olly - stock.adobe.com
Ce qu’il faut savoir avant de passer à l’IAM en mode Cloud
Les services de gestion des identités et des accès en mode Cloud gagnent en popularité auprès des entreprises. Mais l’implémentation n’est pas forcément triviale. L’expert Matthew Pascussi détaille ce qu’il convient de savoir avant de se lancer.
La gestion des identités est un sujet complexe. Mais il s’étend au Cloud et ouvre de nouvelles perspectives de fédération et d’utilisation de services d’identité jusque-là inaccessibles.
En adoptant les services de sécurité en mode cloud, ou la sécurité en mode service (SECaaS), les entreprises peuvent rationaliser et profiter de services plus souples qu’il aurait été autrement plus difficile d’exploiter en local, ou pour lesquels les ressources humaines nécessaires auraient fait défaut.
L'une des applications SECaaS les plus populaires est la gestion des identités et des accès (IAM). Ce service peut être entièrement déporté sur une plate-forme cloud ou il peut fonctionner de manière combinée avec des systèmes internes, suivant un modèle hybride.
La gestion des identités – la capacité à créer, modifier et supprimer une identité – et celle des accès – l'autorisation d’une identité limitée aux ressources appropriées – sont indispensables dans les environnements actuels. Pouvoir définir des rôles disposant de l'accès approprié aux ressources, tout en gardant la sécurité à l'esprit, est de la plus haute importance pour une organisation utilisant des services Cloud.
L’adoption de l’IAM en mode Cloud progresse, et il est probable que de nombreuses nouvelles organisations y passeront à l'avenir, lorsqu’elles n’ont pas déjà commencé.
Avant de passer à l’IAM en mode Cloud
Il y a quelques éléments à prendre en compte lors de la prise de décision concernant le service d’IAM à mettre en œuvre.
Avant même de commencer à discuter d’IAM en mode Cloud, il convient de comprendre comment le système provisionne et déprovisionne les comptes d'utilisateurs. Dans un service Cloud, cela signifie également qu'une organisation doit avoir une manière sécurisée de tenir à jour les services d'annuaire à partir desquels les utilisateurs seront gérés.
Tout le cycle de vie de la gestion des comptes d'utilisateurs impliquera désormais le cloud et déterminera si l'identité en question recevra l'accès demandé. Ces systèmes d’IAM en mode cloud seront également responsables du provisionnement d'une politique à laquelle les comptes seront soumis lors de la tentative d'accès à une ressource. Ce qui se faisait normalement en interne sera construit dans le Cloud, et le même niveau de sécurité du répertoire doit être maintenu.
Les comptes d'utilisateurs doivent vivre dans un répertoire et l'emplacement de ce répertoire est très important. Souvent, on observe une combinaison, ou une implémentation hybride, de services, où un répertoire LDAP est utilisé pour stocker les identités uniques, mais l’authentification est déléguée à un service en mode Cloud. Mais ces référentiels d'utilisateurs peuvent également être déplacés dans le Cloud. Un bon service d’IAM offre des options pour inclure l'authentification à facteurs multiples dans la procédure d'authentification des comptes d'utilisateurs.
En ce qui concerne l'authentification dans une perspective d’IAM en mode cloud, il est fortement recommandé d'utiliser l'authentification à deux facteurs, voire d’ajuster selon les services les exigences d’authentification en fonction du risque.
Les politiques d’IAM en mode Cloud
La création de politiques au sein d'un système de gestion des identités et des accès pour autoriser un compte ou un service est le point central de l’IAM. Un point de décision de politique (PDP) sera utilisé pour créer ces règles et pour déterminer si une entité ou une identité est autorisée à satisfaire la demande d’un utilisateur précis.
Normalement, un point d'application de la politique (PEP) servira de passerelle pour ces demandes et enverra les attributs au PDP pour déterminer les autorisations appropriées sont bien là pour satisfaire la demande. Le logiciel PEP peut être un agent dans un serveur Web ou intégré directement à l’annuaire LDAP. Le point principal à comprendre est que le PEP applique la politique que le PDP a définie. Ces politiques sont appliquées en fonction de règles sur lesquelles le PEP a été configuré pour intervenir.
Le reporting joue toujours un rôle important dans l’IAM, que l’implémentation soit faite en local ou en mode Cloud. Les rapports sur les échecs d'accès, l'audit des comptes d'utilisateurs et l'évaluation de la façon dont les comptes sont provisionnés et déprovisionnés doivent être examinés lors de la mise en œuvre. La compréhension de tous les changements et modifications apportés aux comptes des utilisateurs et s'il y a un accès inhabituel aidera à résoudre les problèmes opérationnels. De plus, il est obligatoire dans n'importe quelle industrie réglementée de montrer que la journalisation et les rapports sont activés et traités comme il se doit.
Lors de la recherche d'un service d’IAM en mode Cloud, il est judicieux de se pencher sur la manière dont le service doit être mis en œuvre, en termes d’architecture, et de valider que le fournisseur utilise des protocoles standards. Il est aussi pertinent de privilégier des fournisseurs qui utilisent des protocoles tels que SAML (Security Assertion Markup Language), pour échanger des données d'authentification et d'autorisation ; SCIM (System for Cross-domain Identity Management), pour échanger les identités des utilisateurs entre les systèmes ; Et Open Authorization, ou OpenID, comme méthodes supplémentaires pour faciliter l'authentification et l'autorisation. Si un fournisseur n'utilise pas les protocoles les plus récents ou n'utilise pas de protocoles standardisés, c'est un signe pour aller chercher ailleurs.
Lorsque les systèmes suivent des standards comme les protocoles évoqués ci-dessus, cela permet de limiter la dépendance au fournisseur. Si un fournisseur ne permet pas d'utiliser des protocoles standards ou que le répertoire utilisateur est stocké dans Cloud, où les identités ne peuvent pas être migrées, le client se retrouvera captif de son fournisseur.