SlideShare une entreprise Scribd logo

Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !

Identity Days, profile picture
Identity Days

Le document aborde la nécessité d'adopter une stratégie de sécurité basée sur le modèle 'zero trust' dans les environnements cloud hybrides, notamment avec Microsoft Azure, en réponse aux défis posés par la cybercriminalité croissante et la crise COVID-19. Il décrit les principes de base de 'zero trust', les meilleures pratiques à suivre et les outils disponibles, ainsi que l'importance de sécuriser les identités et les accès. Enfin, il encourage les entreprises à documenter leurs processus et à rester informées sur les politiques de sécurité modernes.

Technologie
1  sur  51
Télécharger pour lire hors ligne
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020
Pensez Zéro Trust pour sécuriser votre infrastructure Cloud hybride dans Azure ! 29 octobre 2020 Identity Days 2020 Jean-François Apréa | Seyfallah Tagrerout
Jean-François Apréa Responsable technique Microsoft SPIE ICS Microsoft MVP Cloud and Datacenter Management (14) Microsoft P-Seller | Microsoft Azure Specialist Auteur | Speaker jean-francois.aprea@spie.com • Zero Trust ? C’est maintenant ! • Identités et Contrôles des Accès au centre • Déployer sa stratégie Zero Trust avec Microsoft • Hybridation FIDO2 : Azure renforce votre AD AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020 Seyfallah Tagrerout Team Lead Cloud Architect AIM Services Microsoft MVP Azure (7)|Microsoft P-Seller Microsoft Azure Specialist | Auteur | Speaker sta@aim-services.ch ‘’In a changing world, an IT strategy to work together securely and remotely is required’’
29 octobre 2020 Identity Days 2020 Repensez votre sécurité avec SPIE ICS 29 octobre 2020 Identity Days 2020 3 200 COLLABORATEURS 45 % GRANDES ENTREPRISES 60 SITES EN FRANCE 430 INGENIEURS et EXPERTS 55 % ETI Cybersécurité Smart data & IoT Cloud & Services Opérés Environnement de travail digital Infrastructures Conseil & innovation Solutions 155 COLLABORATEURS 4 sites En suisse 100 INGENIEURS et EXPERTS Solutions Technology Solution Managed Services Business soluton Data intelligence Repensez votre sécurité avec AiM services Partenaire de l’année 2020 Suisse Technical innovation
Zero Trust Identity Days 2020 29 octobre 2020 Concepts, principes et conjuncture COVID
Identity Days 2020 29 octobre 2020 Utilisateurs, appareils, applications et données sont protégés derrière un pare-feu réseau Années 1990 A partir de 1995 Modèle traditionnel …
Identity Days 2020 29 octobre 2020 Evolution du Monde Numérique
Identity Days 2020 29 octobre 2020 Evolution du Monde Numérique depuis 10 ans Applications professionnelles mobiles utilisées quotidiennement par les utilisateurs 5.2 M Des entreprises utilisent le Cloud 94% des organisations ont actuellement un programme BYOD en place 60% De périphériques connectés sur Internet sur la planète 7B Mais en février 2020, les usages changent brutalement ‘’La crise du COVID accélère le changement et nous force à résoudre de nouveaux challenges’’
Identity Days 2020 29 octobre 2020 Le monde d’avant … et la réalité d’aujourd’hui Les utilisateurs sont des Employés + Matériels personnels + Explosion des Applications SaaS + Expansion des périmètres + Multitude de signaux disponibles Appareils gérés Applications Réseau de l’entreprise Journaux + Clients et Partenaires ‘’Aujourd’hui, le travail à distance se banalise et la cybercriminalité explose’’
Identity Days 2020 Zero Trust : Du commencement à la réalité … 2004 Concept de dé-perimétrisation au Jericho Forum 2010 Forrester dépose le terme “Zero Trust” 2009 Cyber-attaque Aurora 2014 Modèle de sécurité de Google ‘’BeyondCorp’’ Stratégie Zero Trust ‘’Zero Trust traite chaque tentative d'accès comme si elle provenait d'un réseau non approuvé’’
Identity Days 2020 Principes du modèle Zero Trust: ‘’Never trust, always verify’’ 29 octobre 2020 Vérification Explicite Privilèges Minimums Suppose une Violation • Identité de l’utilisateur • Emplacements réseaux • Etat de santé du périphérique • Classification des données • Anomalies • Accès JIT et JEA • Politiques de risques • Protection des données • Minimisation de l’étendue des failles • Limitation des mouvements latéraux • Segmentation des accès en fonction des réseaux • Vérification des sessions de bout en bout
Identity Days 2020 24 octobre 2020 Zero Trust : Un état d’esprit … pour une stratégie IT ! cybersecurity1 https://go.forrester.com/blogs/tech-titans-google-and-microsoft-are-transforming-cybersecurity/ 29 octobre 2020
Identity Days 2020 29 octobre 2020 Zero Trust : Un état d’esprit … pour une stratégie IT ! Expérience identique quelle que soit la Plateforme Intégration entre Identités, Périphériques, Apps et Données AI et Automation pour sécuriser les Accès Désormais, les standards Internet sont et font la sécurité
Identity Days 2020 24 octobre 2020 Zero Trust sur Microsoft Azure Aujourd’hui, les standards Internet sont et font la sécurité Source: Microsoft Digital Defense Report, September 2020 Diversité et volumétrie des signaux traités par mois (09-2020) en mode hyperscale
Zero Trust Identity Days 2020 29 octobre 2020 Au centre, Identités, Authentifications et Contrôles des accès
