Il est facile de comprendre pourquoi les entreprises se tournent vers un modèle de gestion des identités hybride qui promet le meilleur des deux mondes : un peu dans le cloud et un peu sur site. Dans un environnement centré sur Active Directory, tirer parti du cloud signifie s'intégrer à Microsoft Entra ID (anciennement Azure Active Directory).
Entra ID est, après tout, conçu pour les applications SaaS, offrant une authentification unique et un contrôle d'accès. À mesure que l'adoption du cloud se généralise, la capacité à gérer à la fois l'accès sur site et l'accès au cloud devient une nécessité pour les entreprises. L'utilisation conjointe d'Entra ID et d'Active Directory (AD) permet de concrétiser la gestion hybride des identités.
Toutefois, comme pour tout ce qui concerne les technologies de l'information, l'adage selon lequel il faut regarder avant de sauter s'applique toujours.
Lecture associée
- Sécurité d'Active Directory : Principaux risques et meilleures pratiques
- 4 raisons d'améliorer la récupération des ressources d'Entra ID
Monumental changement avec le passage au nuage
Le passage de n'importe quelle partie d'une opération informatique à l'informatique dématérialisée nécessite un ajustement. Il en va de même pour l'authentification des utilisateurs. D'un point de vue conceptuel, les organisations doivent prendre en compte trois questions essentielles.
1. Un nouveau modèle d'authentification
Après 20 ans passés à gérer les identités d'une seule manière, l'ajout d'Entra ID à l'équation constituera un ajustement crucial. Passer de l'utilisation exclusive d'AD sur site à l'extension à l'authentification dans le cloud nécessite un état d'esprit et une approche différents. Dans Entra ID, il n'y a pas d'unités organisationnelles ni de forêts, ni d'objets de stratégie de groupe. Les concepts (et les cicatrices de guerre) relatifs à la sécurisation des identités dans AD ne s'appliquent plus dans Entra ID.
De nombreux administrateurs pensent au départ que sécuriser Entra ID est similaire à la sécurisation d'AD, ce qui n'est pas le cas. Et vous utilisez peut-être déjà Entra ID sans y penser. Si votre organisation utilise des services cloud Microsoft, tels qu'Office 365, alors Entra ID est déjà utilisé en arrière-plan. Entra ID est également largement utilisé pour se connecter à d'autres applications SaaS non Microsoft, telles que Salesforce. Tous ces facteurs introduisent de nouvelles considérations et de nouveaux choix. Par exemple, devez-vous conserver AD et Entra ID séparés ou les fusionner à l'aide de Microsoft Entra Connect ? De nombreux nouveaux concepts doivent être compris afin que vous puissiez prendre ces décisions tout en assurant la sécurité des systèmes d'information.
2. L'extension du périmètre
Lorsqu'une organisation adopte le cloud, la notion de périmètre de réseau traditionnel cesse d'exister. Pour les administrateurs informatiques qui ont passé les deux dernières décennies à gérer AD sur site, cette notion représente un ajustement considérable. Dans un environnement d'identité hybride, les organisations doivent désormais doivent être prêtes à se prémunir contre un nombre infini de points d'entrée possibles.
3. Modifications radicales du modèle d'autorisation
Le passage à Entra ID modifie également considérablement le modèle d'autorisations que les organisations doivent sécuriser. Sur site, il est assez facile de contrôler qui a physiquement accès aux contrôleurs de domaine, et les points d'entrée de gestion globaux sont bien définis et documentés. Dans un environnement AD hybride, les identités sont désormais également stockées dans le cloud, ce qui les rend vulnérables à toute personne ayant accès à Internet. Du jour au lendemain, les administrateurs se retrouvent confrontés à un modèle intrinsèquement ouvert pour les connexions d'accès initiales, ce qui, associé au nombre plus important de services, de rôles et d'autorisations requis, a un impact significatif sur les risques.
Microsoft s'est activement efforcé de fournir du matériel pédagogique afin de préparer les entreprises aux changements induits par l'adoption d'Entra ID . Cependant, de nombreuses organisations informatiques ne parviennent toujours pas à apprécier pleinement les implications de la gestion hybride des identités. Alors que de plus en plus d'entreprises adoptent une approche hybride, les attaquants ont élargi leur mode opératoire en conséquence.
En septembre 2020, les chercheurs de Mandiant (FireEye) ont constaté une augmentation des incidents impliquant Microsoft 365 et Entra ID, principalement liés à des e-mails de phishing visant à inciter les victimes à saisir leurs identifiants Office 365 sur un site de phishing. Les chercheurs de Mandiant ont également observé que les attaquants utilisaient un module PowerShell appelé AADInternals, qui leur permettait de passer de l'environnement local à Entra ID, de créer des portes dérobées, de voler des mots de passe et de mener d'autres actions malveillantes. Ces menaces continueront de se multiplier avec l'intérêt exponentiel pour Entra ID et Office 365.
