Cette architecture montre comment les équipes du centre d'opérations de sécurité (SOC) peuvent intégrer les capacités d'identité et d'accès de Microsoft Entra dans une stratégie de sécurité zéro confiance globale intégrée et en couches.
La sécurité des réseaux dominait les opérations du SOC lorsque tous les services et appareils étaient contenus dans les réseaux managés des organisations. Toutefois, selon Gartner, d’ici 2022, la taille du marché des services cloud augmentera à un rythme près de trois fois supérieur à celui de l’ensemble des services informatiques. Alors que de plus en plus d’entreprises adoptent le cloud, on observe une évolution vers le traitement de l’identité des utilisateurs comme principale limite de sécurité.
La sécurisation des identités dans le cloud est primordiale.
Selon le rapport d’étude sur les violations de données 2020 rédigé par Verizon, 37 % des violations de données impliquent l’utilisation d’identifiants volés, et 22 % des violations de données impliquent l’hameçonnage.
En 2019, une étude sur les incidents liés aux violations de données menée par IBM a indiqué que le coût mondial moyen d’une violation de données était de 3,9 millions de dollars, le coût moyen aux États-Unis étant plus proche de 8,2 millions de dollars.
Le rapport de sécurité Microsoft 2019 indiquait que les attaques par hameçonnage ont augmenté de 250 % entre janvier et décembre 2018.
Le modèle de sécurité Confiance Zéro traite tous les hôtes comme s’ils sont accessibles sur Internet et considère que l’ensemble du réseau est potentiellement compromis et hostile. Cette approche est axée sur la création d’une authentification (AuthN), d’une autorisation et d’un chiffrement renforcés, tout en fournissant un accès compartimenté et une meilleure agilité opérationnelle.
Gartner promeut une architecture de sécurité adaptative qui remplace une stratégie basée sur la réponse aux incidents par un modèle prévention-détection-réponse-prédiction. La sécurité adaptative associe le contrôle d’accès, la surveillance comportementale, la gestion de l’utilisation et la découverte à une surveillance et une analyse continues.
L'architecture de référence de cybersécurité Microsoft (MCRA) décrit les capacités de cybersécurité de Microsoft et la manière dont elles s'intègrent aux architectures de sécurité existantes, y compris les environnements cloud et hybrides, qui utilisent Microsoft Entra ID pour l'identité en tant que service (IDaaS).
Cet article fait progresser l’approche de sécurité adaptative et sans confiance de l’IDaaS, en mettant l’accent sur les composants disponibles sur la plateforme Microsoft Entra.
Cas d’usage potentiels
- Concevoir de nouvelles solutions de sécurité
- Améliorer ou intégrer aux implémentations existantes
- Éduquer les équipes SOC
Architecture
Téléchargez un fichier Visio de cette architecture.
Workflow
- La gestion des informations d’identification contrôle l’authentification.
- L’approvisionnement et la gestion des droits d’utilisation définissent le package d’accès, affectent des utilisateurs aux ressources et transmettent des données pour attestation.
- Le moteur d’autorisation évalue la stratégie d’accès pour déterminer l’accès. Le moteur évalue également les détections de risques, notamment les données UEBA (analytique du comportement des utilisateurs/entités) , et vérifie la conformité des appareils dans le cadre de la gestion des points de terminaison.
- S’il est autorisé, l’utilisateur ou l’appareil obtient l’accès par stratégies et contrôles d’accès conditionnel.
- En cas d’échec de l’autorisation, les utilisateurs peuvent effectuer une correction en temps réel pour se débloquer.
- Toutes les données de session sont journalisées pour l’analyse et la création de rapports.
- Le système de gestion des informations et des événements de sécurité (SIEM) de l'équipe SOC reçoit tous les journaux, les données de détection des risques et les données UEBA des identités dans le cloud et sur site.
Composants
Les processus et composants de sécurité suivants contribuent à cette architecture Microsoft Entra IDaaS.
Gestion des informations d’identification
La gestion des informations d’identification comprend des services, des stratégies et des pratiques qui délivrent, suivent et mettent à jour l’accès aux ressources ou aux services. La gestion des informations d'identification Microsoft Entra inclut les fonctionnalités suivantes :
La réinitialisation des mots de passe en libre-service (SSPR) permet aux utilisateurs de se servir eux-mêmes et de réinitialiser leurs mots de passe perdus, oubliés ou compromis. Non seulement SSPR réduit le nombre d’appels au support technique, mais offre également une plus grande souplesse et une plus grande sécurité aux utilisateurs.
La réécriture du mot de passe synchronise les mots de passe modifiés dans le cloud avec les annuaires locaux en temps réel.
