Zero Trust Security: une approche Microsoft

Tout le monde parle du “Zero Trust” ces jours-ci, mais qu’est-ce que cela signifie? Si vous aviez du mal à comprendre cette idée telle que j’étais, alors l’explication suivante de mon collègue Sasha Kranjac peut être utile. L’explication est spécifiquement adaptée à l’application Zero Trust de Microsoft sous Azure Active Directory, mais constitue également une bonne introduction au thème Zero Trust en général. Sasha possède une vaste expérience dans ce domaine, car il est un expert, consultant et architecte cloud d’Azure et de la sécurité qui aide les entreprises et les particuliers à adopter le cloud et à être en sécurité dans le cyberespace. Sasha est PDG et architecte de sécurité cloud chez Κλουδάτεχ et propose Microsoft, EC-Council et ses propres cours Azure et sécurité personnalisés, ainsi que des laboratoires PowerClass, des services de conseil et des solutions cloud architecturales à l’échelle internationale. Il est également Microsoft Valuable Professional (MVP), Microsoft Certified Trainer (MCT), MCT Regional Lead et EC-Council (CEI) Certified Trainer. Pour en savoir plus sur Sasha, vous pouvez le suivre sur Twitter: @SasaKranjac.

Quel est ce Zero Trust dont tout le monde parle ces jours-ci? Sous quel rocher ce terme se cache-t-il tout le temps? Que veut dire Zero Trust de toute façon?

Le concept de Zero Trust, ou les concepts contenus dans le Zero Trust, n’est pas du tout nouveau. Lors du Forum de Jéricho en 2003, le terme démétrisation discuté – les moyens de protéger les limites des données et des systèmes d’une organisation en supprimant une frontière entre les réseaux externes et une organisation et en la protégeant en plusieurs étapes à l’aide d’une combinaison de protocoles sécurisés, de cryptage et de plusieurs niveaux d’authentification.

Les fournisseurs extérieurs à Microsoft ont également adopté le Zero Trust, et ce principe n’est pas exclusif aux fournisseurs de cloud.

Il y a de nombreuses années, nous n’avions pas seulement une maison de données dans une installation où une quantité petite ou insignifiante de données était laissée dans des réseaux organisationnels protégés. Aujourd’hui, le paysage de la sécurité est complètement différent, où les données ne sont plus stockées sur des serveurs de fichiers et des ordinateurs de bureau, mais sur des ordinateurs portables, des tablettes, des téléphones portables, des poches et des sacs à dos des employés, errant en dehors de ce qui était autrefois considéré comme la sécurité des limites organisationnelles.

Dans le modèle ou le concept Zero Trust, au lieu de croire que tout ce qui se cache derrière un pare-feu d’entreprise est sécurisé, nous pensons que toute demande d’accès est ne pas sûr et peu fiable. Nous agissons comme si chaque requête provenait d’un réseau non fiable et non contrôlé, peu importe d’où provient la requête ou la ressource à laquelle elle a accès. Nous utilisons la segmentation et les accès moins privilégiés pour atténuer le trafic latéral, garantissant que chaque demande d’accès est contrôlée, autorisée et contrôlée.

Aujourd’hui, nous avons besoin d’un modèle de sécurité qui puisse être efficacement adapté à l’architecture moderne de l’environnement, y compris les données mobiles, itinérantes et les utilisateurs, qui protège toute entité où qu’elle se trouve, quelle qu’elle soit. Données, applications, appareils, personnes – La stratégie Zero Trust est conçue pour défier tout le monde et protéger tout le monde.

Il existe trois principes de base de la stratégie Zero Trust:

  1. Supposons une violation. Assurez-vous que toutes les sessions et demandes de session utilisent un chiffrement de bout en bout. Utilisez la segmentation d’accès pour les appareils, les réseaux et les utilisateurs pour empêcher ou réduire le trafic latéral. Appliquez des détails menaçants pour obtenir des informations et obtenir plus de visibilité.
  2. Vérifier explicitement. Appliquez une authentification et une autorisation complètes à tous les points de données, y compris l’ID utilisateur, le risque d’utilisateur et de connexion, l’état et la santé de l’appareil, la classification des données et l’emplacement.
  3. Utilisez l’accès le moins privilégié. Restreindre l’accès des utilisateurs et l’accès privilégié en utilisant une gestion du temps adéquate (JEA, JIT), des politiques conditionnelles ou basées sur les risques, ainsi que des politiques et technologies de protection des données.

