L'avenir des services d'annuaire est sans domaine

Publié: 2020-05-05

Les approches fondamentales de la sécurité, de la gestion des appareils et du contrôle d'accès évoluent.

Pendant près de 30 ans, ces priorités informatiques fondamentales ont été indissociables d'Active Directory et d'OpenLDAP, qui étaient d'excellentes solutions à l'ère du domaine sur site. Mais le récent passage au travail à distance montre clairement que la sécurité périmétrique traditionnelle et l'infrastructure sur site ne suffisent plus à protéger les identités des utilisateurs et les données confidentielles d'une organisation dans le cloud.

Pour mieux gérer les environnements de travail modernes, nous devons repenser les fonctions individuelles d'un service d'annuaire et séparer ces fonctions du concept désuet du domaine câblé, château et douves. Ce qui importe le plus aujourd'hui, c'est de sécuriser l'utilisateur et l'appareil, où qu'ils se trouvent dans le monde.

L'avenir des services d'annuaire est donc sans domaine. Voici un aperçu plus détaillé de la façon dont nous en sommes arrivés là, à quoi ressemble l'entreprise sans domaine dans la pratique et les étapes que les organisations peuvent suivre pour moderniser leur infrastructure IAM.

Réinventer les services d'annuaire et le concept de domaine

Le concept de domaine tel que nous le connaissons a été essentiellement conçu dans les années 1990 et constituait une excellente solution pour la gouvernance sécurisée des utilisateurs et des ordinateurs dans les environnements de bureau câblés de l'époque. Alors que la plupart des autres domaines de l'informatique se sont complètement transformés depuis lors, ce modèle sous-tend encore aujourd'hui les approches de la plupart des organisations en matière de gestion des identités et des accès.

De nombreux professionnels de l'informatique tiennent le domaine pour acquis et ont supposé que la prochaine étape logique consiste à l'adapter et à l'étendre à l'ère du cloud en ajoutant des fournisseurs d'authentification unique (SSO) d'applications Web et d'autres ponts d'identité. Mais une approche plus pratique pourrait consister à revenir sur les problèmes fondamentaux que le domaine était initialement conçu pour résoudre, à décider lesquels de ces problèmes sont toujours pertinents aujourd'hui et à explorer de nouvelles façons de les résoudre à l'aide d'innovations modernes.

Du milieu des années 1990 au milieu des années 2000, les paramètres de bureau étaient très différents. Les travailleurs sont entrés dans les établissements physiques à l'aide de cartes-clés ou de véritables clés. Ils se dirigèrent vers leurs bureaux et s'assirent devant des ordinateurs fixes. Ces ordinateurs étaient connectés via un câble Ethernet à un centre de données interne ou à un placard de serveurs à l'intérieur du bureau physique. Depuis cet emplacement central, le contrôleur de domaine accordait l'accès aux ressources informatiques du réseau local. Ce réseau physique, à son tour, était protégé des attaques extérieures par un pare-feu et par le bâtiment lui-même pour l'accès physique.

À l'époque, cette configuration était essentiellement sécurisée et simple à gérer, et elle offrait une expérience utilisateur si transparente que les utilisateurs n'avaient pas à gérer plusieurs mots de passe ni à penser aux processus d'autorisation et d'authentification qui se déroulaient dans les coulisses. Les environnements étaient homogènes, avec une tour de bureau exécutant des programmes Windows et Microsoft sur chaque poste de travail. Active Directory (AD) était si bien adapté à ce type d'environnement qu'il a pu offrir aux utilisateurs ce qui était peut-être la première expérience d'authentification unique (SSO) : un seul ensemble d'informations d'identification pour accéder à leurs ressources informatiques Windows via une seule connexion au système.