Permissions, permissions, permissions
De loin, parmi les trois sujets mentionnés ci-dessus, le plus grand risque pour la sécurité est lié aux modifications apportées au modèle d'autorisations. Il existe un grand nombre de services disponibles lorsque les organisations passent à un environnement d'identité hybride. Au lieu d'un ensemble bien défini de groupes administratifs dans Active Directory, vous disposez désormais de rôles dans Entra ID, qui vous seront peu familiers. Vous pouvez consulter cette liste de rôles ici. Chaque rôle dispose d'une longue liste d'autorisations attribuées. Il est difficile de comprendre les autorisations attribuées à chaque rôle à partir de la seule description, mais beaucoup d'entre elles disposent d'un niveau d'accès élevé qui n'est pas apparent.
De plus, le fait de relier n'importe quel service SaaS à Entra ID, ce qui est probablement la raison pour laquelle vous avez ajouté Entra ID à l'ensemble, ajoute des modèles d'autorisation qui doivent être gérés. Microsoft Teams, par exemple, utilise l'intégration SharePoint en arrière-plan. Avec des configurations incorrectes, l'ajout d'un invité à Teams peut créer une situation où ce nouvel utilisateur a désormais accès aux fichiers stockés sur SharePoint pour Teams. Les utilisateurs peuvent ne pas savoir que ces fichiers sont désormais accessibles aux invités qui ont été ajoutés à leur canal uniquement pour une discussion rapide. De plus, la possibilité d'ajouter des applications dans Teams étend efficacement le modèle d'autorisation à ces outils tiers. Ce n'est qu'un exemple parmi d'autres de la matrice de problèmes complexes pour chaque service géré via Entra ID.
En fait, il est essentiel de garder une trace des autorisations des applications tierces, mais c'est un domaine qui est sous-géré dans la plupart des implémentations Entra ID . Ces demandes d'autorisation déclencheront l'affichage d'une fenêtre contextuelle unique qui répertorie les autorisations dont l'application a besoin. Ces listes peuvent être longues et doivent être examinées attentivement avant d'être acceptées, mais elles le sont rarement.
Les organisations mersonnes Les organisations peuvent également être confrontées à ces deux nouveaux scénarios liés aux autorisations qui doivent être compris dans un contexte de sécurité :
- Outils tiers qui extraient des données d'Entra ID et les stockent dans leur propre base de données. Par exemple, une application enregistrée dans Entra ID qui permet à un système CRM de lire les profils des utilisateurs ou qui dispose d'autres autorisations de lecture a effectivement la capacité de récupérer et de stocker des données pour son propre compte. Une fois les données extraites d'Entra ID, elles sont stockées dans une base de données externe, ce qui oblige l'organisation à s'en remettre au cadre de sécurité de l'outil tiers.
- Outils tiers avec accès en écriture pouvant apporter des modifications au sein de leur outil. Dans ce cas, l'authentification requise pour apporter des modifications dans le locataire est transférée d'Entra ID vers le contrôleur de l'outil tiers. Un utilisateur peut se connecter à l'outil sans authentification multifactorielle, car celui-ci ne prend pas en charge l'authentification unique (SSO). Il fonctionne plutôt avec l'application qui agit comme proxy d'autorisation et effectue l'action en son nom sans certaines des vérifications qui seraient normalement requises.
Les services informatiques devraient envisager sérieusement de restreindre le nombre de personnes autorisées à approuver les applications ou, ou, à tout le moins, d'avoire des directives claires sur les autorisations à considérer comme appropriées. L'adoption d'une approche fondée sur l'identité hybride nécessite de traiter un modèle d'autorisation beaucoup plus large. Pour y parvenir efficacement, les organisations doivent mettre en place une gouvernance solide des applications qui seront activées et des droits d'accès qu'elles obtiendront.
Comprendre le risque de la gestion hybride des identités
Que l'authentification soit gérée dans le cloud, sur site ou les deux, la sécurité doit toujours être une priorité. Si la gestion des identités dans un environnement hybride peut sembler aussi simple que de connecter un appareil Windows à Entra ID, ne pas tenir compte des changements dans le paysage des risques ouvre la porte à des problèmes qui peuvent causer des maux de tête à l'avenir. La connaissance est toujours votre première ligne de défense, mais la quantité de documentation nécessaire pour comprendre pleinement la sécurité dans Entra ID est décourageante. Les outils natifs ou tiers qui automatisent cette compréhension et réduisent la complexité de la sécurité contribueront à réduire les risques de sécurité pendant et après le déploiement de votre environnement hybride.