Plus important encore, l’approche Zero Trust comprend l’application automatisée des politiques de sécurité pour garantir la conformité dans toute l’organisation. Ce schéma de Microsoft illustre le Fonctionnalités de sécurité Zero Trust. Vous pouvez voir la page d’accueil ici.

Microsoft définit de nombreux éléments du modèle Zero Trust qui méritent que nous nous concentrions sur la sécurité. Chacune de ces parties est fondamentale dans l’approche de sécurité et est une source de signaux et un niveau de contrôle de sécurité:

  1. Identités. Aujourd’hui, les identités ne sont pas que des personnes, mais des appareils et des services.
  2. Points finaux. Une surveillance continue de la santé et de la sécurité des appareils est vitale, des appareils personnels et IoT aux serveurs et aux ordinateurs de bureau.
  3. Applications. Applications et API Le cloud ou l’installation en interne nécessitent des contrôles d’accès, des détails d’utilisation, une surveillance et une configuration sécurisée.
  4. Données. La sécurité des données est fondamentale. Nous devons nous assurer que les données sont sécurisées lorsqu’elles sont en déplacement ou au repos, sur les appareils ou lorsqu’elles quittent l’infrastructure et les applications.
  5. Infrastructure. L’infrastructure intérieure ou cloud mérite également une sécurité adéquate. Restreignez et contrôlez l’accès à l’aide d’une surveillance de gestion juste à temps et adéquate pour les comportements anormaux ou utilisez l’automatisation pour réduire le temps de réponse à un comportement dangereux.
  6. Réseaux. Segmentation du réseau à l’aide de sous-réseaux, de plusieurs réseaux, de chemins définis par l’utilisateur, d’un chiffrement, d’une surveillance et d’une analyse de bout en bout.

Ce schéma de Microsoft illustre son concept Application de la politique de sécurité Zero Trust. Vous pouvez voir la page d’accueil ici.

Alors, quels produits Microsoft devrions-nous utiliser pour construire une stratégie Zero Trust? Eh bien, différentes organisations auront des approches différentes pour appliquer la méthodologie Zero Trust à la sécurité simplement parce qu’aucune organisation n’est la même, n’utilise pas les mêmes produits et n’a pas la même architecture d’infrastructure. Mais les principes restent les mêmes. Jetons un coup d’œil à une approche.

Une approche Zero Trust devrait commencer par la protection de l’identité, où chaque demande d’accès est traitée de manière égale et vérifiée à l’aide d’une authentification forte. Microsoft Azure Active Directory (Azure AD) est une solution d’authentification et de gestion des accès sécurisés (IAM) qui prend en charge l’authentification multifacteur (MFA), où l’ajout d’un deuxième facteur au processus d’authentification peut réduire le problème des mots de passe perdus ou divulgués. Pour rendre l’authentification encore plus puissante, nous pouvons utiliser l’authentification sans mot de passe à l’aide d’une application d’authentification mobile ou d’un jeton FIDO2 pour une protection encore meilleure. Ce diagramme Microsoft explique comment Accès conditionnel à Azure AD projets. Vous pouvez voir la page d’accueil ici.

Azure Active Directory permet non seulement une authentification puissante, mais fournit un accès conditionnel pour analyser les signaux ou les conditions des utilisateurs, des appareils, des emplacements, et automatiser et mettre en œuvre des stratégies d’accès aux ressources dans toute l’organisation. Voici une capture d’écran montrant le guide d’accès conditionnel AD Azure:

Zero Trust Microsoft

Le contrôle d’accès des utilisateurs est basé sur des évaluations de divers facteurs, tels que le risque de l’utilisateur, le risque de connexion, le type d’appareils et de plates-formes utilisés, les emplacements à partir desquels l’accès est demandé ou l’état de l’appareil. Après avoir évalué tous les signaux, l’accès conditionnel AD Azure peut accorder l’accès, accorder l’accès à certaines conditions ou refuser l’accès aux ressources demandées.