Identity Days 2020 29 octobre 2020 Repositionner l’Identité au centre de l’IT Cas 1 : J’ai de la chance mais pas mon IT ! Je peux faire du télétravail mais mon entreprise n’a pas de stratégie d'accès à distance sécurisée. Aujourd’hui, la cybercriminalité est au plus haut … ‘’La crise du COVID accélère le changement et nous force à protéger les Identités et les Accès’’ Cas 2 : Je n’ai plus aucun accès à mes ressources ! Je souhaite travailler à distance et collaborer avec mon équipe Cas 3 : C’est la panique ! Pas de stratégie cloud et aucun moyen de travailler à distance. Que faire ? Cas 4 : J’ai plus de chance car j’ai O365 ! Je souhaite permettre le télétravail et la collaboration à mes collaborateurs en toute sécurité Scénarios rencontrés depuis la crise du COVID-19
Identity Days 2020 24 octobre 2020 Azure Active Directory : L’Identité du Cloud hybride Fiabilité du service, sécurité et amélioration technique continue Oct. 2019 Entreprises Utilisent Azure AD +100K d’utilisateurs actifs en moyenne par mois +254M  Azure AD est le service Microsoft le + critique au niveau Worldwide  Opéré dans un ‘’monde dangereux’’ où le risque est au + haut  0,5% d'indisponibilité impacte +1 M d’utilisateurs
Identity Days 2020 24 octobre 2020 Attaques : 1ère vague COVID19 aux USA Source: Microsoft Digital Defense Report, September 2020
Identity Days 2020 29 octobre 2020 Attaques : Changements en 6 mois de COVID-19
Identity Days 2020 29 octobre 2020 Attaques : Explosion en 6 mois de COVID-19 Microsoft takes legal action against COVID-19-related cybercrime Google Blocks 18 Million COVID-19 Related Scam Emails Each Day
Identity Days 2020 29 octobre 2020 Attaques : Nouveaux ransomware ‘’très sophistiqués’’ Source: Microsoft Digital Defense Report, September 2020 Human-operated ransomware attacks: A preventable disaster
Identity Days 2020 29 octobre 2020 Zero Trust avec Azure AD
29 octobre 2020 Zero Trust : Accès conditionnels Conditional Access App ControlConditional Access App Control 6.5 Trillion Signals/Day Azure AD B2B Azure Active Directory
Comment déployer sa stratégie Zero Trust avec Microsoft ? Identity Days 2020 29 octobre 2020
Identity Days 2020 29 octobre 2020 Azure AD P1/P2 et Microsoft 365 Defender eXtended Detection and Response
Identity Days 2020 29 octobre 2020 Microsoft 365 Defender : Approche XDR Maximiser la détection à toutes les étapes de l’attaque User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Attaque Brute Force ou Utilisation d’identités volées User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Azure AD Identity Protection Cloud App Security MS Defender for Identity Identity protection & Conditional Access Identity protection Extends protection & conditional access to other cloud apps MS Defender for Endpoint Endpoint protection MS Defender for Office 365 Email protection
Identity Days 2020 29 octobre 2020 Microsoft 365 Defender : Protection des périmètres Identity Days 2020 Defender for Identity Defender for EndPoint Defender for Office 365 Office365 ATP
Identity Days 2020 29 octobre 2020 Zero Trust : Comment faire ? Identity Days 2020
Identity Days 2020 Strengthen your credentials1 Microsoft Secure Score Zero Trust : Etape par étape
Identity Days 2020 Strengthen your credentials1 Azure MFA Azure AD P1 Azure AD P2 • Sécurité • Fiabilité • Facilité • Evolution En 2019 moins de 10% d’activation de Azure MFA Zero Trust : Etape par étape
Identity Days 2020 Strengthen your credentials1 Password Protection Deployez Password Protection Smart lockout: • Compte cloud only • Comptes hybridés Déployez le PasswordLess ( si c’est possible ) – • Windows Hello • Fido 2 Security Keys • Microsoft Authenticator Zero Trust : Etape par étape
Identity Days 2020 Strengthen your credentials1 Break glass account 1- Création de deux comptes Break Glass: • Cloud only et PAS Sync • 1-B : configurer le password en Never Expire Set-MsolUser -UserPrincipalName breakglass@domain.onmicrosoft.com - PasswordNeverExpires $true 2- Droit Global admin + exclusion de toutes Conditional Access 3- Audit: • Audit renforcé sur ces deux comptes avec : • Azure Sentinel en création un playbook via Azure Log Analytics • Cloud App Security
Identity Days 2020 Strengthen your credentials1 Break glass account 3- Audit: • Audit renforcé sur ces deux comptes avec : • Azure Sentinel en création un playbook avec une règle Analytics SigninLogs | where UserPrincipalName == "ema1@fetads.onmicrosoft.com" | where Status.errorCode == 0 | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem Succès: Fail: SigninLogs | where UserPrincipalName == "BreakGlass@testseyf.onmicrosoft.com" | where Status.errorCode != '0' | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem
Identity Days 2020 Conditional AccessReduce your attack surface2 Zero Trust : Etape par étape
Identity Days 2020 Conditional Access Policy Scenario Le résultat attendu What if - test avant test réel Test réel - Le résultat Commentaire Policy1 Bloquer tous les accès aux applications depuis l’extérieur ( en dehors network xxx) Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Testé avec le What if – Ok Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Rien à signaler – Policy fonctionnelle Policy2 Autoriser l’accès a Exchange Online depuis les mobile Intune + MFA Mobile compliante : Accès avec MFA Mobile No compliante : Pas d’accès Testé avec le What if – NO Ok Mobile compliante : Accès avec MFA Mobile No compliante : Accés avec MFA Un souci sur la CA, il faut vérifier la partie Intune et voir la partie compliance Policy3 xxx xxx xxx xxx xxx Policy4 xxx xxx xxx xxx xxx • Bonnes pratiques • Jeux de test avant production • What If • Report Only mode • Trustez les locations • Pilote • Validation et PROD Zero Trust : Etape par étape