Maintenant, avancez rapidement vers le présent et abattez tous les murs de ce bâtiment. L'informatique tendait vers la flexibilité en dehors du bureau grâce à la technologie cloud et à l'Internet sans fil haut débit largement disponible. Au lieu d'ordinateurs fixes avec des tours et des moniteurs à tube, les employés disposent désormais d'ordinateurs portables et d'autres appareils qu'ils peuvent emporter avec eux presque n'importe où, se connecter à Internet et commencer à travailler. C'est l'entreprise sans domaine en un mot, et c'est notre réalité actuelle.

homme wfh

Mais dans un monde où tant de travail se déroule en dehors du domaine, les services informatiques sont obligés de réévaluer les défis qu'Active Directory gérait autrefois seul.

Lacunes modernes du modèle de domaine

Active Directory a eu du mal à s'adapter et à s'intégrer aux ressources cloud modernes et aux systèmes d'exploitation autres que Windows, et le modèle de sécurité périmétrique pour lequel il a été conçu n'est pas suffisant pour protéger les travailleurs distants.

La question est donc de savoir comment traduire le flux de travail administratif centralisé et l'expérience utilisateur simple et sécurisée autrefois offerte par AD dans un environnement moderne qui comprend des systèmes Mac et Linux, des applications Web, des serveurs cloud et des réseaux distants, et peut ou non encore avoir sur -prem infrastructure ainsi. Les utilisateurs doivent se connecter à leurs ressources informatiques avec un minimum de friction, quel que soit l'endroit où ils travaillent, et les administrateurs informatiques doivent être sûrs que les identités des utilisateurs et les données propriétaires sont protégées contre les attaques.

Le problème est que le service informatique n'a pas le niveau de contrôle sur les identités des utilisateurs modernes qu'il aurait eu dans un environnement de domaine AD conventionnel. Les applications ont migré d'une ancienne architecture à achat unique et installation locale vers un modèle d'abonnement basé sur le cloud. Certaines applications sont toujours installées localement, avec des identités et des configurations gérées dans le cloud via un navigateur Web.

Laissés à eux-mêmes pour gérer leur identité, les utilisateurs se retrouvent avec des dizaines, voire des centaines, de mots de passe et sont tentés d'ignorer les consignes de sécurité et de partager ou de réutiliser des mots de passe faibles.

Les utilisateurs peuvent également être tentés de créer leurs propres comptes pour de nouvelles applications comme ils l'entendent, sans l'approbation ou la réglementation du service informatique. Ce shadow IT pose un risque de sécurité inutile pour l'organisation. Et même les identités gérées par le service informatique peuvent exister dans leurs propres silos, chaque identité distincte nécessitant son propre processus de provisionnement et de déprovisionnement manuel.

Il n'y a pas d'identité unique et centrale analogue à l'identité AD d'antan. Les administrateurs ont besoin d'une nouvelle façon de sécuriser les connexions, de garder tout en toute sécurité sous la responsabilité de l'informatique, de respecter les lignes de base de sécurité et de conformité et de préparer les appareils pour le travail à distance.

En ce qui concerne les systèmes, les systèmes MacBook et Linux sont désormais monnaie courante. Là où les administrateurs chevronnés de Microsoft résistaient autrefois à l'introduction de systèmes Mac sur le lieu de travail, il est désormais courant de s'adapter à ces systèmes. Dans un domaine Active Directory traditionnel, la gestion du système Mac et Linux ne serait pas aussi fluide ou sécurisée sans l'ajout d'autres solutions ponctuelles au-delà d'AD, comme un outil de gestion du système ou même un MDM.

personnes assises sur des ordinateurs


Les environnements de domaine construits autour d'OpenLDAP ne s'en sortent pas beaucoup mieux : les domaines et les serveurs LDAP gèrent principalement les identités, les mots de passe, les groupes et les unités organisationnelles, mais manquent souvent de capacités de gestion du système, d'application des politiques de sécurité et d'intégration d'applications cloud. Les ressources informatiques sont passées de la simple utilisation de LDAP comme protocole d'authentification de choix à l'utilisation de normes modernes telles que SAML, SCIM, OAuth, OIDC, etc. Les environnements LDAP hérités nécessitent également un degré élevé d'expertise pour la configuration et la maintenance.

La manière logique de combler les lacunes ci-dessus dans la surveillance informatique consiste à mettre en œuvre une architecture moderne sans domaine.

Que signifie vraiment sans domaine dans la pratique ?

La perspective de devenir sans domaine peut sembler un peu effrayante pour les administrateurs expérimentés, mais un environnement sans domaine correctement configuré peut être considérablement plus sécurisé qu'une configuration de domaine traditionnelle dans le paysage informatique actuel. Dans un environnement sans domaine, la posture de sécurité de l'organisation englobe chaque utilisateur individuel, son système Mac, Windows ou Linux et les ressources auxquelles il doit accéder, où que se trouvent chacun de ces composants.

Chaque ressource informatique a désormais son propre périmètre restreint. Cela signifie qu'au lieu de fonctionner essentiellement de manière non sécurisée dans les limites d'un périmètre plus large renforcé après une authentification unique, les identités et les droits d'accès sont constamment contrôlés et vérifiés. Les utilisateurs accèdent à leurs ressources directement via une connexion Internet standard, plutôt que de passer par un domaine pour l'authentification. Et à la place d'un contrôleur de domaine, un service d'annuaire cloud gère la gestion des accès, l'authentification des utilisateurs et l'application de la sécurité.

C'est ce concept de service d'annuaire cloud qui rend l'entreprise sans domaine réalisable dans la pratique. Mais même si de nombreux autres aspects de l'informatique ont effectivement migré vers le cloud, de nombreux administrateurs ont des réserves quant à la mise en œuvre d'un éventail complet de services d'annuaire dans le cloud.

Pour l'essentiel, c'est parce que l'idée d'un service d'annuaire lui-même est si inextricablement liée à Active Directory - l'outil existant remplace les problèmes individuels qu'il a résolus une fois. Et l'aspect sécurité du domaine est plus intuitif : les pare-feux et les serrures de porte sont familiers, et ils nous donnent un sentiment de contrôle. Il semble logique que l'abandon du domaine signifierait une exposition accrue aux attaques et une diminution du contrôle sur la sécurité.

Mais la vérité est que même avec des mesures telles que les pare-feu, la détection de réseau et la détection et la réponse des terminaux en place, les organisations sont toujours piratées. Après chaque nouvelle attaque réussie dans le cycle de l'actualité, la communauté informatique se recentre sur la manière d'appliquer une version meilleure et plus solide de la même approche de la sécurité. De toute évidence, l'ancienne façon de faire les choses ne fonctionne pas. Le moment est venu d'adopter une approche fondamentalement nouvelle, centrée sur le cloud.

Fonctions de base d'un service d'annuaire cloud

L'expression service d' annuaire cloud est utilisée pour décrire une variété de solutions qui s'intègrent vaguement dans la catégorie IAM, mais il est difficile de déterminer ce que cette expression signifie vraiment d'un fournisseur à l'autre.

Différentes solutions d'annuaire cloud offrent rarement des fonctionnalités comparables, et presque aucune d'entre elles ne reproduit la gamme complète des capacités de gouvernance, d'authentification et de contrôle d'accès du système d'origine d'AD en tant que fournisseur d'identité principal d'une organisation. Mais c'est exactement ce qu'un service d'annuaire cloud doit faire pour prendre en charge et sécuriser une architecture moderne sans domaine.

services d'annuaire cloud

En fait, un service d'annuaire cloud valable devrait en fait aller au-delà de la portée initiale d'AD en gérant l'accès aux applications tierces et aux systèmes d'exploitation non Windows à partir d'une seule plate-forme.

Cette distinction est importante pour comparer un véritable service d'annuaire cloud à une plate-forme SSO d'application Web, qui donne aux utilisateurs une identité pour accéder à leurs applications SaaS, mais peut ne pas être en mesure de gérer l'accès aux appareils, les lignes de base de sécurité ou d'authentifier les utilisateurs auprès d'anciens ou sur site. ressources en utilisant leurs protocoles d'authentification préférés. En ce sens, l'authentification unique basée sur SAML n'est qu'un composant d'un service d'annuaire cloud ; les termes ne sont pas interchangeables.

