Active Directory (AD) est la principale source d'informations sur les identités pour de nombreuses organisations. En tant que tel, AD est également devenu une cible majeure pour les acteurs malveillants. Si les attaquants ont accès à AD, ils ont accès à toutes les ressources de l'organisation. Dans un scénario hybride sur site/cloud, ce qui est courant aujourd'hui, cela inclut l'accès aux ressources cloud de l'organisation. Pourtant, bon nombre des recommandations initiales d'AD en matière de sécurité et d'architecture ne sont pas adaptées aux besoins de l'entreprise moderne. Il est clair que la modernisation d'AD est essentielle à une bonne posture de sécurité.
Modernisation d'AD contre les idées fausses, les configurations erronées
Lorsque AD a été introduit pour la première fois il y a plus de vingt ans, la conception des domaines AD était fortement influencée par les limitations de la bande passante et les problèmes de réplication. Ces contraintes, combinées aux limites d'objets et aux défis de migration des anciens domaines Windows NT 4, ont conduit à l'adoption de domaines multiples au sein d'une forêt.
À l'époque, une fausse idée très répandue en matière de sécurité était qu'un domaine devait constituer la frontière de sécurité pour les unités indépendantes au sein de l'organisation. Au début de ma carrière, par exemple, j'ai travaillé pour une institution financière qui adhérait à ces meilleures pratiques et possédait plus d'une douzaine de domaines AD dans sa forêt principale.
Cette fausse idée s'accompagne d'un faux sentiment de sécurité, car tout domaine compromis dans ce scénario conduirait à un environnement entièrement compromis.
Avance rapide de 20 ans. Nous savons aujourd'hui que les domaines ne constituent pas une frontière de sécurité. En fait, les domaines multiples posent des problèmes de gestion qui, à leur tour, présentent des risques inutiles pour la sécurité.
Modernisation d'AD par rapport à la dette technique accumulée
La gestion d'environnements à forêts multiples constitue un autre risque majeur pour la sécurité. De nombreuses organisations ont accumulé de tels environnements au fil des ans, souvent à la suite de fusions et d'acquisitions.
Comme pour de nombreux systèmes, il est courant d'accumuler une dette technique. Mais la sensibilité d'AD rend le risque de sécurité associé beaucoup plus élevé.
Les environnements multiforêts posent de multiples problèmes de gestion et de sécurité aux équipes informatiques et de gestion des identités. Prenons l'exemple de la confiance établie entre plusieurs forêts : si la forêt la moins sécurisée est violée, elle peut servir de tête de pont à des environnements plus sensibles.
Une résolution plus sûre : Consolidation AD
La plus grande amélioration de la sécurité peut être obtenue en regroupant autant de forêts que possible en une seule. Non seulement cette consolidation a un impact positif sur la posture de sécurité de l'organisation, mais elle réduit aussi souvent les coûts totaux de gestion en éliminant l'environnement plus complexe et distribué de plusieurs forêts.
Bien entendu, une telle consolidation nécessite une planification minutieuse, prenant en compte l'impact sur les applications, les principes de sécurité, etc. Les organisations doivent également tenir compte de la sensibilité des différents environnements. La meilleure pratique consiste à séparer les environnements en fonction de leur niveau de sensibilité. Par exemple, séparez votre environnement de développement/test de la production.
Les environnements de forêts AD modernes devraient également regrouper les domaines en unités d'organisation (OU) si une gestion indépendante est nécessaire, ou en groupes s'il n'y a pas besoin d'unités indépendantes. Cette configuration permet à l'organisation de réduire le nombre de domaines à gérer.
Une fois les environnements consolidés, l'entreprise peut utiliser un seul endroit pour appliquer ses politiques de sécurité via les objets de stratégie de groupe (GPO) de Microsoft, Intune, System Center Configuration Manager (SCCM) ou d'autres moyens. Vous pouvez également consolider la gestion des autorisations et tous les autres aspects d'un environnement d'identité correctement sécurisé.
Où commencer la migration vers Secure AD ?
Alors que vous abordez la tâche critique de la modernisation d'AD, gardez la sécurité à l'esprit. Votre objectif est de disposer d'un environnement plus sûr et plus facile à gérer. Mais vous devez également vous assurer que le processus de migration lui-même est sécurisé. La migration est un moment délicat : il est essentiel d'éviter les risques pour la sécurité.
Commencez par analyser et évaluer la maturité de la sécurité des environnements que vous envisagez de combiner. Poursuivez ce processus dans le cadre de votre plan de migration afin de ne pas introduire de nouvelles faiblesses dans la posture de sécurité lors de la migration vers de nouveaux domaines.
Vous pouvez utiliser des outils gratuits d'évaluation de la sécurité AD tels que Purple Knight et Forest Druid pour ces évaluations initiales. Si votre environnement nécessite une attention plus soutenue, envisagez de faire appel à une équipe de cybersécurité externe pour obtenir de l'aide.
Accordez également une attention particulière à vos outils de migration, en particulier dans les environnements de grande taille. Privilégiez les outils faciles à utiliser : la complexité crée des risques potentiels pour la sécurité. Recherchez des outils qui empêchent toute exposition supplémentaire au sein de vos systèmes d'identité (par exemple, les bases de données sensibles), qui peuvent faire l'objet d'abus. Un outil simple et sûr comme Semperis Migrator for AD répond à ces exigences.
En savoir plus sur la sécurité et la migration AD
Pour en savoir plus sur les outils de sécurité et de migration AD mentionnés précédemment, consultez les liens suivants :