Identity Days 2020 Conditional AccessReduce your attack surface2 Approche Zero Trust Security defaults: Attention si Conditional Access déjà déployé ! Azure AD P1 / P2 Zero Trust : Etape par étape
Identity Days 2020 Privileged Identity ManagementReduce your attack surface2 La gestion des comptes à privilèges : • 1- Activez PIM pour la gestion des comptes à privilèges • 2- Activez PIM pour tous les ROLES Admin sans exception ( Zero Trust) • 3- Configurez les settings pour chaque rôle avec justification +MFA • 4- Pour le Global Admin : la durée maxi doit être de 2heures max ( Zero Trust ) • 5- Pensez à la durée de l’éligibilité surtout de vos prestataires ( Permanent par défaut) • 6- Configuration les notifications par email pour tous les évènements via PIM • 7-Configurer l’acces Review de manière hebdomadaire Azure AD P2 Zero Trust : Etape par étape
Identity Days 2020 Azure Identity Protection3 Threat Protection Activation d'Identity Protection • 1- Activez la rule «User Risk Policy» • 2- Activez la Rule «Sign-In Risk Policy» • 3- MFA est recommandée par le conditional access Azure AD P2 Zero Trust : Etape par étape
Identity Days 2019 On premise MS ATA Ms Defender for Identity DC DC Ms Defender for Identity ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 - M3565 E5 – M365 Security E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ? Étape 3 MS Defender for Identity - ATA3 Threat Protection Machine learning Protection Anticipation Alerts
Identity Days 2020 MS Defender for Identity - ATA3 Threat Protection Zero Trust : Etape par étape
Identity Days 2020 Vision SecOps IMPORTANT ! • Déployez Microsoft Cloud app Security • Azure Sentinel ( si abonnement Azure ) • Si M365 E5 utilisez Microsoft 365 Security Center Azure AD P2 – M365 E5 – M365 E5 Security Audting and Logging4 Zero Trust : Etape par étape
Hybridation FIDO2 Azure renforce vos authentifications AD ! Identity Days 2020 29 octobre 2020
29 octobre 2020 Accès sans mot de passe à vos applications Identity Days 2020 Windows Hello for Business Microsoft Authenticator Clés de sécurité FIDO2
29 octobre 2020 Protéger l’Identité avec l’Authentification FIDO / FIDO2 Identity Days 2020 2014 20181960s - Authentification forte à 2 facteurs - Une clé pour de nombreux services - Forte défense contre le Phishing - Aucun logiciel client, support natif sous Windows 10 et Azure AD FIDO2 FIDO2 FIDO2 FIDO U2FMots de passe 2004 Tokens & Smart Cards
29 octobre 2020 Hybridation FIDO2 : Ce que prépare Microsoft … Identity Days 2020 Auth. Passwordless avec clés FIDO2 Windows 10 en mode Azure AD Joined (AADJ) Windows 10 en mode Hybride AADJ Seamless SSO vers les ressources Cloud et On-Premise
29 octobre 2020 Hybridation FIDO2 : Comment ça marche ? Identity Days 2020 Client Windows 10 Active Directory Domain Key Contoso 394hwp… Redmond Dreo322… Azure AD Connect L'utilisateur s'authentifie auprès d'Azure AD avec une clé de sécurité FIDO2 Azure AD cherche dans le tenant un serveur de clé Kerberos une correspondance sur l’utilisateur On- Premise correspondant au domaine AD local de l'utilisateur. - Azure AD génère ticket Kerberos TGT partiel (TGT) pour le domaine AD local. Le TGT contient uniquement le SID utilisateur. - Aucune donnée d'autorisation (groupes) n'est incluse. Windows contacte le DC AD et échange le TGT partiel contre un TGT complet 1 2 4 Le TGT partiel est retourné à Windows 10 avec le jeton de rafraîchissement principal Azure AD (PRT) 3 5 Windows possède maintenant 2 jetons : - Le PRT Azure AD - Le TGT AD complet 1 3 4 5 1 Kerberos Server Keys Azure AD Domain Key Contoso 394hwp… Redmond Dreo322… Azure AD Connect 2
29 octobre 2020 Hybridation FIDO2 : Juste un peu de magie… Identity Days 2020
29 octobre 2020 Hybridation FIDO2 : Juste un peu de magie… Identity Days 2020
Identity Days 2020 29 octobre 2020 Conclusion
Identity Days 2020 29 octobre 2020 • Documentez vous ! • Zero Trust Document Center : https://docs.microsoft.com/en- us/security/zero-trust/ • Suivre le Microsoft Secure Score • Intégrer vos applications dans Azure AD • Activez le PTA ou PHS • Activez le seamless SSO • Azure MFA / Password Less • Activez PIM • Identity Protection: • Policy de remédiation • Break Glass Account • Password Less • Endpoint • Patchez – Patchez – Patchez  Conditional Access  MFA Guest Access  MFA pour tous les Users  Jeux de test / What If  Politique d’accés  Trusted Location  Reporting - SecOps • Device • Azure Ad Logs ( sign in – apps ) • Risque User – Connexion – Location – IP • Azure Sentinel • Cloud app Security • Password: • Activez le Self password - Smart Lockout – Password Protection • Sensibilisation et communication • End user
Merci à tous nos partenaires ! @IdentityDays #identitydays2020 ‘’Merci beaucoup pour votre participation et retrouvez-nous au GAV 2021 en avril pour une journée entière de conférences et de Workshops Zéro Trust’’

