Dans cet article, découvrez les principes de conception et les dépendances d’un scénario d’accès conditionnel basé sur la Confiance Zéro.
Principes de conception
Commençons par quelques principes de conception.
Accès conditionnel en tant que moteur de stratégie de Confiance Zéro
L’approche Microsoft par rapport à la Confiance Zéro comprend l’accès conditionnel en tant que moteur de stratégie principal. Voici une vue d’ensemble de cette approche :
Téléchargez un fichier SVG de cette architecture.
L’accès conditionnel est utilisé en tant que moteur de stratégie pour une architecture de Confiance Zéro qui couvre la définition et l’application de stratégie. Sur la base de différents signaux ou conditions, l’accès conditionnel peut bloquer ou accorder un accès limité aux ressources, comme illustré ici :
Voici une vue plus détaillée des éléments de l’accès conditionnel et de ce qu’il couvre :
Ce diagramme montre l’accès conditionnel et les éléments associés qui peuvent aider à protéger l’accès utilisateur aux ressources, par opposition à un accès non interactif ou non humain. Le diagramme suivant décrit les deux types d’identités.
L’accès conditionnel s’est principalement concentré sur la protection de l’accès des humains interactifs aux ressources. À mesure que le nombre d’identités non humaines augmente, l’accès à partir de celles-ci doit également être pris en compte. Microsoft propose deux fonctionnalités liées à la protection de l’accès aux identités de charge de travail et à partir de celles-ci.
- Protection de l’accès aux applications représentées par une identité de charge de travail qui n’est pas sélectionnable dans le portail de l’accès conditionnel Microsoft Entra. Cette option est prise en charge à l’aide d’attributs de sécurité. L’affectation d’un attribut de sécurité aux identités de charge de travail et leur sélection dans le portail de l’accès conditionnel Microsoft Entra fait partie de la licence Microsoft Entra ID P1.
- Protection de l’accès aux ressources initiées par des identités de charge de travail (principaux de service). Une nouvelle fonctionnalité « Identités de charge de travail Microsoft Entra » est proposée dans une licence distincte qui prend en charge ce scénario. Elle inclut la gestion du cycle de vie des identités de charge de travail, y compris la protection de l’accès aux ressources avec l’accès conditionnel.
Modèle d’accès aux entreprises
Microsoft a déjà fourni des conseils et des principes pour l’accès aux ressources locales basées sur un modèle de hiérarchisation :
- Niveau 0 : contrôleurs de domaine, infrastructure à clé publique (PKI), serveurs de services de fédération Active Directory (AD FS) (AD FS) et solutions de gestion qui gèrent ces serveurs
- Niveau 1 : serveurs qui hébergent des applications
- Niveau 2 : périphériques clients
Ce modèle reste approprié pour les ressources locales. Pour contribuer à protéger l’accès aux ressources dans le cloud, Microsoft recommande une stratégie de contrôle d’accès qui :
- est complète et cohérente ;
- applique rigoureusement les principes de sécurité dans toute la pile de technologies ;
- Est suffisamment flexible pour répondre aux besoins de votre organisation.
Sur la base de ces principes, Microsoft a créé le modèle d’accès d’entreprise suivant :
Le modèle d’accès aux entreprises remplace le modèle de niveaux hérité qui ciblait la limitation de l’élévation non autorisée des privilèges dans un environnement Windows Server Active Directory local. Dans le nouveau modèle, le niveau 0 se développe et devient le plan de contrôle, le niveau 1 est constitué du plan de gestion et de données, et le niveau 2 couvre l’accès utilisateur et l’accès aux applications.
Microsoft recommande de déplacer le contrôle et la gestion dans des services cloud qui utilisent l’accès conditionnel comme plan de contrôle principal et moteur de stratégie principal, ce qui définit et applique l’accès.
Vous pouvez étendre le moteur de stratégie d’accès conditionnel Microsoft Entra à d’autres points d’application de stratégie, notamment :
- Applications modernes : applications qui utilisent des protocoles d’authentification modernes.
- Applications héritées : via un proxy d’application Microsoft Entra.
- Solutions VPN et d’accès à distance : solutions telles que Microsoft VPN Always On, Cisco AnyConnect, Palo Alto Networks, F5, Fortinet, Citrix et Zscaler.
- Documents, e-mails et autres fichiers : par le biais de Microsoft Information Protection.
- Applications SaaS.
- Les applications s’exécutant dans d’autres clouds, tels qu’AWS ou Google Cloud (basé sur la fédération).