Si un utilisateur légitime demande l’accès aux ressources de l’entreprise – mais que la demande provient d’un appareil compromis ou que le risque de connexion de l’utilisateur signale une activité de voyage impossible – un défi d’authentification multifacteur peut être demandé ou l’accès de l’utilisateur refusé.

L’accès conditionnel AD Azure est peut-être l’exemple le plus direct et le plus graphique de «ne faire confiance à personne», «vérifier explicitement» l’approche de la sécurité zéro confiance.

Une gestion juste à temps et adéquate n’est pas destinée uniquement à l’approche Zero Trust, mais aussi à la protection des identités. Ce qui suit est une capture d’écran montrant comment configurer l’accès aux machines virtuelles juste à temps ASC:

Zero Trust Microsoft

Azure Security Center est un système intégré de gestion de la sécurité de l’infrastructure qui fournit des informations d’arrêt de sécurité et des conseils pour agir sur toutes les charges de travail cloud Azure, intérieures et tierces. Cloud Workload Protection (CWP) d’Azure Security Center, ou Azure Defender, permet une protection intelligente des charges de travail contre les charges de travail hybrides et offre un accès aux machines virtuelles au bon moment. Les options personnalisables incluent le port, le protocole, les adresses IP source ou les blocs CIDR et le temps de requête maximal autorisé pour accéder à une machine virtuelle.

Azure AD Privileged Identity Management (Azure AD PIM), d’autre part, contrôle les paramètres JIT et JEA pour les identités Azure AD. Il permet aux administrateurs de sécurité de restreindre l’accès des utilisateurs aux rôles privilégiés, de découvrir les utilisateurs avec des attributions de rôles privilégiés et d’effectuer des révisions des accès privilégiés. Azure AD PIM fournit un accès opportun et privilégié aux ressources Azure AD et Azure, applique MFA pour activer un rôle, utilise la justification pour suivre et comprendre l’activation des utilisateurs, fournir un contrôle historique, etc.

Pour la protection des terminaux et des appareils, pour la détection et la récupération d’attaques avancées sur les terminaux, Microsoft Defender pour Endpoint Prend en charge les systèmes d’exploitation Microsoft Windows de Windows 7 à Windows Server 2019, Android, macOS et Linux.

De nombreuses entreprises sont aux prises avec le shadow IT et les applications cloud inconnues et indésirables. Pour découvrir les applications utilisées sur les réseaux d’entreprise et combattre «l’ennemi invisible et inconnu» – c’est-à-dire pour essayer de contrôler l’accès aux applications tierces ou aux applications cloud shadow – les services informatiques ont besoin d’un courtier de sécurité des applications cloud (CASB) Heureusement, Microsoft Cloud App Security est une solution CASB qui s’intègre étroitement aux autres produits du portefeuille Microsoft. La liste des risques contient plus de 16 000 applications évaluées sur plus de 80 facteurs de risque qui aident les services informatiques et les professionnels de la sécurité à prendre les bonnes décisions lors de l’évaluation des risques applicatifs.

Les produits et fonctionnalités énumérés ici ne sont que la pointe de l’iceberg dans un énorme scénario de sécurité potentiel Zero Trust. Vous pouvez utiliser tout ou partie des produits répertoriés et, bien sûr, vous pouvez en utiliser d’autres, tels que Microsoft Endpoint Manager, Microsoft Defender pour l’identité, Microsoft Defender pour Office 365, les stratégies de prévention de la perte de données (DLP), BitLocker, la stratégie Azure , Azure Sentinel, Azure Blueprints, normes ARM, Azure DDoS Protection, Azure Web Application Firewall, Azure Firewall, Network Security Groups ou Application Security Groups.

Peu importe ce que vous utilisez, assurez-vous de suivre les trois principes de base de Zero Trust: supposer une violation, vérifier explicitement et utiliser l’accès le moins privilégié.

Image suggérée: Pixabay


Affichage des messages:
3


Ézoïquementionner cette annonce

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *