Il est facile de comprendre pourquoi les entreprises gravitent autour d'un modèle hybride de gestion des identités qui promet le meilleur des deux mondes - un peu dans le nuage et un peu sur site. Dans un environnement centré sur Active Directory, l'exploitation du cloud signifie l'intégration avec Azure Active Directory.
Azure Active Directory (AAD), après tout, est conçu pour les applications SaaS, fournissant une signature unique et un contrôle d'accès. Avec l'adoption croissante de l'informatique dématérialisée, la capacité à gérer les accès sur site et dans l'informatique dématérialisée devient une nécessité pour les entreprises. de l'entreprise. La gestion de l'AAD parallèlement à celle de l'Active Directory (AD) permet de faire de la gestion hybride des identités une réalité.
Toutefois, comme pour tout ce qui concerne les technologies de l'information, l'adage selon lequel il faut regarder avant de sauter s'applique toujours.
Lecture associée
Monumental changement avec le passage au nuage
Le passage de n'importe quelle partie d'une opération informatique à l'informatique dématérialisée nécessite un ajustement. Il en va de même pour l'authentification des utilisateurs. D'un point de vue conceptuel, les organisations doivent prendre en compte trois questions essentielles.
1. Un nouveau modèle d'authentification
Après 20 ans de gestion de l'identité d'une seule manière, l'ajout de la DAA au mélange sera un ajustement critique. Passer de l'utilisation d'AD sur site à l'extension de l'authentification dans le nuage nécessite un état d'esprit et une approche différents. Dans l'AAD, il n'y a pas d'unités organisationnelles ou de forêts, ni d'objets de stratégie de groupe. Les concepts (et les cicatrices de guerre) concernant la sécurisation des identités dans AD ne s'appliquent plus à AAD.
De nombreux administrateurs commencent par croire que la sécurisation de l'AAD est similaire à celle d'AD, ce qui n'est pas le cas. Aet vous pouvez utiliser l'AAD sans trop y penser. Si votre organisation utilise l'un des logiciels Microsoft cloud de Microsoft, comme Office 365, l'AAD est déjà utilisé en arrière-plan. L'AAD est également très utilisé pour se connecter à d'autres applications SaaS non Microsoft, telles que Salesforce. Tous ces facteurs introduisent de nouvelles considérations et de nouveaux choix. Par exemple, faut-il conserver AD et AAD séparément ou les fusionner à l'aide d'Azure AD Connect ? De nombreux nouveaux concepts doivent être compris pour que vous puissiez prendre ces décisions tout en préservant la sécurité des systèmes d'information.
2. L'extension du périmètre
Lorsqu'une organisation adopte le cloud, la notion de périmètre de réseau traditionnel cesse d'exister. Pour les administrateurs informatiques qui ont passé les deux dernières décennies à gérer AD sur site, cette notion représente un ajustement considérable. Dans un environnement d'identité hybride, les organisations doivent désormais doivent être prêtes à se prémunir contre un nombre infini de points d'entrée possibles.
3. Modifications radicales du modèle d'autorisation
Le passage à la DAA modifie aussi radicalement le modèle de permissions dont les organisations doivent sécuriser. Sur site, il est assez facile de contrôler qui a un accès physique aux contrôleurs de domaine, et les points d'entrée de la gestion globale sont bien définis et documentés. Dans un environnement AD hybride, les identités sont également stockées dans le nuage, vulnérables à l'exploitation par par toute personne ayant accès à l'internet. Soudain, les administrateurs sont confrontés à un modèle intrinsèquement ouvert pour les connexions d'accès initiales, qui-lorsqu'il est associé à un plus grand nombre de services, de rôles et de permissions nécessaires-a un impact significatif sur le risque.
Microsoft a activement tenté de fournir du matériel pédagogique pour préparer les entreprises aux changements provoqués par l'adoption de l'AAD. Cependant, de nombreuses organisations informatiques ne parviennent toujours pas à apprécier pleinement les implications de la gestion des identités hybrides. Alors que de plus en plus d'entreprises adoptent une approche hybride, les attaquants ont ont élargi leur modus operandi en conséquence.
En septembre 2020des chercheurs de Mandiant (FireEye) ont constaté une augmentation des incidents impliquant Microsoft 365 et Azure Active Directory, principalement liés à des courriels d'hameçonnage tentant d'inciter les victimes à saisir leurs identifiants Office 365 sur un site d'hameçonnage. Les chercheurs de Mandiant ont également observé que les attaquants utilisaient un module PowerShell appelé AADInternalsqui permet aux attaquants de passer de l'environnement sur site à l'AAD, de créer des portes dérobées, de voler des mots de passe et de mener d'autres actions malveillantes. Ces menaces continueront à se développer avec la croissance exponentielle de l'intérêt pour Azure et Office 365.