Au lieu de créer une traduction un à un du modèle de domaine AD établi dans le cloud, un service d'annuaire cloud approprié décompose les fonctions d'AD en leurs composants et réinvente chacune de ces parties. Si nous pouvons séparer les problèmes individuels de la solution que nous tenons pour acquise, nous pouvons arriver à de nouvelles façons de les résoudre.

Les fonctionnalités de base suivantes sont essentielles pour un service d'annuaire cloud conçu pour l'entreprise sans domaine :

  • Une identité d'utilisateur unique et sécurisée pour accéder aux appareils, aux applications, au Wi-Fi/VPN, aux serveurs et à l'infrastructure de développement, à la fois sur site et dans le cloud et quel que soit le fournisseur
  • Capacité d'intégrer et de consolider les identités des utilisateurs d'autres services, notamment G Suite, Office 365, AWS, AD/Azure et les systèmes RH/paie
  • Capacité de provisionnement et de déprovisionnement automatisé des utilisateurs
  • Gestion du système à distance avec un contrôle des politiques de type GPO sur les systèmes Mac, Windows et Linux et des rapports approfondis sur l'état et les attributs du système
  • Authentification multifacteur (MFA) pour la connexion aux systèmes Mac, Windows et Linux et pour l'accès à pratiquement toutes les autres ressources informatiques, ainsi que la capacité de gestion des clés SSH
  • Administration flexible et automatisée via scripts, API ou PowerShell
  • Journalisation détaillée des données et des événements pour répondre aux besoins d'audit et de conformité

De nombreuses défaillances de sécurité ne sont pas dues à l'absence totale de l'un des composants ci-dessus, mais à une incapacité à les appliquer, à les faire respecter et à les mettre à jour de manière uniforme dans toute une organisation. Dans cet esprit, la valeur d'un service d'annuaire cloud centralisé devient évidente.

Les clés du sans domaine : approbation de l'appareil et MFA

Bien que de nombreuses solutions cloud IAM soient entièrement basées sur un navigateur, il leur manque la clé de la sécurité sans domaine moderne : l'appareil. Les utilisateurs ont toujours besoin d'une passerelle physique vers leur travail, que cette passerelle soit un ordinateur portable, une tablette ou un smartphone. Une grande partie de la vérification constante requise pour sécuriser un environnement sans domaine doit être gérée par l'appareil, à l'aide d'un cadre que nous pouvons considérer comme la confiance de l'appareil .

L'idée est que l'utilisateur se connecte une fois à l'appareil, en utilisant une combinaison d'informations d'identification avec ou sans mot de passe plus MFA, puis obtient un accès sécurisé à toutes ses ressources informatiques. Chaque transaction est sécurisée et cryptée au niveau atomique, de sorte que le travail peut être effectué en toute sécurité via une connexion Internet standard.

L'expérience utilisateur est similaire à l'expérience SSO consistant à se connecter à une machine de bureau dans le domaine AD de la fin des années 1990/début des années 2000, mais ce qui se passe dans les coulisses est beaucoup plus complexe et l'étendue des ressources informatiques accessibles est bien meilleur.

mfa

Pour qu'un service d'annuaire cloud établisse une relation de confiance avec un appareil, plusieurs critères doivent être remplis et constamment réaffirmés. Ces critères simplifient la vérification que :

  • Le bon utilisateur accède à l'appareil et cet utilisateur est celui qu'il prétend être
  • Le bon appareil demande l'accès
  • L'accès est demandé depuis le bon endroit
  • Les bonnes autorisations sont appliquées pour l'utilisateur/appareil au sein d'une ressource donnée

C'est là que le concept de MFA s'étend au-delà des mesures destinées aux utilisateurs telles que les jetons TOTP et les clés de sécurité WebAuthn. Les exigences ci-dessus peuvent être confirmées entre l'appareil et le service d'annuaire cloud, en établissant des troisième, quatrième, cinquième et plusieurs facteurs d'authentification qu'il serait pratiquement impossible pour un attaquant de répliquer ensemble.