Les mots de passe interdits analysent les données de télémétrie révélant les mots de passe faibles ou compromis couramment utilisés et interdisent leur utilisation à l'échelle mondiale dans Microsoft Entra ID. Vous pouvez personnaliser cette fonctionnalité pour votre environnement et inclure une liste de mots de passe personnalisés à interdire au sein de votre organisation.
Verrouillage intelligent compare les tentatives d’authentification légitimes et les tentatives de force brute qui visent à obtenir un accès non autorisé. Sous la stratégie de verrouillage intelligent par défaut, un compte est verrouillé pendant une minute après 10 tentatives infructueuses de connexion. À mesure que les tentatives de connexion continuent d’échouer, le temps de verrouillage de compte augmente. Vous pouvez utiliser des stratégies pour ajuster les paramètres pour la combinaison appropriée de sécurité et d’utilisation pour votre organisation.
L’authentification multifacteur nécessite plusieurs formes d’authentification lorsque les utilisateurs tentent d’accéder aux ressources protégées. Lors de l’accès aux ressources, la plupart des utilisateurs sont habitués à utiliser une méthode d’authentification familière, comme un mot de passe. L’authentification multifacteur demande également aux utilisateurs de démontrer qu’ils ont quelque chose, comme l’accès à un appareil de confiance, ou qu’ils correspondent bien à quelque chose, comme un identifiant biométrique. MFA peut utiliser des types de méthodes d’authentification différents, comme les appels téléphoniques, les textos ou les notifications via l’application Authenticator.
L’authentification sans mot de passe remplace le mot de passe dans le flux de travail d’authentification par un smartphone ou un jeton matériel, un identificateur biométrique ou un code confidentiel. L’authentification sans mot de passe Microsoft peut fonctionner avec des ressources Azure telles que Windows Hello Entreprise et l’application Microsoft Authenticator sur appareils mobiles. Vous pouvez également activer l’authentification sans mot de passe avec des clés de sécurité compatibles FIDO2, qui utilisent WebAuthn et le protocole CTAP (Client-to-Authenticator) de FIDO Alliance.
Approvisionnement et droit d’utilisation des applications
La gestion des droits d’utilisation est une fonctionnalité de gouvernance des identités de Microsoft Entra qui permet aux organisations de gérer le cycle de vie des identités et des accès à grande échelle. La gestion des droits d’utilisation automatise les flux de travail de demande d’accès, les attributions d’accès, les révisions et les expirations.
Le provisionnement Microsoft Entra vous permet de créer automatiquement des identités et des rôles utilisateur dans les applications auxquelles les utilisateurs doivent accéder. Vous pouvez configurer le provisionnement de Microsoft Entra pour les applications SaaS (Software-as-a-Service) tierces telles que SuccessFactors, Workday et bien d'autres.
L’authentification unique transparente (SSO) authentifie automatiquement les utilisateurs dans les applications cloud une fois qu’ils se connectent à leurs appareils d’entreprise. Vous pouvez utiliser l'authentification unique transparente Microsoft Entra avec la synchronisation du hachage de mot de passe ou le authentification pass-through.
L'attestation avec les examens d'accès Microsoft Entra permet de répondre aux exigences de surveillance et d'audit. Les révisions d’accès vous permettent d’identifier rapidement le nombre d’utilisateurs administrateur, de vous assurer que les nouveaux employés peuvent accéder aux ressources nécessaires ou de passer en revue l’activité des utilisateurs pour déterminer s’ils ont toujours besoin d’un accès.
Stratégies et contrôles d’accès conditionnel
Une stratégie d’accès conditionnel est une instruction if-then des affectations et des contrôles d’accès. Vous définissez la réponse (« faites ceci ») à la raison du déclenchement de votre stratégie (« si ceci »), ce qui permet au moteur d’autorisation de prendre des décisions qui font respecter les stratégies organisationnelles. Avec Microsoft Entra Conditional Access, vous pouvez contrôler la manière dont les utilisateurs autorisés accèdent à vos applications. L'outil Microsoft Entra ID What If peut vous aider à comprendre pourquoi une stratégie d'accès conditionnel a été ou n'a pas été appliquée, ou si une stratégie s'appliquerait à un utilisateur dans une circonstance spécifique.
Les contrôles d’accès conditionnel fonctionnent conjointement avec les stratégies d’accès conditionnel pour renforcer la stratégie de l’organisation. Les contrôles d'accès conditionnel Microsoft Entra vous permettent de mettre en œuvre une sécurité basée sur des facteurs détectés au moment de la requête d'accès, plutôt qu'une approche universelle. En associant les contrôles d’accès conditionnel aux conditions d’accès, vous réduisez le besoin de créer des contrôles de sécurité supplémentaires. Par exemple, vous pouvez permettre aux utilisateurs d’un appareil joint à un domaine d’accéder à des ressources en utilisant l’authentification unique, mais exiger l’authentification multifacteur pour les utilisateurs hors réseau ou qui utilisent leurs appareils.