Contenu connexe

PDF
Microsoft Zero Trust
David J Rosenthal
 
PPTX
Zero Trust Security / Sécurité Zéro Confiance
Excelerate Systems
 
PPTX
What is Zero Trust
Okta-Inc
 
PPTX
Secure your Access to Cloud Apps using Microsoft Defender for Cloud Apps
Vignesh Ganesan I Microsoft MVP
 
PDF
NIST Zero Trust Explained
rtp2009
 
PPTX
3 Modern Security - Secure identities to reach zero trust with AAD
Andrew Bettany
 
PPTX
Securing your Azure Identity Infrastructure
Vignesh Ganesan I Microsoft MVP
 
PDF
Microsoft Azure Active Directory
David J Rosenthal
 
Microsoft Zero Trust
David J Rosenthal
 
Zero Trust Security / Sécurité Zéro Confiance
Excelerate Systems
 
What is Zero Trust
Okta-Inc
 
Secure your Access to Cloud Apps using Microsoft Defender for Cloud Apps
Vignesh Ganesan I Microsoft MVP
 
NIST Zero Trust Explained
rtp2009
 
3 Modern Security - Secure identities to reach zero trust with AAD
Andrew Bettany
 
Securing your Azure Identity Infrastructure
Vignesh Ganesan I Microsoft MVP
 
Microsoft Azure Active Directory
David J Rosenthal
 

Tendances (20)

PPTX
5 Highest-Impact CASB Use Cases
Netskope
 
PPTX
Azure security and Compliance
Karina Matos
 
PPTX
Zero Trust Framework for Network Security​
AlgoSec
 
PDF
Building an Enterprise-Grade Azure Governance Model
Karl Ots
 
PDF
Identity Security - Azure Identity Protection
Eng Teong Cheah
 
PDF
Microsoft Defender and Azure Sentinel
David J Rosenthal
 
PPTX
Azure role based access control (rbac)
Srikanth Kappagantula
 
PDF
Introduction to OpenID Connect
Nat Sakimura
 
PPTX
CyberArk
Jimmy Sze
 
PDF
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm
 
PPTX
CollabDaysBE - Microsoft Purview Information Protection demystified
Albert Hoitingh
 
PDF
Resilience Engineering on Kubernetes
Toru Makabe
 
PPTX
Understanding Zero Trust Security for IBM i
Precisely
 
PDF
Micro segmentation and zero trust for security and compliance - Guardicore an...
YouAttestSlideshare
 
PDF
Clean architectures with fast api pycones
Alvaro Del Castillo
 
PPTX
Zero trust deck 2020
Guido Marchetti
 
PPTX
FIDO Authentication: Unphishable MFA for All
FIDO Alliance
 
PDF
Get your Hybrid Identity in 4 steps with Azure AD Connect
Ronny de Jong
 
PPTX
Vault - Secret and Key Management
Anthony Ikeda
 
PPTX
Zero trust Architecture
AddWeb Solution Pvt. Ltd.
 
5 Highest-Impact CASB Use Cases
Netskope
 
Azure security and Compliance
Karina Matos
 
Zero Trust Framework for Network Security​
AlgoSec
 
Building an Enterprise-Grade Azure Governance Model
Karl Ots
 
Identity Security - Azure Identity Protection
Eng Teong Cheah
 
Microsoft Defender and Azure Sentinel
David J Rosenthal
 
Azure role based access control (rbac)
Srikanth Kappagantula
 
Introduction to OpenID Connect
Nat Sakimura
 
CyberArk
Jimmy Sze
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm
 
CollabDaysBE - Microsoft Purview Information Protection demystified
Albert Hoitingh
 
Resilience Engineering on Kubernetes
Toru Makabe
 
Understanding Zero Trust Security for IBM i
Precisely
 
Micro segmentation and zero trust for security and compliance - Guardicore an...
YouAttestSlideshare
 
Clean architectures with fast api pycones
Alvaro Del Castillo
 
Zero trust deck 2020
Guido Marchetti
 
FIDO Authentication: Unphishable MFA for All
FIDO Alliance
 
Get your Hybrid Identity in 4 steps with Azure AD Connect
Ronny de Jong
 
Vault - Secret and Key Management
Anthony Ikeda
 
Zero trust Architecture
AddWeb Solution Pvt. Ltd.
 