L'idée de violer un réseau est radicalement changée par cette authentification multifactorielle répétée : il n'y a plus de zone non sécurisée à traverser lors d'une session ouverte après une seule authentification initiale. En effet, dans le modèle sans domaine, la sécurité et le contrôle d'accès se produisent effectivement à chaque niveau et non uniquement au niveau du réseau. Seule la bonne personne, avec la bonne machine, accédant au bon endroit avec les autorisations appropriées, peut accéder aux données et aux applications.

Un service d'annuaire cloud établit la confiance des appareils grâce à une combinaison de gouvernance système de type GPO, de logiciels basés sur le principe du moindre privilège et du chiffrement de toutes les données en transit et au repos. Une autre façon de penser à cette approche est dans le contexte de la sécurité zéro confiance .

La sécurité Zero-Trust en pratique

La sécurité zéro confiance signifie que le service d'annuaire chargé de l'authentification ne tient jamais pour acquise la légitimité d'un utilisateur, d'un appareil, d'une application ou d'une autre ressource informatique. Il est réalisé en sécurisant les quatre domaines suivants : employés, systèmes, applications et réseau.

Des employés

Un système est en place pour vérifier qu'ils sont vraiment qui ils prétendent être en confirmant leur mot de passe (quelque chose qu'ils connaissent) et leur jeton MFA (quelque chose qu'ils ont) par rapport à la base de données d'annuaire, qui sert de source de vérité faisant autorité.

Systèmes

Le système, probablement une machine émise par l'entreprise, qu'une personne validée utilise pour accéder aux ressources informatiques doit être propre, et la personne doit avoir légitimement accès à cette machine. En pratique, cela signifie une sorte de mécanisme pour s'assurer que la machine est connue, que les politiques et les paramètres appliquent les normes de sécurité, et un degré élevé de certitude que l'utilisateur est bien celui qu'il prétend être. Le logiciel de sécurité est vérifié et mis à jour. La télémétrie du système permet de s'assurer que la machine elle-même n'est pas compromise.

Applications

Il est essentiel que seules les bonnes personnes, sur des systèmes fiables, accèdent aux applications. L'extension logique de ce qui précède est donc de vérifier que l'utilisateur et la machine ont des droits sur l'application et sur le réseau sur lequel l'application se trouve, et de vérifier la sécurité de ce réseau. C'est là qu'un VPN peut parfois encore jouer un rôle crucial dans l'entreprise sans domaine, en tant que tunnel sécurisé vers une application ou une ressource.

Réseau

Quel que soit le réseau sur lequel se trouve l'utilisateur, il doit être aussi sécurisé que possible, mais même s'il n'est pas complètement sécurisé, l'utilisateur peut créer une enclave sécurisée au sein de ce réseau en utilisant un VPN. De plus, les réseaux peuvent être sécurisés par des moyens supplémentaires tels que MFA et même la segmentation VLAN.

Premiers pas vers la mise en œuvre d'une architecture sans domaine

Cette idée d'une architecture sans domaine activée par un service d'annuaire cloud et une sécurité zéro confiance n'est pas purement philosophique ou une aspiration lointaine pour l'avenir : elle est là maintenant, et les équipes informatiques peuvent commencer à la mettre en œuvre immédiatement, soit complètement, soit dans une approche progressive et par étapes adaptée à leur infrastructure existante.

Pour les organisations qui sont profondément investies dans un domaine AD fonctionnel, un service d'annuaire cloud peut envelopper l'instance AD, offrant de nombreux avantages du modèle sans domaine et servant de tremplin vers le modèle entièrement cloud.

Un service d'annuaire cloud puissant aura la capacité de se suffire à lui-même en tant que fournisseur d'identité principal, de sorte que même les organisations qui ne sont pas prêtes à passer à 100 % sans domaine ont désormais la possibilité de quitter AD de manière transparente lorsque cette migration a du sens.

Si vous souhaitez en savoir plus, explorez les informations sur les services d'annuaire cloud sur G2.