Microsoft Entra ID peut utiliser les contrôles d'accès conditionnel suivants avec des stratégies d'accès conditionnel :
Le contrôle d’accès en fonction du rôle Azure (RBAC) vous permet de configurer et d’attribuer des rôles appropriés aux utilisateurs qui doivent effectuer des tâches d’administration ou spécialisées avec les ressources Azure. Vous pouvez utiliser RBAC Azure pour créer ou gérer des comptes distincts dédiés à un administrateur, étendre l’accès aux rôles que vous configurez, limiter la durée de l’accès ou accorder l’accès par le biais de workflows d’approbation.
Privileged Identity Management (PIM) permet de réduire le vecteur d’attaque pour votre organisation en vous permettant d’ajouter une surveillance et une protection supplémentaires aux comptes d’administration. Avec Microsoft Entra PIM, vous pouvez gérer et contrôler l'accès aux ressources dans Azure, Microsoft Entra ID et d'autres services Microsoft 365 avec un accès juste à temps (JIT) et une administration juste assez (JEA). PIM fournit un historique des activités d’administration et un journal des modifications, et vous avertit lorsque des utilisateurs sont ajoutés ou supprimés des rôles que vous définissez.
Vous pouvez utiliser PIM pour demander l’approbation ou la justification de l’activation des rôles d’administration. Les utilisateurs peuvent maintenir des privilèges normaux la plupart du temps, et demander et recevoir l’accès aux rôles dont ils ont besoin pour effectuer des tâches d’administration ou spécialisées. Lorsqu’ils terminent leur travail et se déconnectent, ou lorsque la limite du temps d’accès est atteinte, ils peuvent se réauthentifier avec leurs autorisations d’utilisateur standard.
Microsoft Defender pour applications cloud est un courtier de sécurité d’applications cloud(CAS-B) qui analyse les journaux de trafic pour découvrir et superviser les applications et les services en cours d’utilisation dans votre organisation. Defender pour applications cloud vous permet d’effectuer les opérations suivantes :
- Créer des stratégies pour gérer l’interaction avec les applications et les services
- Identifier les applications comme approuvés ou non approuvées
- Contrôler et limiter l’accès aux données
- Appliquer la protection des informations pour vous prémunir contre la perte d’informations
Defender pour applications cloud peut également opérer avec des stratégies d’accès et des stratégies de session pour contrôler l’accès des utilisateurs aux applications SaaS. Vous pouvez par exemple :
- Limiter les plages d’adresses IP qui peuvent accéder aux applications
- Exiger l’authentification multifacteur pour l’accès aux applications
- Autoriser les activités uniquement à partir d’applications approuvées
La page du contrôle d’accès du centre d’administration SharePoint offre plusieurs moyens de contrôler l’accès au contenu SharePoint et OneDrive. Vous pouvez choisir de bloquer l’accès, d’autoriser un accès limité au web uniquement à partir d’appareils non gérés ou de contrôler l’accès en fonction de l’emplacement réseau.
Vous pouvez étendre les autorisations d’application à des boîtes aux lettres Exchange Online spécifiques en utilisant ApplicationAccessPolicy de l’API Microsoft Graph.
Les conditions d’utilisation constituent un moyen de présenter des informations auxquelles les utilisateurs finaux doivent donner leur consentement avant d’accéder aux ressources protégées. Vous chargez des documents de conditions d’utilisation dans Azure en tant que fichiers PDF, puis ils sont deviennent disponibles en tant que contrôles dans les stratégies d’accès conditionnel. En créant une stratégie d’accès conditionnel qui oblige les utilisateurs à donner leur consentement à la connexion, vous pouvez aisément auditer les utilisateurs qui ont accepté les conditions d’utilisation.
La gestion des points de terminaison contrôle la façon dont les utilisateurs autorisés peuvent accéder à vos applications cloud à partir d’un large éventail d’appareils, y compris les appareils mobiles et personnels. Vous pouvez utiliser des stratégies d’accès conditionnel pour restreindre l’accès uniquement aux appareils qui répondent à certaines normes de sécurité et de conformité. Ces appareils managés requièrent une identité d’appareil.
Détection d’événements à risque
Azure Identity Protection comprend plusieurs stratégies qui peuvent aider votre organisation à gérer les réponses aux actions suspectes de l’utilisateur. Le risque utilisateur est la probabilité qu’une identité d’utilisateur soit compromise. Le risque de connexion est la probabilité qu’une demande de connexion ne provienne pas de l’utilisateur. Microsoft Entra ID calcule les scores de risque de connexion en fonction de la probabilité que la requête de connexion provienne de l'utilisateur réel, sur la base d'analyses comportementales.