Principes de la Confiance Zéro
Les trois principaux principes de la Confiance Zéro définis par Microsoft semblent être compris, en particulier par les services de sécurité. Toutefois, l’importance de la convivialité est parfois négligée lors de la conception de solutions Confiance Zéro.
La convivialité doit toujours être considérée comme un principe implicite.
Principes de l’accès conditionnel
Sur la base des informations ci-dessus, voici un résumé des principes recommandés. Microsoft vous recommande de créer un modèle d’accès basé sur l’accès conditionnel qui est aligné avec les trois principes principaux de la Confiance Zéro Microsoft :
Vérifier explicitement
- Déplacez le plan de contrôle vers le cloud. Intégrez des applications à Microsoft Entra ID et protégez-les à l’aide de l’accès conditionnel.
- Considérez que tous les clients sont externes.
Utiliser le droit d’accès minimal
- Évaluez l’accès en fonction de la conformité et des risques, y compris les risques utilisateur, les risques de connexion et les risques liés aux appareils.
- Utilisez ces priorités d’accès :
- Accédez directement à la ressource, à l’aide de l’accès conditionnel pour la protection.
- Publiez l’accès à la ressource à l’aide du proxy d’application Microsoft Entra, en utilisant l’accès conditionnel pour la protection.
- Utilisez un VPN basé sur l’accès conditionnel pour accéder à la ressource. Limitez l’accès au niveau de l’application ou du nom DNS.
Supposer une violation
- Infrastructure réseau de segment.
- Réduisez l’utilisation de l’infrastructure à clé publique (PKI) d’entreprise.
- Migrez l’authentification unique (SSO) de AD FS vers la synchronisation de hachage du mot de passe (PHS).
- Réduisez les dépendances sur les contrôleurs de domaine à l’aide du KDC Kerberos dans Microsoft Entra ID.
- Déplacez le plan de gestion vers le cloud. Gérez des appareils à l’aide de Microsoft Endpoint Manager.
Voici des principes et des pratiques recommandées énoncés plus en détail pour l’accès conditionnel :
- Appliquez les principes de la Confiance Zéro à l’accès conditionnel.
- Utilisez le mode rapport seul avant de placer une stratégie en production.
- Testez les scénarios positifs et négatifs.
- Utilisez le contrôle de modification et de révision sur les stratégies d’accès conditionnel.
- Automatisez la gestion des stratégies d’accès conditionnel à l’aide d’outils comme Azure DevOps, Azure GitHub ou Azure Logic Apps.
- Utilisez le mode Blocage pour un accès général, uniquement si et où vous le souhaitez.
- Assurez-vous que toutes les applications et que votre plateforme sont protégées. L’accès conditionnel n’a pas d’option « Refuser tout » implicite
- Protégez les utilisateurs privilégiés dans tous les systèmes de contrôle d’accès en fonction du rôle (RBAC) Microsoft 365.
- Exigez la modification du mot de passe et l’authentification multifacteur pour les utilisateurs et les connexions à haut risque (mises en œuvre par la fréquence de connexion).
- Limitez l’accès à partir d’appareils à haut risque. Utilisez une stratégie de conformité Intune avec une vérification de la conformité dans l’accès conditionnel.
- Protéger les systèmes avec privilèges, comme l’accès aux portails administrateur pour Office 365, Azure, AWS et Google Cloud.
- Empêchez les sessions de navigateur persistantes pour les administrateurs et sur les appareils non approuvés.
- Bloquez l’authentification héritée.
- Limitez l’accès à partir de plateformes d’appareils inconnues ou non prises en charge.
- Exigez un appareil conforme pour l’accès aux ressources, le cas échéant.
- Limitez l’inscription renforcée des informations d’identification.
- Envisagez l’utilisation de la stratégie de session par défaut qui permet aux sessions de continuer en cas de panne, si avant-celle-ci, les conditions appropriées ont été satisfaites.
Dépendances de conception et technologies associées
Le diagramme suivant illustre les dépendances et les technologies associées. Certaines de ces technologies sont des conditions préalables à l’accès conditionnel. D’autres dépendent de l’accès conditionnel. La conception décrite dans ce document s’intéresse principalement à l’accès conditionnel et non aux technologies associées.
Conseils relatifs à l’accès conditionnel
Pour plus d’informations consultezConception de l’accès conditionnel basée sur la Confiance Zéro et les utilisateurs.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Claus Jespersen | Principal Consultant ID&Sec
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.