vous publiez vos applications héritées à l’aide de réseaux/contrôleurs de livraison d’application, utilisez Azure AD pour les intégrer à la plupart des principaux (par exemple, Citrix, Akamai et F5).

4. Pour découvrir et migrer vos applications à partir d’ADFS et de moteurs IAM existants/anciens, consultez les ressources et outils.

5. Envoyez (push) les identités dans vos différentes applications cloud. Vous bénéficiez ainsi d’une intégration plus étroite du cycle de vie des identités au sein de ces applications.

Conseil

En savoir plus sur l’implémentation d’une stratégie de Confiance Zéro de bout en bout pour les applications.

Vérifier explicitement avec une authentification renforcée

Procédez comme suit :

1. Déployez Azure AD MFA (P1). Il s’agit d’un élément fondamental de la réduction des risques de session utilisateur. À mesure que les utilisateurs s’affichent sur de nouveaux appareils et à partir de nouveaux emplacements, pouvoir répondre à une stimulation d’authentification multifacteur (MFA) est l’un des moyens les plus directs pour que vos utilisateurs puissent nous dire qu’il s’agit d’appareils/d’emplacements familiers lorsqu’ils se déplacent dans le monde (sans que les administrateurs n’analysent les signaux individuels).

2. Bloquez l’authentification héritée. L’un des vecteurs d’attaque les plus courants pour les intervenants malveillants consiste à utiliser des informations d’identification volées/relues sur des protocoles hérités, tels que SMTP, qui ne peuvent pas relever de défis modernes en matière de sécurité.

II. Les stratégies d’accès conditionnel empêchent l’accès et fournissent des activités de correction

L’accès conditionnel Azure AD analyse les signaux, tels que l’utilisateur, l’appareil et l’emplacement, afin d’automatiser les décisions et d’appliquer les stratégies d’accès propres à l’organisation pour les ressources. Vous pouvez utiliser des stratégies d’accès conditionnel pour appliquer des contrôles d’accès, tels que l’authentification multifacteur (MFA). Les stratégies d’accès conditionnel vous permettent d’inviter des utilisateurs à procéder à l’authentification multifacteur (MFA) lorsque la sécurité l’exige, et elle reste également en dehors du chemin des utilisateurs lorsque ce n’est pas nécessaire.

Microsoft fournit des stratégies conditionnelles standard, appelées paramètres de sécurité par défaut, et qui garantissent un niveau de sécurité de base. Toutefois, votre organisation peut avoir besoin de plus de flexibilité que ce que propose la sécurité par défaut. Vous pouvez utiliser l’accès conditionnel pour personnaliser les paramètres de sécurité par défaut avec une plus grande granularité, et pour configurer de nouvelles stratégies qui répondent à vos besoins.

La planification de vos stratégies d’accès conditionnel à l’avance et la mise en place d’un ensemble de stratégies actives et de secours sont un pilier fondamental de votre application de stratégie d’accès dans un déploiement Confiance Zéro. Prenez le temps de configurer vos emplacements d’adresses IP approuvés dans votre environnement. Même si vous ne les utilisez pas dans une stratégie d’accès conditionnel, la configuration de ces adresses IP indique le risque d’Identity Protection mentionné ci-dessus.

Étape à suivre

• Consultez nos conseils de déploiement, ainsi que les meilleures pratiques pour les stratégies d’accès conditionnel résilientes.

Inscrire des appareils avec Azure AD pour limiter l’accès à partir d’appareils vulnérables et compromis

Procédez comme suit :

1. Activez une jonction Azure AD Hybride ou une jonction Azure AD. Si vous gérez l’ordinateur portable/l’ordinateur de l’utilisateur, intégrez ces informations à Azure AD et utilisez-les pour prendre de meilleures décisions. Par exemple, vous pouvez choisir d’autoriser l’accès client enrichi aux données (clients qui ont des copies hors connexion sur leur ordinateur) si vous savez que l’utilisateur provient d’un ordinateur que votre organisation contrôle et gère. Si vous n’effectuez pas cette opération, vous allez probablement choisir de bloquer l’accès aux clients enrichis, ce qui peut pousser vos utilisateurs à contourner votre sécurité et à utiliser une informatique fantôme.

2. Activez le service Intune dans Microsoft Endpoint Manager (EMS) pour gérer les appareils mobiles de vos utilisateurs, ainsi que pour inscrire des appareils. Il en va de même pour les appareils mobiles des utilisateurs, tout comme les ordinateurs portables : plus vous en savez à leur sujet (niveau de patch, appareil jailbreaké, appareil rooté, etc.), plus vous pouvez faire confiance ou non à ces appareils et fournir les raisons pour lesquelles vous bloquez/autorisez l’accès.

