Te exponentielle l'augmentation exponentielle du travail à distance causé par par la crise du COVID-19 s'est ricochet sur le paysage dans le paysage informatique. En l'espace de quelques jours, les services informatiques des cinformatique d'entreprise a dû faire face à un nombre sans précédent de 180-de 180 degrés dans son modèle de mise en réseau des clients. Organisations qui considéraient le travail à distance comme une rare exception se sont soudain retrouvées presque entièrement à distance. Selon JPMorganselon JPMorgan, Zoom a augmenté de plus de 300 % par rapport à la période précédant la crise. Microsoft fait état d'une a Teams de 200 % depuis le 16 mars depuis le 16 marsmars.
Alors que les entreprises s'efforcent de s'adapter ce soudainement à distance travail à distance en à la hâte adopterl'adoption ou l'intensification de l'accès d'accès à distance d'accès à distance, les applications axées sur l'informatique dématérialisée et les stratégies de sécurité, vous ne devez pas oublier que ces stratégies dépendent de l'intégrité de vos systèmes d'identité sur site.
Différentes architecturesune identité source
De nombreuses entreprises dépendent d'une stratégie d'accès VPN pour l'accès à distance, dans laquelle utilisateurs sont authentifiés par a service d'annuaire - généralement, Active Directory - et sont autorisés à pénétrer dans le réseau de l'entreprise. An tant que solution avec des problèmes d'évolutivité d'évolutivité et dépendance sur périmètre du réseau sécuritéVPN seuls ne sont pas la pour le travailleur pour le travailleur à distance moderne.
Un segment d'entreprises de plus en plus d'entreprises demande à ses utilisateurs de s'inscrire s'inscrivent à un service de gestion de l'identité et de l'accès service de gestion des identités et des accès basé sur le web (que l'on appelait auparavant IDaaS - identité en tant que service - pensez à Azure AD ou Okta) avec leurs identifiants d'entreprise d'accéder à des applications SaaS telles que Zoom ou Office 365 directement via l'internet. Cette méthode utilise a confiance zéro où l'identité de l'utilisateur - et non l'emplacement de son réseau - est la clé de l'accès. l'accès à l'application à l'application.
Certaines de ces entreprises vont plus loin en en étendant ce modèle dans leurs réseaux sur site. Elles déploient dispositifs qui créent un périmètre défini par logiciel entre les applications et les utilisateurs qui tentent d'y accéder. Ces dispositifs proxy (par exemple Azure AD Application Proxy ou Symantec Secure Access Cloud) accordent à l'utilisateur l'accès à la seule base de données publiée par le proxy l'application publiée par le proxy au lieu de l'accès au réseau étendu accordé par un VPN. Comme le trafic est acheminé par le service service IAM, la session peut avoir sophistiqués contrôles d'accès tels que l'intégrité l'intégrité, session sessionou le type d'application client utilisée.
Le bléLorsque vous vous connectez au réseau de l'entreprise avec un VPN ou signer dans a portail web pour accéder à SaaS ou sur site sur site, l'assurance d'il'assurance de l'identité est crucialel. VPNs s'appuient sur l'entreprise l'identité de l'entreprise l'identité de l'entreprised'entreprise. Moderne cloud IAM modernes reposent sur de nombreux facteurs tels que la santé de l'appareil, la localisation et les comportements pour contribuer au niveau d'assurance niveau d'assurance d'une identité. Mais le le noyaus de ces services massifs dans le nuage sont toujours basés sur l'utilisateur de l'utilisateur. Comme la plupart des utilisent un modèle d'identité hybride (projetl'identité leur sur place à l'identité Internet Internet), la source d'identité pour ces informations d'identification est la clé de voûte de l'ensemble de l'architecture architecture sophistiquée. En outre, les pour 90% des entreprises, cette source d'identité est Active Directory (AD).
Sécuriser la source
Nous avons établi l'importance de lace d'Active Directory dans votre architecture de sécurité. Comment garantir son l'intégrité et l'intégrité l'intégrité de ses données?
Minimiser surface d'attaque surface d'attaque
- Implemun modèle d'administration à moindreprivilège et se débarrasser de tous les administrateurs inutiles. et se débarrasser de tous les administrateurs inutiles. Cette vieux de 20 ans conseil est toujours d'actualité aujourd'hui.
- Verrouillage administrativerative l'accès administratif l'accès service AD en mettant en en mettant en œuvre d'une hiérarchisation administrative et d'une sécuriser postes de travail administratifs sécurisés.
- Sécuriser les contrôleurs de domaine Contrôleurs de domaine AD contre les attaques en appliquant stratégies et paramètres recommandés.
- Scanner AD régulièrement pour détecter les mauvaises configurations - accidentelles ou malveillantes - qui potentiellement exposer votre forêt à des abus ou à des attaques.
Contrôler AD pour détecter les signes de compromission et revenir en arrière nonthorisés. changements
- Activer à la fois l'audit de base et l'audit avancé. Vous ne pouvez pas savoir des changements de votre AD si vous n'avez pas activé les mécanismes pour enregistrer les modifications. Vous devez alors réellement regarder les événements clés via une console centralisée.
- Moniteur les changements d'objets et d'attributs d'objets et d'attributs au au niveau du répertoire. Le journal des événements de sécurité vous indiquera la plupart des modifications apportées à AD, mais pas toutes. Par exemple, le journal des événements de sécurité DCShadow contourne entièrement le journal des événements. Le seul moyen de s'assurer que vous êtes au courant de toute l'activité dans votre système FORÊT est de surveiller est de surveiller les modifications de l'annuaire partagées par les contrôleurs de domaine.
Prévoir le moment où le compromis se produira - parce qu'il se produira
- Il est important de surveiller les changements AD indésirables. Mais vous devez également être en mesure d'annuler rapidement ces modifications indésirables, faute de quoi vous ne disposerez que d'une solution partielle.
- Préparere à un compromis-compromis à grande échellee. We chiffrement généralisé de votre réseau. réseau, y compris AD, exige que vous disposiez une stratégie de reprise solide et stratégie de récupération qui inclut des sauvegardes hors ligne pour tous les composants de l'infrastructure.
Bien que vous pouvez mettre en œuvre un système de zéro confiance de différentes manières, son principe de bases sont fondés sur la confiance de l l'identité l'identité. Que vous accédez à votre réseau par l'intermédiaire d'un VPN ou signer dans an portail web d'un service d'identité, il chances que votre votre identité dépend d'Active Directory. C'est pourquoi, garantir l'intégrité d Active Directory est un élément fondamental pour la sécurité de votre entreprise.