Gouvernance et sécurisation de vos ressources Cloud avec Azure Active DirectoryMarius Zaharia30 Novembre 2016

3 Identité : sécurité et gouvernance

2 : ::::::::: :: :::::::::::

5 : ::::: :::::: ::::::::::

1 ::::::::::::

6 ::::

7::::: :: : 7 :::::: :::::: :: :::::::: :: :::::::::::

4 ::::::::: ::: :::: :: ::::: ::::::

Cellenza : des experts reconnus dans le Cloud, DevOps, Intégration, …

10 AzureC#ALMSQL ServerWindows Client

1 4

Des publications :• Livres blancs (Cell’Insights)

• http://www.cellenza.com/cellinsights• Articles dans Programmez!• Blog Cellenza

• http://blog.cellenza.com• Organisation de TechEvent• Speakers lors de conférences Microsoft

• TechDays, Azure Camp, …

Marius ZahariaArchitecte Cloud Senior

Efficient& Visionary“Manag

eTeams Architectures

UnderstandComple

xInternational

+ Mon expérience+ Mon expertise

IDÉATION CONCEPTION WIREFRAMES

Marius apporte aux clients son expertise et expérience dans l’analyse, conception et développement d’applications complexes d’entreprise et d’intégration applicative et d’infrastructure basées principalement sur des technologies Microsoft. Son profile lui permet d’aborder les architectures Cloud Computing, SOA, hybridation et urbanisation des SI dans des missions polyvalentes solution/développement et IT pro.

Marius travaille également dans les activités de Business Development et avant-vente de Cellenza, étant P-SELLER Azure (en partenariat avec Microsoft).

Dans le monde communautaire, Marius est impliqué dans l’organisation d’AZUG FR – Azure User Group France et des conférences comme Global Azure Bootcamp, MS Cloud Summit, des meetups réguliers avec la communauté Azure etc. 

DevOps

P-SELLERAzure

Identité : principes et historique

IAM : aujourd’hui (ou hier) IAM (Identity and Access Management) : “Set of business processes, and a supporting infrastructure for the creation, maintenance, and use of digital identities” Services et produits de référence

Composants fonctionnels : Identity life cycle management

Creation Utilization Termination

Access management Single Sign-On Trust and Federation User Entitlements Auditing

Directory services Infrastructure Entitlements Security policies

Identité digitale Anatomie d’une identité digitale

Identificateur Credentials Attributs / claims

Principaux Spécifiques au contexte

Contextes d’identité B2E (business to employees) B2C (business to consumers) B2B (business to business)

Standards et protocoles LDAP, Kerberos, NTLM : intra-entreprise Claims-based auth : niveau supérieur d’abstraction SAML 2.0 : fédération d’identité (basé sur claims) OpenID Connect : standard ouvert d’authentification et autorisation OAuth 2.0 : standard ouvert d’autorisation*

Identité : sécurité et gouvernance

Identité : sécurité et gouvernance (1)Aspects à considérer par rapport à la sécurité et gouvernance de l’identité : Authentification unique

Des ressources Cloud: portail, stockage, machines, réseaux virtuels, ... Des applications

SaaS Métier / entreprise Publiques

Protection via l'authentification multi-facteur (MFA) Via différents moyens : appel téléphonique, SMS, application mobile, …

Gestion autonome Reset (automatique) des mots de passe, la gestion autonome des

profiles, des membres de groupes, …

Identité : sécurité et gouvernance (2)Aspects à considérer par rapport à la sécurité et gouvernance de l’identité : Protection contre les attaques en masse (DoS) Contrôle et audit des accès

Audits individuels Rapports statistiques

Détection intelligente et préemptive Rapports des accès suspects Détection de l'action "avant" qu’elle se passe

Solutions IAM dans le Cloud public

Ce que Gartner dit Gartner MQ on Identity En grande partie des éditeurs

dédiés Où sont les grands Cloud publics ?

