L’ampleur et surtout la diversification des services et ressources Cloud utilisées par chaque entreprise impose de revoir leur modèle de gouvernance, pour qu’on puisse avoir une vision cohérente et unifiée de point de vue management, sécurité, opérationnel ou financier. Comment résoudre ces points ? Focus sur Azure Active Directory et les services adjacents Azure, de la part de Microsoft, pour vous proposer une solution intégrée à ces problématiques actuelles.
Azure Integration Services : les concepts de BizTalk dans le cloud (ARC303)
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directory v1.0
1. Gouvernance et sécurisation de vos ressources Cloud avec
Azure Active Directory
Marius Zaharia
30 Novembre 2016
2. 3 Identité : sécurité et gouvernance
2 Identité : principes et historique
5 Focus : Azure Active Directory
1 Introduction
6 Démo
7 Azure AD : 7 bonnes règles de sécurité et gouvernance
4 Solutions IAM dans le Cloud public
3. Cellenza : des experts reconnus
dans le Cloud, DevOps, Intégration, …
10
Azure
C#
ALM
SQL Server
Windows Client
1 4
Des publications :
• Livres blancs (Cell’Insights)
• http://www.cellenza.com/cellinsights
• Articles dans Programmez!
• Blog Cellenza
• http://blog.cellenza.com
• Organisation de TechEvent
• Speakers lors de conférences Microsoft
• TechDays, Azure Camp, …
4. Marius Zaharia
Architecte Cloud Senior
Efficient
& Visionary
“Manage
Teams Architectures
Understand
ComplexInternational
+ Mon expérience
+ Mon expertise
IDÉATION CONCEPTION WIREFRAMES
Marius apporte aux clients son expertise et expérience dans l’analyse, conception et
développement d’applications complexes d’entreprise et d’intégration applicative et
d’infrastructure basées principalement sur des technologies Microsoft.
Son profile lui permet d’aborder les architectures Cloud Computing, SOA, hybridation et
urbanisation des SI dans des missions polyvalentes solution/développement et IT pro.
Marius travaille également dans les activités de Business Development et avant-vente de
Cellenza, étant P-SELLER Azure (en partenariat avec Microsoft).
Dans le monde communautaire, Marius est impliqué dans l’organisation d’AZUG FR –
Azure User Group France et des conférences comme Global Azure Bootcamp, MS Cloud
Summit, des meetups réguliers avec la communauté Azure etc.
DevOps
P-SELLER
Azure
6. IAM : aujourd’hui (ou hier)
IAM (Identity and Access Management) :
“Set of business processes, and a supporting infrastructure
for the creation, maintenance, and use of digital identities”
Services et produits de référence
Composants fonctionnels :
Identity life cycle management
Creation
Utilization
Termination
Access management
Single Sign-On
Trust and Federation
User Entitlements
Auditing
Directory services
Infrastructure
Entitlements
Security policies
7. Identité digitale
Anatomie d’une identité digitale
Identificateur
Credentials
Attributs / claims
Principaux
Spécifiques au contexte
Contextes d’identité
B2E (business to employees)
B2C (business to consumers)
B2B (business to business)
Standards et protocoles
LDAP, Kerberos, NTLM : intra-entreprise
Claims-based auth : niveau supérieur d’abstraction
SAML 2.0 : fédération d’identité (basé sur claims)
OpenID Connect : standard ouvert d’authentification et autorisation
OAuth 2.0 : standard ouvert d’autorisation*
9. Identité : sécurité et gouvernance (1)
Aspects à considérer par rapport à la sécurité et gouvernance de
l’identité :
Authentification unique
Des ressources Cloud: portail, stockage, machines, réseaux virtuels, ...
Des applications
SaaS
Métier / entreprise
Publiques
Protection via l'authentification multi-facteur (MFA)
Via différents moyens : appel téléphonique, SMS, application mobile, …
Gestion autonome
Reset (automatique) des mots de passe, la gestion autonome des profiles,
des membres de groupes, …
10. Identité : sécurité et gouvernance (2)
Aspects à considérer par rapport à la sécurité et gouvernance de
l’identité :
Protection contre les attaques en masse (DoS)
Contrôle et audit des accès
Audits individuels
Rapports statistiques
Détection intelligente et préemptive
Rapports des accès suspects
Détection de l'action "avant" qu’elle se passe
12. Ce que Gartner dit
Gartner MQ on Identity
En grande partie des éditeurs
dédiés
Où sont les grands Cloud publics ?
