Risque de sécurité lié à la prolifération des identités. Alors que les entreprises utilisent de plus en plus de nouvelles technologies telles que le cloud, le big data, le DevOps, les conteneurs ou les microservices, cette complexité croissante pose également de nouveaux défis pour la gestion des identités et des accès.
Avec ces technologies émergentes, les charges de travail et les volumes de données augmentent et résident de plus en plus dans le cloud. En conséquence, le nombre d'identités humaines et de machines augmente de façon exponentielle. Par conséquent, pour contenir ces nouvelles surfaces d'attaque, il devient impératif de centraliser les identités fragmentées dans une infrastructure d'entreprise hybride et d'appliquer un modèle de sécurité cohérent pour l'accès privilégié.
Étalement de l'identité : les dangers de l'étalement de l'identité
Avec la prolifération des identités, l'identité d'un utilisateur est gérée par plusieurs systèmes ou répertoires cloisonnés qui ne sont pas synchronisés les uns avec les autres, ce qui entraîne plusieurs identités pour chaque utilisateur et des vecteurs d'attaque potentiellement vulnérables. Cette situation survient souvent lorsqu'une application ou un système n'est pas ou ne peut pas être intégré au service d'annuaire central de l'entreprise. Cela nécessite de maintenir un autre ensemble d'identités d'utilisateurs pour prendre en charge l'accès à cette application ou à ce système. Cela entraîne une augmentation des efforts administratifs et des coûts associés et peut rendre beaucoup plus difficile l'application de directives uniformes de sécurité et de conformité. La prolifération des identités pose également le risque que les utilisateurs réutilisent leurs mots de passe dans les services, laissant les organisations vulnérables à l'espionnage des informations d'identification.
Comptes d'utilisateurs privilégiés en ligne de mire
Les comptes d'utilisateurs privilégiés avec des autorisations étendues sont particulièrement dans le collimateur des attaquants. En effet, ces comptes fournissent la clé des données précieuses et des ressources de l'entreprise, permettant aux cybercriminels d'opérer sous le couvert d'un utilisateur de confiance et de passer inaperçus pendant des mois d'affilée. Cependant, limiter le nombre de ces comptes privilégiés dans une organisation peut également réduire la surface d'attaque et réduire le risque d'abus par des initiés malveillants ou des acteurs de menaces externes.
Répondre aux besoins des équipes d'infrastructure et de sécurité d'aujourd'hui nécessite une approche globale de la gestion des accès privilégiés qui se concentre sur la consolidation des identités et est basée sur les principes Zero Trust. Voici cinq bonnes pratiques que les entreprises peuvent utiliser pour mettre en œuvre une solide stratégie de consolidation des identités et d'élévation des privilèges.
Cinq meilleures pratiques pour la consolidation des identités et l'élévation des privilèges
1. Centralisation de toutes les identités dans un répertoire d'identités comme source unique de vérité
La solution de Privilege Access Management (PAM) choisie doit offrir la plus grande flexibilité possible quant à l'annuaire des identités utilisé dans l'entreprise. Cela signifie que peu importe le répertoire d'identité (par exemple, Active Directory, Okta, Ping, etc.) utilisé par une organisation. Par exemple, la technologie devrait pouvoir connecter les systèmes UNIX et Linux à Active Directory à l'aide du pontage AD, mais également offrir des capacités de consolidation pour les environnements IaaS dans le cadre de la transformation cloud. Les solutions PAM modernes avec une capacité de courtage multi-annuaire permettent d'authentifier les utilisateurs par rapport à n'importe quel annuaire d'utilisateurs, de centraliser la gestion des identités et de minimiser la prolifération des identités.
2. Liez tous les privilèges aux identités dans le répertoire préféré
Lier tous les pouvoirs, autorisations et privilèges aux identités dans le répertoire préféré d'une organisation réduit non seulement les frais généraux administratifs, mais simplifie également l'application de politiques de sécurité et de conformité cohérentes. Car contrairement à l'utilisation de comptes partagés, la responsabilité individuelle est liée à l'identité respective.
3. Accès fédéré aux ressources du répertoire préféré
Avec un accès fédéré aux ressources (telles que les serveurs, les bases de données ou les charges de travail cloud), les employés peuvent simplement se connecter en tant qu'eux-mêmes et toujours recevoir les autorisations appropriées. Cela garantit des flux de travail efficaces et favorise la productivité des employés.
4. Contrôles granulaires pour un accès juste suffisant et limité dans le temps
Özkan Topal, directeur des ventes chez Thycotic Centrify
En raison de leur niveau élevé de privilèges d'accès, les comptes privilégiés constituent une menace sérieuse pour les organisations s'ils tombent entre les mains d'un attaquant. Par conséquent, une approche de moindre privilège doit être suivie en conjonction avec une élévation des privilèges pour appliquer des contrôles d'accès granulaires. L'élévation des privilèges signifie accorder temporairement à l'utilisateur des rôles et des privilèges supplémentaires pour effectuer une tâche qui correspond à sa fonction, avec juste assez de privilèges pour le temps exact nécessaire pour accomplir le travail. Par exemple, il peut être légitime d'autoriser un administrateur Web à accéder à des systèmes exécutant des serveurs Web et des outils de gestion associés. Cependant, la connexion aux machines qui traitent les transactions par carte de crédit n'est pas légitime et reste bloquée.
5. Aucune autorisation permanente après la fin d'une tâche
Les entreprises doivent s'assurer que les identités n'ont pas d'autorisations permanentes (zéro privilège permanent), mais que les privilèges sont toujours augmentés juste à temps afin de remplir les tâches respectives dans un délai limité. Par exemple, un employé ne peut accéder à un serveur spécifique que pendant les heures de bureau ou pour une heure précise. Une fois la session terminée, les droits d'accès sont révoqués (bien qu'une solution PAM moderne devrait également pouvoir facilement accorder à nouveau l'accès si nécessaire). Cela ferme également la fenêtre d'opportunité pour les attaquants potentiels si un compte d'utilisateur était compromis.
En raison de la complexité croissante des infrastructures des entreprises, des contrôles complets sont aujourd'hui nécessaires pour savoir qui a accès aux ressources et données sensibles, dans quelle mesure et pour combien de temps. La consolidation des identités et l'élévation des privilèges assurent la centralisation des identités ainsi qu'une gouvernance et un contrôle granulaires des autorisations. Cela réduit la prolifération des identités et les risques de sécurité associés, réduit la charge de travail administratif et augmente la productivité des employés. Avec cette approche, les organisations peuvent s'assurer que seules les personnes, les machines ou les services autorisés accèdent aux bonnes ressources au bon moment et pour les bonnes raisons.
Plus sur Centrify.com
À propos de Thycotic Centrify ThycoticCentrify est l'un des principaux fournisseurs de solutions de sécurité des identités dans le cloud qui permettent la transformation numérique à grande échelle. Les solutions de gestion des accès privilégiés (PAM) de ThycoticCentrify, leaders du secteur, réduisent les risques, la complexité et les coûts tout en protégeant les données, les appareils et le code de l'entreprise dans les environnements cloud, sur site et hybrides. ThycoticCentrify bénéficie de la confiance de plus de 14.000 100 entreprises leaders dans le monde, dont plus de la moitié du Fortune XNUMX. Les clients comprennent les plus grandes institutions financières, agences de renseignement et sociétés d'infrastructures critiques du monde. Qu'il soit humain ou machine, dans le cloud ou sur site - avec ThycoticCentrify, l'accès privilégié est sécurisé.