Les détections de risques Microsoft Entra utilisent des algorithmes d'apprentissage automatique adaptatifs et des heuristiques pour détecter les actions suspectes liées aux comptes d'utilisateurs. Chaque action suspecte détectée est stockée dans un enregistrement appelé détection d’événement à risque. Microsoft Entra ID calcule la probabilité de risque de connexion et d'utilisateur à l'aide de ces données, améliorées par les sources et signaux de renseignements sur les menaces internes et externes de Microsoft.
Vous pouvez utiliser les API de détection des risques Identity Protection dans Microsoft Graph pour exposer les informations sur les utilisateurs et les connexions à risque.
La correction en temps réel permet aux utilisateurs de débloquer leur accès en utilisant SSPR et MFA afin de corriger automatiquement certaines détections de risques.
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la sécurité.
Logging
Les rapports d'audit Microsoft Entra assurent la traçabilité des activités Azure avec des journaux d'audit, des journaux de connexion, ainsi que des rapports sur les connexions et les utilisateurs à risque. Vous pouvez filtrer et rechercher les données du journal en fonction de plusieurs paramètres, notamment le service, la catégorie, l’activité et l’état.
Vous pouvez acheminer les données du journal Microsoft Entra ID vers des points de terminaison tels que :
- Comptes de stockage Azure
- Journaux d’activité Azure Monitor
- Hubs Azure Event Hub
- Solutions SIEM comme Microsoft Azure Sentinel, ArcSight, Splunk, SumoLogic, autres outils SIEM externes ou votre propre solution.
Vous pouvez également utiliser l'API de création de rapports Microsoft Graph pour récupérer et consommer les données du journal Microsoft Entra ID dans vos propres scripts.
Considérations locales et hybrides
Les méthodes d’authentification sont essentielles pour sécuriser les identités de votre organisation dans un scénario hybride. Microsoft fournit des conseils spécifiques sur le choix d'une méthode d'authentification hybride avec Microsoft Entra ID.
Microsoft Defender pour Identity peut utiliser vos signaux Azure Active Directory locaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions malveillantes internes. Defender pour Identity utilise UEBA pour identifier les menaces internes et signaler les risques. Même si une identité est compromise, Defender pour Identity peut aider à identifier la compromission en se basant sur un comportement inhabituel de l’utilisateur.
Defender pour Identity est intégré à Defender pour applications cloud pour étendre la protection aux applications cloud. Defender pour applications cloud vous permet de créer des stratégies de session qui protègent vos fichiers lors du téléchargement. Par exemple, vous pouvez définir automatiquement des autorisations d’affichage seul sur n’importe quel fichier téléchargé en fonction des types spécifiques d’utilisateurs.
Vous pouvez configurer une application locale dans Microsoft Entra ID pour utiliser Defender for Cloud Apps pour la surveillance en temps réel. Defender for Cloud Apps utilise le contrôle d’application par accès conditionnel pour surveiller et contrôler les sessions en temps réel en fonction des stratégies d’accès conditionnel. Vous pouvez appliquer ces stratégies aux applications locales qui utilisent un proxy d’application dans Microsoft Entra ID.
Microsoft Entra Proxy d’application permet aux utilisateurs d'accéder à des applications Web sur site à partir de clients distants. Avec Proxy d’application, vous pouvez surveiller toutes les activités de connexion de vos applications dans un même emplacement.
Vous pouvez utiliser Defender pour Identity avec Microsoft Entra ID Protection pour protéger les identités des utilisateurs synchronisées avec Azure avec Microsoft Entra Connect.
Si certaines de vos applications utilisent déjà un contrôleur de livraison ou un contrôleur réseau existant pour fournir un accès hors réseau, vous pouvez les intégrer à Microsoft Entra ID. Plusieurs partenaires, dont Akamai, Citrix, F5 Networks et Zscaler, proposent des solutions et des conseils pour l'intégration avec Microsoft Entra ID.
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d'informations, consultez Liste de contrôle de la révision de la conception pour l'optimisation des coûts.
Les tarifs de Microsoft Entra vont de gratuit, pour des fonctionnalités telles que SSO et MFA, à Premium P2, pour des fonctionnalités telles que PIM et gestion des droits d’utilisation. Pour plus de détails sur les tarifs, consultez Tarification Microsoft Entra.
Étapes suivantes
- Sécurité de Confiance Zéro
- Guide de déploiement Zero Trust pour Microsoft Entra ID
- Vue d’ensemble du pilier de sécurité
- Client de démonstration Microsoft Entra (nécessite un compte Microsoft Partner Network) ou essai gratuit d'Enterprise Mobility + Security
- Plans de déploiement de Microsoft Entra