Amazon AWS
Microsoft Azure
Google Cloud Engine
Solution Microsoft :
Azure Active Directory
13. Azure Active Direcotry
Azure Active Directory (Azure AD) est le service Microsoft de gestion
des annuaires et des identités basé sur le cloud mutualisé
Azure AD propose des fonctionnalités d’identité et d’accès pour les
applications qui s’exécutent dans Azure et localement
Azure Active Directory est la solution d’identité pour :
Les ressources Cloud Microsoft : Azure, Office 365, Dynamics CRM, Intune, …
Des applications SaaS tierces (pré-intégrées ou pas)
Les applications d’entreprise, hébergées dans le Cloud ou sur site
Des applications publique consommateur
On peut créer et gérer un ou plusieurs annuaires (tenants) qu’on
utilisera en fonction du contexte et besoin
15. Azure AD - Architecture
Cloud uniquement, ou
Hybride (synchronisation avec AD DS)
Support des applications :
Ressources Azure, Cloud Microsoft,
applications Microsoft : natif
Applications SaaS : natif pour 2500+
applications
Applications autres : développement
selon protocoles standard
Legacy / sur site : via Application Proxy
16. Azure AD – plans et fonctionnalités (1)
Plans:
Gratuit
Basic
Premium P1 et P2
Fonctionnalités
Communes
Basic + Premium
17. Azure AD – plans et fonctionnalités (2)
Plans:
Gratuit
Basic
Premium P1 et P2
Fonctionnalités
Premium
18. Azure AD B2C, Azure AD B2B Collaboration
Azure AD B2C (preview*):
Applications consommateurs
Identités réseaux sociaux
Identité propre interne
Self-service : sign-in, sign-up,
édition profile
Azure AD B2B (preview)
Collaboration / intégration avec
d’autres entreprises via
programme d’invitation
Azure Active Directory B2C
21. 7 bonnes règles de sécurité et gouvernance (1)
1. Centralisation de la gestion de votre identité
Identité sur site et cloud gérées en un seul endroit : Azure AD
Pour mettre en œuvre le scénario d’identité hybride :
Synchronisation de votre annuaire local avec votre annuaire de cloud à l’aide d’Azure
AD Connect
Fédération de votre identité en local avec votre annuaire de cloud à l’aide des
Services ADFS
2. Activation de l’authentification unique (SSO)
Permet aux utilisateurs d’accéder à leurs applications SaaS avec leur compte
professionnel dans Azure AD.
Ceci s’applique non seulement aux applications SaaS de Microsoft, mais
également à d’autres applications, telles que Google Apps et Salesforce.
22. 7 bonnes règles de sécurité et gouvernance (2)
3. Déploiement de la gestion des mots de passe
Tirer parti de la fonctionnalité de réinitialisation de mot de passe en libre-service
personnaliser les options de sécurité pour répondre aux besoins de votre
entreprise
4. Authentification multifacteur (MFA) pour les utilisateurs
Ainsi vous ajoutez une deuxième couche de sécurité aux connexions et
transactions des utilisateurs.
5. Utilisation du contrôle d’accès en fonction du rôle (RBAC)
Tirer parti des rôles RBAC intégrés dans Azure pour affecter des privilèges aux
utilisateurs
23. 7 bonnes règles de sécurité et gouvernance (3)
6. Identité pour les applications SaaS : développements intégrés
Azure AD simplifie l’authentification pour les développeurs
Prise en charge des protocoles standard tels que OAuth 2.0 et OpenID Connect
Bibliothèques open source pour différentes plateformes.
7. Surveillance active des activités suspectes
Utiliser les rapports d’anomalies pour identifier :
les tentatives de connexion sans être suivi,
les attaques en force brute contre un compte particulier,
les tentatives de connexion depuis plusieurs emplacements,
la connexion à partir d’appareils infectés et d’adresses IP suspectes
Azure AD Identity Protection est un système de surveillance actif qui signale les
risques en cours sur son propre tableau de bord