Publicité

Similaire à Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure ! (20)

PDF
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
PDF
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
PDF
Identity Days 2020 - Azure AD et la collaboration “externe”
Identity Days
 
PPTX
L’authentification sans mot de passe, la meilleure façon de se protéger !
Identity Days
 
PDF
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days
 
PDF
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days
 
PDF
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
PDF
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 
PDF
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
PDF
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
PDF
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days
 
PPTX
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
PDF
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
PDF
Active Directory vs. Entra ID : Pilule bleue ou Pilule rouge ?
Identity Days
 
PDF
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
PDF
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days
 
PDF
Avancées et innovations en Identité Numérique : WebAuthn, SmartProxy, Entra ID…
Identity Days
 
PDF
Et si vous mettiez votre PKI sur le Cloud?
Identity Days
 
PDF
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
PDF
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
Identity Days 2020 - Azure AD et la collaboration “externe”
Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
Identity Days
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days
 
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Active Directory vs. Entra ID : Pilule bleue ou Pilule rouge ?
Identity Days
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days
 
Avancées et innovations en Identité Numérique : WebAuthn, SmartProxy, Entra ID…
Identity Days
 
Et si vous mettiez votre PKI sur le Cloud?
Identity Days
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
Publicité

Plus de Identity Days (20)

PDF
Tiering AD : Comment procéder après le Tier0 ?
Identity Days
 
PPTX
Est-il possible de sécuriser complètement Active Directory après une brèche ?
Identity Days
 
PDF
Data, Identité et Conformité : le triangle d’or de la performance
Identity Days
 
PDF
Active Directory 2025 : Days of Future Past
Identity Days
 
PDF
Mise en place des recommandations de l’ANSSI pour la sécurisation du protocol...
Identity Days
 
PDF
Principales nouveautés de la famille Microsoft Entra
Identity Days
 
PPTX
IAM réinventé : le rôle pivot du Wallet d’identité numérique
Identity Days
 
PDF
Le Passwordless au service des comptes génériques : d’une meilleure visibilit...
Identity Days
 
PPTX
Ségrégation et protection des accès à privilèges dans le cloud Microsoft
Identity Days
 
PPTX
La délégation Kerberos : Compromettre un domaine en 5 étapes
Identity Days
 
PDF
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
PDF
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
PDF
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
PDF
Passwordless – de la théorie à la pratique
Identity Days
 
PDF
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
PDF
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
PDF
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
PPTX
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
PDF
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
PDF
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Tiering AD : Comment procéder après le Tier0 ?
Identity Days
 
Est-il possible de sécuriser complètement Active Directory après une brèche ?
Identity Days
 
Data, Identité et Conformité : le triangle d’or de la performance
Identity Days
 
Active Directory 2025 : Days of Future Past
Identity Days
 
Mise en place des recommandations de l’ANSSI pour la sécurisation du protocol...
Identity Days
 
Principales nouveautés de la famille Microsoft Entra
Identity Days
 
IAM réinventé : le rôle pivot du Wallet d’identité numérique
Identity Days
 
Le Passwordless au service des comptes génériques : d’une meilleure visibilit...
Identity Days
 
Ségrégation et protection des accès à privilèges dans le cloud Microsoft
Identity Days
 
La délégation Kerberos : Compromettre un domaine en 5 étapes
Identity Days
 
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Identity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 

Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !

  • 1. Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020
  • 2. Pensez Zéro Trust pour sécuriser votre infrastructure Cloud hybride dans Azure ! 29 octobre 2020 Identity Days 2020 Jean-François Apréa | Seyfallah Tagrerout
  • 3. Jean-François Apréa Responsable technique Microsoft SPIE ICS Microsoft MVP Cloud and Datacenter Management (14) Microsoft P-Seller | Microsoft Azure Specialist Auteur | Speaker [email protected] • Zero Trust ? C’est maintenant ! • Identités et Contrôles des Accès au centre • Déployer sa stratégie Zero Trust avec Microsoft • Hybridation FIDO2 : Azure renforce votre AD AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020 Seyfallah Tagrerout Team Lead Cloud Architect AIM Services Microsoft MVP Azure (7)|Microsoft P-Seller Microsoft Azure Specialist | Auteur | Speaker [email protected] ‘’In a changing world, an IT strategy to work together securely and remotely is required’’
  • 4. 29 octobre 2020 Identity Days 2020 Repensez votre sécurité avec SPIE ICS 29 octobre 2020 Identity Days 2020 3 200 COLLABORATEURS 45 % GRANDES ENTREPRISES 60 SITES EN FRANCE 430 INGENIEURS et EXPERTS 55 % ETI Cybersécurité Smart data & IoT Cloud & Services Opérés Environnement de travail digital Infrastructures Conseil & innovation Solutions 155 COLLABORATEURS 4 sites En suisse 100 INGENIEURS et EXPERTS Solutions Technology Solution Managed Services Business soluton Data intelligence Repensez votre sécurité avec AiM services Partenaire de l’année 2020 Suisse Technical innovation
  • 5. Zero Trust Identity Days 2020 29 octobre 2020 Concepts, principes et conjuncture COVID
  • 6. Identity Days 2020 29 octobre 2020 Utilisateurs, appareils, applications et données sont protégés derrière un pare-feu réseau Années 1990 A partir de 1995 Modèle traditionnel …
  • 7. Identity Days 2020 29 octobre 2020 Evolution du Monde Numérique
  • 8. Identity Days 2020 29 octobre 2020 Evolution du Monde Numérique depuis 10 ans Applications professionnelles mobiles utilisées quotidiennement par les utilisateurs 5.2 M Des entreprises utilisent le Cloud 94% des organisations ont actuellement un programme BYOD en place 60% De périphériques connectés sur Internet sur la planète 7B Mais en février 2020, les usages changent brutalement ‘’La crise du COVID accélère le changement et nous force à résoudre de nouveaux challenges’’
  • 9. Identity Days 2020 29 octobre 2020 Le monde d’avant … et la réalité d’aujourd’hui Les utilisateurs sont des Employés + Matériels personnels + Explosion des Applications SaaS + Expansion des périmètres + Multitude de signaux disponibles Appareils gérés Applications Réseau de l’entreprise Journaux + Clients et Partenaires ‘’Aujourd’hui, le travail à distance se banalise et la cybercriminalité explose’’
  • 10. Identity Days 2020 Zero Trust : Du commencement à la réalité … 2004 Concept de dé-perimétrisation au Jericho Forum 2010 Forrester dépose le terme “Zero Trust” 2009 Cyber-attaque Aurora 2014 Modèle de sécurité de Google ‘’BeyondCorp’’ Stratégie Zero Trust ‘’Zero Trust traite chaque tentative d'accès comme si elle provenait d'un réseau non approuvé’’
  • 11. Identity Days 2020 Principes du modèle Zero Trust: ‘’Never trust, always verify’’ 29 octobre 2020 Vérification Explicite Privilèges Minimums Suppose une Violation • Identité de l’utilisateur • Emplacements réseaux • Etat de santé du périphérique • Classification des données • Anomalies • Accès JIT et JEA • Politiques de risques • Protection des données • Minimisation de l’étendue des failles • Limitation des mouvements latéraux • Segmentation des accès en fonction des réseaux • Vérification des sessions de bout en bout
  • 12. Identity Days 2020 24 octobre 2020 Zero Trust : Un état d’esprit … pour une stratégie IT ! cybersecurity1 https://go.forrester.com/blogs/tech-titans-google-and-microsoft-are-transforming-cybersecurity/ 29 octobre 2020
  • 13. Identity Days 2020 29 octobre 2020 Zero Trust : Un état d’esprit … pour une stratégie IT ! Expérience identique quelle que soit la Plateforme Intégration entre Identités, Périphériques, Apps et Données AI et Automation pour sécuriser les Accès Désormais, les standards Internet sont et font la sécurité
  • 14. Identity Days 2020 24 octobre 2020 Zero Trust sur Microsoft Azure Aujourd’hui, les standards Internet sont et font la sécurité Source: Microsoft Digital Defense Report, September 2020 Diversité et volumétrie des signaux traités par mois (09-2020) en mode hyperscale
  • 15. Zero Trust Identity Days 2020 29 octobre 2020 Au centre, Identités, Authentifications et Contrôles des accès
  • 16. Identity Days 2020 29 octobre 2020 Repositionner l’Identité au centre de l’IT Cas 1 : J’ai de la chance mais pas mon IT ! Je peux faire du télétravail mais mon entreprise n’a pas de stratégie d'accès à distance sécurisée. Aujourd’hui, la cybercriminalité est au plus haut … ‘’La crise du COVID accélère le changement et nous force à protéger les Identités et les Accès’’ Cas 2 : Je n’ai plus aucun accès à mes ressources ! Je souhaite travailler à distance et collaborer avec mon équipe Cas 3 : C’est la panique ! Pas de stratégie cloud et aucun moyen de travailler à distance. Que faire ? Cas 4 : J’ai plus de chance car j’ai O365 ! Je souhaite permettre le télétravail et la collaboration à mes collaborateurs en toute sécurité Scénarios rencontrés depuis la crise du COVID-19