Conseil

En savoir plus sur l’implémentation d’une stratégie de Confiance Zéro de bout en bout pour les points de terminaison

III. Les analyses améliorent la visibilité

À mesure que vous créez votre patrimoine dans Azure AD avec l’authentification, l’autorisation et l’approvisionnement, il est important de disposer d’insights puissants et opérationnels sur ce qui se passe dans le répertoire.

Configurer votre journalisation et vos rapports pour améliorer la visibilité

Étape à suivre

• Planifiez un déploiement de rapports et d’analyses Azure AD pour pouvoir conserver et analyser les journaux à partir d’Azure AD, soit dans Azure ou à l’aide d’un système SIEM de votre choix.

Objectifs de déploiement supplémentaires

IV. Les identités et les privilèges d’accès sont gérés avec la gouvernance d’identité

Une fois que vous avez mené à bien les trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires, tels qu’une gouvernance d’identité plus robuste.

Sécuriser l’accès privilégié avec Privileged Identity Management

Contrôlez les points de terminaison, les conditions et les informations d’identification dont les utilisateurs se servent pour accéder aux opérations/rôles privilégiés.

Procédez comme suit :

1. Prenez le contrôle de vos identités privilégiées. N’oubliez pas que dans une organisation transformée numériquement, l’accès privilégié n’est pas seulement un accès administratif, mais également un propriétaire d’application ou un accès développeur qui peut modifier la façon dont vos applications stratégiques s’exécutent et gèrent les données.

2. Utilisez Privileged Identity Management pour sécuriser les identités privilégiées.

Limiter le consentement de l’utilisateur pour les applications

Le consentement de l’utilisateur pour les applications est un moyen très courant pour les applications modernes d’accéder aux ressources de l’organisation, mais il existe des meilleures pratiques à garder à l’esprit.

Procédez comme suit :

1. Limitez le consentement de l’utilisateur et gérez les demandes de consentement pour éviter toute exposition inutile des données de votre organisation aux applications.

2. Recherchez dans le consentement préalable/existant de votre organisation tout consentement excessif ou malveillant.

Pour plus d’informations sur les outils permettant de se protéger contre les tactiques d’accès aux informations sensibles, consultez « Renforcer la protection contre les cybermenaces et les applications non fiables » dans notre guide d’implémentation d’une stratégie d’identité Confiance Zéro.

Gérer les droits d’utilisation

Avec les applications qui s’authentifient et sont pilotées de manière centralisée à partir d’Azure AD, vous pouvez désormais simplifier vos processus de demande d’accès, d’approbation et de renouvellement de certificat pour vous assurer que les bonnes personnes disposent de l’accès approprié et que vous avez un traçage des raisons pour lesquelles les utilisateurs de votre organisation ont l’accès dont ils disposent.

Procédez comme suit :

1. La gestion des droits d’utilisation permet de créer des packages d’accès que les utilisateurs peuvent demander lorsqu’ils rejoignent des équipes/projets différents et qui leur attribuent l’accès aux ressources associées (telles que les applications, les sites SharePoint, les appartenances au groupe).

2. Si le déploiement de la gestion des droits d’utilisation n’est pas possible pour votre organisation en ce moment, vous pouvez au moins activer des paradigmes en libre-service dans votre organisation en déployant la gestion de groupes en libre-service et l’accès aux applications en libre-service.

L’authentification sans mot de passe permet de réduire les risques d’attaque par hameçonnage et de mot de passe

Avec la prise en charge de la connexion téléphonique sans mot de passe et FIDO 2.0 par Azure AD, vous vous concentrez sur les informations d’identification que vos utilisateurs (surtout les utilisateurs sensibles/privilégiés) emploient au quotidien. Ces informations d’identification sont des facteurs d’authentification forts qui peuvent également atténuer les risques.

Étape à suivre

• Commencez à déployer des informations d’identification sans mot de passe dans votre organisation.

V. L’utilisateur, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer les risques et offrir une protection continue

L’analyse en temps réel est essentielle pour déterminer les risques et la protection.

Déployer la protection par mot de passe Azure AD

Lorsque vous permettez à d’autres méthodes de vérifier explicitement les utilisateurs, n’ignorez pas les mots de passe faibles, la pulvérisation de mot de passe et les attaques par relecture de violations. De plus, les stratégies de mots de passe complexes classiques n’empêchent pas les attaques de mot de passe les plus fréquentes.

Étape à suivre

• Activez la protection par mot de passe Azure AD pour vos utilisateurs dans le cloud et en local.

Activer Identity Protection

Obtenez un signal de risque de session/d’utilisateur plus précis avec Identity Protection. Vous pouvez examiner les risques et confirmer le compromis ou le rejet du signal, ce qui permet au moteur de mieux comprendre à quoi ressemble le risque dans votre environnement.

Étape à suivre

• Activez Identity Protection.

