Adopter une approche Zero Trust en matière de sécurité – Partie 2

Bienvenue ! Dans notre dernier blog sur l'adoption d'une approche Zero Trust en matière de sécurité, nous avons parlé d'un aperçu de haut niveau des principes d'un modèle de sécurité Zero Trust. Dans ce blog, nous commencerons par discuter du premier et aussi le plus important pilier, l'identité. L'identité est le plan de contrôle principal du modèle Zero Trust, qui sert de porte d'entrée pour les utilisateurs, les comptes de service et les appareils nécessitant un accès aux ressources.

L'identité est au cœur des concepts Zero Trust qui impliquent également une vérification explicite. comme accordant le niveau d'accès approprié par une approche de moindre privilège. L'identité dans son ensemble définit nos limites de sécurité et est utilisée comme facteur déterminant dans la façon dont l'organisation choisit d'autoriser (ou de refuser) l'accès à ses ressources d'entreprise. Alors qu'entendons-nous par cela exactement? Par exemple, si nous avons une identité (qu'il s'agisse d'une personne, d'un compte de service, d'un appareil IoT, etc.), nous vérifions les éléments suivants :

1. Vérifiez cette identité avec une authentification forte
2. Assurez-vous que l'accès est conforme et respecte les normes habituelles. modèles d'accès pour cette identité particulière
3. Vérifiez que l'identité respecte les principes d'accès au moindre privilège

Enforce Strong Identity

L'une des étapes les plus importantes de votre parcours vers Zero Trust en ce qui concerne l'identité consiste à établir un service d'annuaire unifié, tel qu'Azure Active Directory (AAD). Ce faisant, nous sommes en mesure d'authentifier les utilisateurs, les appareils et les processus auprès de vos ressources, applications et services. Cela signifie que chaque employé qui a besoin d'accéder aux ressources de votre entreprise se verra attribuer une identité synchronisée avec Azure AD et que cette identité donnera à l'utilisateur l'accès aux ressources de l'entreprise, à Microsoft 365, aux applications SaaS de Microsoft et même à des PaaS/SaaS tiers. applications. Cela étant dit, il est essentiel que vous appliquiez une identité forte qui peut être réalisée grâce à des solutions telles que :

• Microsoft Defender for Identity
  • Microsoft Defender for Identity (anciennement Azure Advanced Threat Protection (Azure ATP)) vous permet de surveiller les signaux Active Directory sur site afin de pouvoir identifier, détecter et enquêter sur les menaces avancées, les identités compromises et les actions malveillantes d'initiés dirigées contre votre organisation.
• Intégrer Microsoft Defender for Identity avec MCAS
  • Microsoft Cloud App Security (MCAS) s'intègre à Microsoft Defender for Identity qui fournit des analyses comportementales des entités utilisateur (UEBA) dans des environnements hybrides. Cette offre hybride analysera l'activité et les alertes pour déterminer les comportements à risque et fournira des scores de priorité d'enquête afin que vous puissiez rationaliser votre réponse aux incidents si l'une de vos identités est compromise.
• Intégration d'applications avec Azure AD
  • Microsoft exige que toutes les applications s'intègrent à Azure AD via OAuth 2.0 avec la dernière bibliothèque d'authentification Microsoft (MSAL). En outre, Microsoft utilise un vaste magasin SSO pour appliquer une authentification forte à toutes les applications tierces
• Authentification multifacteur
  • L'authentification multifacteur est l'un des aspects les plus importants d'une identité forte. En exigeant une authentification multifacteur pour vérifier l'identité d'un utilisateur avant de lui donner accès aux ressources de l'entreprise, vous réduisez considérablement le risque que cette identité soit compromise. À tel point que, selon les études de Microsoft, votre compte est 99,9% moins susceptible d'être compromis si vous utilisez MFA. En bref, les mots de passe longs ne suffisent plus et si vous n'utilisez pas MFA aujourd'hui, arrêtez de lire cet article maintenant et revenez une fois qu'il sera en place !

Arrêtez de dépendre des mots de passe

En réduisant la dépendance des mots de passe, vous peut commencer à éliminer l'utilisation des mots de passe au sein de l'organisation. « Pourquoi une organisation voudrait-elle réduire la dépendance aux mots de passe », pourriez-vous demander ? L'objectif n'est pas d'éliminer les données de mot de passe, mais plutôt de réduire le besoin pour un utilisateur d'utiliser ce mot de passe à plusieurs reprises dans le cadre du processus d'authentification. Microsoft est en train d'éliminer les mots de passe au sein de l'organisation en utilisant plusieurs plates-formes et technologies différentes. Certains d'entre eux, notamment :