  • 17. Identity Days 2020 24 octobre 2020 Azure Active Directory : L’Identité du Cloud hybride Fiabilité du service, sécurité et amélioration technique continue Oct. 2019 Entreprises Utilisent Azure AD +100K d’utilisateurs actifs en moyenne par mois +254M  Azure AD est le service Microsoft le + critique au niveau Worldwide  Opéré dans un ‘’monde dangereux’’ où le risque est au + haut  0,5% d'indisponibilité impacte +1 M d’utilisateurs
  • 18. Identity Days 2020 24 octobre 2020 Attaques : 1ère vague COVID19 aux USA Source: Microsoft Digital Defense Report, September 2020
  • 19. Identity Days 2020 29 octobre 2020 Attaques : Changements en 6 mois de COVID-19
  • 20. Identity Days 2020 29 octobre 2020 Attaques : Explosion en 6 mois de COVID-19 Microsoft takes legal action against COVID-19-related cybercrime Google Blocks 18 Million COVID-19 Related Scam Emails Each Day
  • 21. Identity Days 2020 29 octobre 2020 Attaques : Nouveaux ransomware ‘’très sophistiqués’’ Source: Microsoft Digital Defense Report, September 2020 Human-operated ransomware attacks: A preventable disaster
  • 22. Identity Days 2020 29 octobre 2020 Zero Trust avec Azure AD
  • 23. 29 octobre 2020 Zero Trust : Accès conditionnels Conditional Access App ControlConditional Access App Control 6.5 Trillion Signals/Day Azure AD B2B Azure Active Directory
  • 24. Comment déployer sa stratégie Zero Trust avec Microsoft ? Identity Days 2020 29 octobre 2020
  • 25. Identity Days 2020 29 octobre 2020 Azure AD P1/P2 et Microsoft 365 Defender eXtended Detection and Response
  • 26. Identity Days 2020 29 octobre 2020 Microsoft 365 Defender : Approche XDR Maximiser la détection à toutes les étapes de l’attaque User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Attaque Brute Force ou Utilisation d’identités volées User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Azure AD Identity Protection Cloud App Security MS Defender for Identity Identity protection & Conditional Access Identity protection Extends protection & conditional access to other cloud apps MS Defender for Endpoint Endpoint protection MS Defender for Office 365 Email protection
  • 27. Identity Days 2020 29 octobre 2020 Microsoft 365 Defender : Protection des périmètres Identity Days 2020 Defender for Identity Defender for EndPoint Defender for Office 365 Office365 ATP
  • 28. Identity Days 2020 29 octobre 2020 Zero Trust : Comment faire ? Identity Days 2020
  • 29. Identity Days 2020 Strengthen your credentials1 Microsoft Secure Score Zero Trust : Etape par étape
  • 30. Identity Days 2020 Strengthen your credentials1 Azure MFA Azure AD P1 Azure AD P2 • Sécurité • Fiabilité • Facilité • Evolution En 2019 moins de 10% d’activation de Azure MFA Zero Trust : Etape par étape
  • 31. Identity Days 2020 Strengthen your credentials1 Password Protection Deployez Password Protection Smart lockout: • Compte cloud only • Comptes hybridés Déployez le PasswordLess ( si c’est possible ) – • Windows Hello • Fido 2 Security Keys • Microsoft Authenticator Zero Trust : Etape par étape
  • 32. Identity Days 2020 Strengthen your credentials1 Break glass account 1- Création de deux comptes Break Glass: • Cloud only et PAS Sync • 1-B : configurer le password en Never Expire Set-MsolUser -UserPrincipalName [email protected] - PasswordNeverExpires $true 2- Droit Global admin + exclusion de toutes Conditional Access 3- Audit: • Audit renforcé sur ces deux comptes avec : • Azure Sentinel en création un playbook via Azure Log Analytics • Cloud App Security
  • 33. Identity Days 2020 Strengthen your credentials1 Break glass account 3- Audit: • Audit renforcé sur ces deux comptes avec : • Azure Sentinel en création un playbook avec une règle Analytics SigninLogs | where UserPrincipalName == "[email protected]" | where Status.errorCode == 0 | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem Succès: Fail: SigninLogs | where UserPrincipalName == "[email protected]" | where Status.errorCode != '0' | extend AccountCustomEntity = Identity | extend IPCustomEntity = IPAddress | extend HostCustomEntity = SourceSystem
  • 34. Identity Days 2020 Conditional AccessReduce your attack surface2 Zero Trust : Etape par étape
  • 35. Identity Days 2020 Conditional Access Policy Scenario Le résultat attendu What if - test avant test réel Test réel - Le résultat Commentaire Policy1 Bloquer tous les accès aux applications depuis l’extérieur ( en dehors network xxx) Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Testé avec le What if – Ok Machine dans xxx : Accès Machine en dehors de xxx : Pas d’accès Rien à signaler – Policy fonctionnelle Policy2 Autoriser l’accès a Exchange Online depuis les mobile Intune + MFA Mobile compliante : Accès avec MFA Mobile No compliante : Pas d’accès Testé avec le What if – NO Ok Mobile compliante : Accès avec MFA Mobile No compliante : Accés avec MFA Un souci sur la CA, il faut vérifier la partie Intune et voir la partie compliance Policy3 xxx xxx xxx xxx xxx Policy4 xxx xxx xxx xxx xxx • Bonnes pratiques • Jeux de test avant production • What If • Report Only mode • Trustez les locations • Pilote • Validation et PROD Zero Trust : Etape par étape