Amazon AWS Microsoft Azure Google Cloud Engine

Solution Microsoft :Azure Active Directory

Azure Active Direcotry Azure Active Directory (Azure AD) est le service Microsoft

de gestion des annuaires et des identités basé sur le cloud mutualisé

Azure AD propose des fonctionnalités d’identité et d’accès pour les applications qui s’exécutent dans Azure et localement

Azure Active Directory est la solution d’identité pour : Les ressources Cloud Microsoft : Azure, Office 365, Dynamics

CRM, Intune, … Des applications SaaS tierces (pré-intégrées ou pas) Les applications d’entreprise, hébergées dans le Cloud ou sur site Des applications publique consommateur

On peut créer et gérer un ou plusieurs annuaires (tenants) qu’on utilisera en fonction du contexte et besoin

Focus : Azure Active Directory

Azure AD - Architecture Cloud uniquement, ou Hybride (synchronisation avec AD

DS)

Support des applications : Ressources Azure, Cloud Microsoft,

applications Microsoft : natif Applications SaaS : natif pour

2500+ applications Applications autres :

développement selon protocoles standard

Legacy / sur site : via Application Proxy

Azure AD – plans et fonctionnalités (1) Plans:

Gratuit Basic Premium P1 et P2

Fonctionnalités Communes Basic + Premium

Azure AD – plans et fonctionnalités (2) Plans:

Gratuit Basic Premium P1 et P2

Fonctionnalités Premium

Azure AD B2C, Azure AD B2B Collaboration

Azure AD B2C (preview*): Applications consommateurs Identités réseaux sociaux Identité propre interne Self-service : sign-in, sign-up,

édition profile

Azure AD B2B (preview) Collaboration / intégration

avec d’autres entreprises via programme d’invitation

Azure Active Directory B2C

Azure Active Directory DEMO

Azure Active Directory : 7 bonnes règles de sécurité et gouvernance

7 bonnes règles de sécurité et gouvernance (1)

1. Centralisation de la gestion de votre identité Identité sur site et cloud gérées en un seul endroit : Azure AD Pour mettre en œuvre le scénario d’identité hybride :

Synchronisation de votre annuaire local avec votre annuaire de cloud à l’aide d’Azure AD Connect

Fédération de votre identité en local avec votre annuaire de cloud à l’aide des Services ADFS

2. Activation de l’authentification unique (SSO) Permet aux utilisateurs d’accéder à leurs applications SaaS avec

leur compte professionnel dans Azure AD. Ceci s’applique non seulement aux applications SaaS de

Microsoft, mais également à d’autres applications, telles que Google Apps et Salesforce.

7 bonnes règles de sécurité et gouvernance (2)

3. Déploiement de la gestion des mots de passe Tirer parti de la fonctionnalité de réinitialisation de mot de passe en

libre-service personnaliser les options de sécurité pour répondre aux besoins de

votre entreprise4. Authentification multifacteur (MFA) pour les utilisateurs

Ainsi vous ajoutez une deuxième couche de sécurité aux connexions et transactions des utilisateurs.

5. Utilisation du contrôle d’accès en fonction du rôle (RBAC) Tirer parti des rôles RBAC intégrés dans Azure pour affecter des

privilèges aux utilisateurs

7 bonnes règles de sécurité et gouvernance (3)

6. Identité pour les applications SaaS : développements intégrés Azure AD simplifie l’authentification pour les développeurs Prise en charge des protocoles standard tels que OAuth 2.0 et OpenID

Connect Bibliothèques open source pour différentes plateformes.

7. Surveillance active des activités suspectes Utiliser les rapports d’anomalies pour identifier :

les tentatives de connexion sans être suivi, les attaques en force brute contre un compte particulier, les tentatives de connexion depuis plusieurs emplacements, la connexion à partir d’appareils infectés et d’adresses IP suspectes

Azure AD Identity Protection est un système de surveillance actif qui signale les risques en cours sur son propre tableau de bord

Questions ?

Merci !