• Authentification multifacteur
  • Comme nous l'avons mentionné précédemment, l'authentification MFA est l'un des éléments les plus critiques utilisés pour protéger votre identité. Dans Azure Active Directory, MFA permettra à votre organisation de supprimer les exigences de mot de passe pour l'authentification. Microsoft utilise Azure AD MFA, l'application Microsoft Authenticator et Windows Hello for Business pour faciliter cette authentification dans leur environnement, mais ils utilisent également d'autres technologies telles que Fast Identity Online (FIDO) en remplacement des données biométriques dans Windows Hello et utilisent également smart cartes pour les scénarios de contrôle d'accès administratif.
• Windows Hello pour les entreprises
  • Comme mentionné, Microsoft utilise Windows Hello for Business comme méthode d'authentification biométrique à deux facteurs. Essentiellement, Windows Hello Entreprise permet à tous les utilisateurs d'appareils Windows 10 de remplacer leurs données de mot de passe par des données biométriques, telles qu'une empreinte digitale. En outre, Microsoft utilise Windows Hello for Business pour prendre en charge les scénarios de type « carte à puce » tels que les déploiements basés sur des certificats, ce qui leur permet de fournir facilement des fonctionnalités de renouvellement de certificat et d'accès à distance.
• Matériel modernisé
  • Dernier point mais non le moindre, il est toujours important de garder votre matériel aussi modernisé que possible. La modernisation de votre portefeuille de matériel est une partie cruciale de votre parcours MFA, d'autant plus que MFA et Windows Hello for Business s'appuient sur des technologies telles que Trusted Platform Module (TPM) 2.0 et FIDO 2.0 pour la prise en charge de la biométrie. Cela peut sembler un gros investissement pour moderniser votre matériel, mais ce sera probablement une goutte d'eau par rapport à ce qu'une violation de votre environnement vous coûterait autrement, en particulier avec les dernières attaques de ransomware qui se produisent beaucoup trop souvent.[19659016]Accorder uniquement l'accès le moins privilégié

    Un moyen essentiel de réduire la surface d'attaque de vos identités est de leur accorder l'accès le moins privilégié requis pour effectuer leur travail. Par défaut, toutes les identités commencent sans accès, nous étendons ensuite cela en utilisant le modèle d'accès le moins privilégié, ce qui signifie que nos systèmes n'accordent l'accès que lorsque cela est nécessaire. Cela signifie que toutes les applications, services et infrastructures ne fourniront que l'ensemble minimum d'accès requis par ses utilisateurs. Cela implique les facteurs clés suivants :

    • Éliminer les accès inutiles pour réduire tout impact de l'identité compromise
    • Suivre la méthode KIS (Keep it Simple) vers votre implémentation. Cette méthode peut être utilisée pour environ 90 % des scénarios et vous ne devez poursuivre des implémentations plus complexes que lorsque cela est nécessaire, c'est-à-dire avec des comptes administratifs ou des environnements à haut risque.
    • Simplifiez vos solutions d'administration des accès pour les utilisateurs et les propriétaires d'applications
    • pour les contrôles préventifs centraux par rapport aux configurations manuelles distribuées
    • Regardez les choses à partir d'une approche axée sur le cloud où le modèle Zero Trust prospère le plus

    Pour commencer ce voyage d'accès au moindre privilège, je vous suggère de commencer par identifier et classer les rôles qui nécessitent un accès élevé. Une fois déterminée, examinez chaque identité et déterminez le niveau d'accès élevé requis, car tous les accès élevés ne sont pas créés égaux. Par exemple, votre administrateur Teams a-t-il vraiment besoin de privilèges d'administrateur global, probablement pas ! En bref, afin de réduire avec succès la surface d'attaque de votre organisation, vous devriez chercher à réduire le nombre de comptes à privilèges élevés et à fournir à ces comptes à privilèges élevés l'accès le moins privilégié nécessaire pour effectuer leurs tâches. fait dans le cadre de leur rôle respectif. En plus de cela, nous pouvons exiger un accès conditionnel aux applications en appliquant de manière granulaire MFA au niveau de l'application. Cette flexibilité vous permet de cibler des personnes ou des groupes spécifiques et d'appliquer des exigences d'accès basées sur des éléments tels que leur emplacement sur le réseau (interne ou externe au réseau de l'organisation). Par exemple, de nombreuses organisations peuvent vouloir appliquer l'authentification à un facteur uniquement pour les utilisateurs qui accèdent aux ressources sur le réseau d'entreprise, tandis que les utilisateurs qui ne sont pas sur le réseau d'entreprise auront besoin d'une authentification à plusieurs facteurs.

    Conclure les choses

    Je vais dites-le jusqu'à ce que je sois bleu, mais l'identité est le facteur le plus important dans votre modèle Zero Trust. L'identité est le facteur le plus important pour déterminer votre accès aux ressources de votre organisation, il est donc très important de connaître l'identité avant d'examiner les autres piliers du modèle Zero Trust. Pour récapituler, si vous ne faites que commencer votre parcours Zero Trust, commencez par mettre en œuvre les éléments dont nous avons discuté aujourd'hui :

    • Application des identités fortes
    • Réduction de la dépendance aux mots de passe
    • Limitation de l'accès aux données en fonction de l'accès avec privilège de congé[19659031]Une fois que vous avez abordé ces tâches d'identité dans toute l'organisation, vous pouvez commencer à renforcer et à développer les piliers restants en sécurisant vos points de terminaison, applications, données, infrastructure et réseau ! Gardez juste à l'esprit que ce n'est pas une course de 40 mètres, c'est un marathon. Commencez donc par une zone, sécurisez-la au mieux de vos capacités, puis passez au pilier suivant. La dernière chose que vous voulez faire est de sauter d'un pilier à l'autre et, par conséquent, vous vous retrouvez avec une solution de sécurité à moitié cuite avec de multiples lacunes qui peuvent facilement être exploitées. J'espère que vous avez trouvé cet article utile, et je vous encourage à revenir bientôt, car nous examinerons les points de terminaison ensuite dans notre cheminement vers l'adoption d'une stratégie de sécurité Zero Trust !
      

      À propos de l'auteur

      Brian est un consultant technique pour la pratique des communications unifiées de Perficient se concentrant principalement sur les charges de travail Skype Entreprise et Microsoft Teams. Il occupe ce poste depuis décembre 2017 et a une présence active dans les blogs sur tout ce qui concerne les équipes. Actuellement, Brian réside dans la banlieue de Chicago et aime courir, nager, faire de l'haltérophilie et jouer au football pendant son temps libre.

      Plus de cet auteur