  • 36. Identity Days 2020 Conditional AccessReduce your attack surface2 Approche Zero Trust Security defaults: Attention si Conditional Access déjà déployé ! Azure AD P1 / P2 Zero Trust : Etape par étape
  • 37. Identity Days 2020 Privileged Identity ManagementReduce your attack surface2 La gestion des comptes à privilèges : • 1- Activez PIM pour la gestion des comptes à privilèges • 2- Activez PIM pour tous les ROLES Admin sans exception ( Zero Trust) • 3- Configurez les settings pour chaque rôle avec justification +MFA • 4- Pour le Global Admin : la durée maxi doit être de 2heures max ( Zero Trust ) • 5- Pensez à la durée de l’éligibilité surtout de vos prestataires ( Permanent par défaut) • 6- Configuration les notifications par email pour tous les évènements via PIM • 7-Configurer l’acces Review de manière hebdomadaire Azure AD P2 Zero Trust : Etape par étape
  • 38. Identity Days 2020 Azure Identity Protection3 Threat Protection Activation d'Identity Protection • 1- Activez la rule «User Risk Policy» • 2- Activez la Rule «Sign-In Risk Policy» • 3- MFA est recommandée par le conditional access Azure AD P2 Zero Trust : Etape par étape
  • 39. Identity Days 2019 On premise MS ATA Ms Defender for Identity DC DC Ms Defender for Identity ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 - M3565 E5 – M365 Security E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ? Étape 3 MS Defender for Identity - ATA3 Threat Protection Machine learning Protection Anticipation Alerts
  • 40. Identity Days 2020 MS Defender for Identity - ATA3 Threat Protection Zero Trust : Etape par étape
  • 41. Identity Days 2020 Vision SecOps IMPORTANT ! • Déployez Microsoft Cloud app Security • Azure Sentinel ( si abonnement Azure ) • Si M365 E5 utilisez Microsoft 365 Security Center Azure AD P2 – M365 E5 – M365 E5 Security Audting and Logging4 Zero Trust : Etape par étape
  • 42. Hybridation FIDO2 Azure renforce vos authentifications AD ! Identity Days 2020 29 octobre 2020
  • 43. 29 octobre 2020 Accès sans mot de passe à vos applications Identity Days 2020 Windows Hello for Business Microsoft Authenticator Clés de sécurité FIDO2
  • 44. 29 octobre 2020 Protéger l’Identité avec l’Authentification FIDO / FIDO2 Identity Days 2020 2014 20181960s - Authentification forte à 2 facteurs - Une clé pour de nombreux services - Forte défense contre le Phishing - Aucun logiciel client, support natif sous Windows 10 et Azure AD FIDO2 FIDO2 FIDO2 FIDO U2FMots de passe 2004 Tokens & Smart Cards
  • 45. 29 octobre 2020 Hybridation FIDO2 : Ce que prépare Microsoft … Identity Days 2020 Auth. Passwordless avec clés FIDO2 Windows 10 en mode Azure AD Joined (AADJ) Windows 10 en mode Hybride AADJ Seamless SSO vers les ressources Cloud et On-Premise
  • 46. 29 octobre 2020 Hybridation FIDO2 : Comment ça marche ? Identity Days 2020 Client Windows 10 Active Directory Domain Key Contoso 394hwp… Redmond Dreo322… Azure AD Connect L'utilisateur s'authentifie auprès d'Azure AD avec une clé de sécurité FIDO2 Azure AD cherche dans le tenant un serveur de clé Kerberos une correspondance sur l’utilisateur On- Premise correspondant au domaine AD local de l'utilisateur. - Azure AD génère ticket Kerberos TGT partiel (TGT) pour le domaine AD local. Le TGT contient uniquement le SID utilisateur. - Aucune donnée d'autorisation (groupes) n'est incluse. Windows contacte le DC AD et échange le TGT partiel contre un TGT complet 1 2 4 Le TGT partiel est retourné à Windows 10 avec le jeton de rafraîchissement principal Azure AD (PRT) 3 5 Windows possède maintenant 2 jetons : - Le PRT Azure AD - Le TGT AD complet 1 3 4 5 1 Kerberos Server Keys Azure AD Domain Key Contoso 394hwp… Redmond Dreo322… Azure AD Connect 2
  • 47. 29 octobre 2020 Hybridation FIDO2 : Juste un peu de magie… Identity Days 2020
  • 48. 29 octobre 2020 Hybridation FIDO2 : Juste un peu de magie… Identity Days 2020
  • 49. Identity Days 2020 29 octobre 2020 Conclusion
  • 50. Identity Days 2020 29 octobre 2020 • Documentez vous ! • Zero Trust Document Center : https://docs.microsoft.com/en- us/security/zero-trust/ • Suivre le Microsoft Secure Score • Intégrer vos applications dans Azure AD • Activez le PTA ou PHS • Activez le seamless SSO • Azure MFA / Password Less • Activez PIM • Identity Protection: • Policy de remédiation • Break Glass Account • Password Less • Endpoint • Patchez – Patchez – Patchez  Conditional Access  MFA Guest Access  MFA pour tous les Users  Jeux de test / What If  Politique d’accés  Trusted Location  Reporting - SecOps • Device • Azure Ad Logs ( sign in – apps ) • Risque User – Connexion – Location – IP • Azure Sentinel • Cloud app Security • Password: • Activez le Self password - Smart Lockout – Password Protection • Sensibilisation et communication • End user
  • 51. Merci à tous nos partenaires ! @IdentityDays #identitydays2020 ‘’Merci beaucoup pour votre participation et retrouvez-nous au GAV 2021 en avril pour une journée entière de conférences et de Workshops Zéro Trust’’