Activer l’intégration de Microsoft Defender for Cloud Apps à Identity Protection

Microsoft Defender for Cloud Apps surveille le comportement des utilisateurs dans les applications SaaS et les applications modernes. MCAS informe Azure AD de ce qui est arrivé à l’utilisateur une fois qu’il s’est authentifié et a reçu un jeton. Si le modèle utilisateur commence à paraître suspect (par exemple, si un utilisateur commence à télécharger des gigaoctets de données à partir de OneDrive ou commence à envoyer des e-mails indésirables dans Exchange Online), un signal peut être acheminé vers Azure AD indiquant que l’utilisateur semble être compromis ou à haut risque. À la prochaine demande d’accès de cet utilisateur, Azure AD peut agir correctement pour vérifier l’utilisateur ou le bloquer.

Étape à suivre

• Activez la supervision defender pour les applications cloud pour enrichir le signal Identity Protection.

Activer l’intégration de l’accès conditionnel à Microsoft Defender for Cloud Apps

À l’aide des signaux émis après l’authentification et avec Defender for Cloud Apps qui envoie des demandes de proxy aux applications, vous pourrez surveiller les sessions qui vont aux applications SaaS et appliquer des restrictions.

Procédez comme suit :

1. Activez l’intégration d’accès conditionnel.

2. Étendez l’accès conditionnel à des applications locales.

Activer une session restreinte pour une utilisation dans les décisions d’accès

Lorsque le risque d’un utilisateur est faible, mais qu’il se connecte à partir d’un point de terminaison inconnu, vous souhaitez peut-être lui autoriser l’accès aux ressources critiques, mais pas l’autoriser à effectuer des opérations qui laissent votre organisation dans un état non conforme. Vous pouvez maintenant configurer Exchange Online et SharePoint Online pour offrir à l’utilisateur une session restreinte qui lui permet de lire des e-mails ou d’afficher des fichiers, mais pas de les télécharger et de les enregistrer sur un appareil non approuvé.

Étape à suivre

• Activer l’accès limité à SharePoint Online et Exchange Online

VI. Intégrer les signaux de menaces d’autres solutions de sécurité pour améliorer la détection, la protection et la réponse

Enfin, d’autres solutions de sécurité peuvent être intégrées pour une plus grande efficacité.

Intégrer Pertahanan Microsoft untuk Identitas à Microsoft Defender for Cloud Apps

L’intégration avec Microsoft Defender pour Identity permet à Azure AD de savoir qu’un utilisateur adopte un comportement risqué tout en accédant à des ressources locales et non modernes (telles que des Partages de fichiers). Cela peut ensuite être pris en compte dans le risque global de l’utilisateur pour bloquer tout accès supplémentaire dans le cloud.

Procédez comme suit :

1. Activez Pertahanan Microsoft untuk Identitas avec Microsoft Defender for Cloud Apps pour introduire des signaux locaux dans le signal de risque que nous connaissons pour l’utilisateur.

2. Vérifiez le score de priorité d’investigation combiné pour chaque utilisateur à risque pour obtenir une vue holistique de celui sur lequel votre SOC (centre des opérations de sécurité) doit se concentrer.

Activer Microsoft Defender pour point de terminaison

Microsoft Defender pour point de terminaison vous permet d’attester de l’intégrité des ordinateurs Windows et de déterminer s’ils sont en cours de compromission. Vous pouvez ensuite alimenter ces informations afin d’atténuer les risques au moment du runtime. Tandis que la Jonction de domaine vous offre un sens de contrôle, Defender pour point de terminaison vous permet de réagir à une attaque de programme malveillant quasiment en temps réel en détectant les modèles dans lesquels plusieurs appareils utilisateur accèdent à des sites non fiables. Il vous permet également de réagir en augmentant leur risque d’appareil/d’utilisateur au moment de l’exécution.

Étape à suivre

• Configurez l’Accès conditionnel dans Microsoft Defender pour point de terminaison.

Sécurisation de l’identité conformément au décret exécutif 14028 sur le mémorandum OMB de cybersécurité & 22-09

Le décret exécutif 14028 sur l’amélioration de la cybersécurité& des nationsmémorandum OMB 22-09 comprend des actions spécifiques sur Confiance nulle. Les actions d’identité incluent l’utilisation de systèmes de gestion des identités centralisés, l’utilisation d’une authentification multifacteur résistante au hameçonnage et l’incorporation d’au moins un signal au niveau de l’appareil dans les décisions d’autorisation. Pour obtenir des instructions détaillées sur la mise en œuvre de ces actions avec Azure Active Directory, consultez Répondre aux exigences d’identité du mémorandum 22-09 avec Azure Active Directory.

Produits abordés dans ce guide

Microsoft Azure

Azure Active Directory

Microsoft Defender pour Identity

Microsoft 365

Microsoft Endpoint Manager (notamment Microsoft Intune)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

Conclusion

L’identité est essentielle à une stratégie de Confiance Zéro réussie. Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client ou continuez à lire les autres chapitres de ce guide, qui couvrent tous les piliers de la Confiance Zéro.

Série de guides de déploiement de la Confiance Zéro