Permissions, permissions, permissions
De loin, parmi les trois sujets mentionnés ci-dessus, le plus grand risque de sécurité est causé par les changements apportés au modèle de permissions. Un très grand nombre de services sont disponibles lorsque les organisations passent à un environnement d'identité hybride. Au lieu d'un ensemble bien défini de groupes administratifs dans Active Directory, vous avez maintenant des rôles dans Azure AD, qui ne vous seront pas familiers. Vous pouvez consulter cette liste de rôles ici. Chaque rôle est assorti d'une longue liste de permissions. Il est difficile de comprendre les autorisations attribuées à chaque rôle à partir de la seule description, mais beaucoup d'entre eux ont un niveau d'accès élevé qui n'est pas apparent.
En outre, le fait de lier un service SaaS à la DAA, ce qui est probablement la raison pour laquelle vous avez ajouté la DAA à l'ensemble, ajoute des modèles de permission qui doivent être gérés. Microsoft Teams, par exemple, utilise l'intégration de SharePoint à l'arrière-plan. l'intégration de SharePoint. Avec de mauvaises configurations, l'ajout d'un invité à Teams peutvelopper créer une situation dans laquelle ce nouvel utilisateur a désormais accès aux fichiers stockés sur SharePoint pour Teams. Fes invités peuvent pas être conscients que ces fichiers sont désormais disponibles pour les utilisateurs invités qui ont été ajoutés à leur canal uniquement pour une brève discussion. En outre, la possibilité d'ajouter des applications dans Teams étend effectivement le modèle d'autorisation à ces outils tiers. Il ne s'agit là que d'un exemple de la matrice de problèmes complexes pour chaque service géré par la DAA.
En fait, le suivi des autorisations des applications tierces est essentiel et c'est un domaine qui n'est pas suffisamment géré dans la plupart des implémentations de DAA. Ces demandes d'autorisation déclenchent une fenêtre contextuelle unique qui énumère les autorisations dont l'application a besoin. Ces listes peuvent être longues et devraient être examinées attentivement avant d'être acceptées, ce qui est rarement le cas.
Les organisations mersonnes Les organisations peuvent également être confrontées à ces deux nouveaux scénarios liés aux autorisations qui doivent être compris dans un contexte de sécurité :
- Outils tiers qui extraient des données d'Azure AD et les stockent dans leur propre base de données. Par exemple, une application enregistrée dans Azure AD qui permet à un système de gestion de la relation client de lire les profils des utilisateurs ou qui a d'autres autorisations de lecture a la capacité de récupérer et stocker des données pour elle-même. Une fois que les données sont extraites d'Azure AD, elles sont stockées dans une base de données externe, laissant l'organisation dépendre du cadre de sécurité de l'outil tiers.
- Outils tiers disposant d'un accès en écriture et pouvant apporter des modifications au sein de leur outil. Dans ce cas, l'authentification requise pour effectuer des modifications dans le locataire est déplacée d'Azure AD vers les contrôles dont dispose l'outil tiers. Un utilisateur mue Un utilisateur pourrait se connecter à l'outil sans authentification multifactorielle parce qu'il ne prend pas en charge l'authentification unique (SSO), fonctionnant à la place avec l'application agissant comme un proxy de permission qui effectue l'action en son nom sans certaines des vérifications qui seraient normalement nécessaires.
Les services informatiques devraient envisager sérieusement de restreindre le nombre de personnes autorisées à approuver les applications ou, ou, à tout le moins, d'avoire des directives claires sur les autorisations à considérer comme appropriées. L'adoption d'une approche fondée sur l'identité hybride nécessite de traiter un modèle d'autorisation beaucoup plus large. Pour y parvenir efficacement, les organisations doivent mettre en place une gouvernance solide des applications qui seront activées et des droits d'accès qu'elles obtiendront.
Comprendre le risque de la gestion hybride des identités
Que l'authentification soit gérée dans le nuage, sur site ou les deux, la sécurité doit toujours être au premier plan. Si la gestion de l'identité dans un environnement hybride peut sembler aussi simple que de joindre un appareil Windows à l'AAD, le fait de ne pas tenir compte des des changements dans le paysage des risques ouvre la porte à des problèmes qui peuvent causer des maux de tête à l'avenir. La connaissance est toujours votre première ligne de défense, mais la quantité de documentation nécessaire pour comprendre pleinement la sécurité dans l'AAD est décourageante. Les outils natifs ou tiers qui automatisent cette compréhension et réduisent la complexité de la sécurité contribueront à réduire les risques de sécurité pendant et après le déploiement de votre environnement hybride.
