Mise en pratique des 8 principes de la gestion des accès à l'infrastructure
Les équipes IT et sécurité doivent protéger systèmes et données sensibles contre les cybermenaces, pour préserver à la fois la santé financière et la réputation de leur entreprise. Leur tâche implique en premier lieu de sécuriser l'accès à l'infrastructure cloud et on-premise. Or, les méthodes classiques ont montré leurs limites, tant à l'égard des utilisateurs que des administrateurs IT. Il est grand temps d'adopter une nouvelle approche.
Pourquoi les outils classiques sont-ils défaillants ?
Les entreprises qui complètent leur infrastructure on-premise par un modèle IaaS dans le cloud ont besoin d'une solution de gestion des identités et des accès (IAM) pour sécuriser leurs systèmes stratégiques.
Les identifiants statiques habituellement utilisés pour se connecter aux serveurs sont loin d'être la panacée, car ils sont trop souvent perdus ou piratés. Comme il n'existe aucun lien intrinsèque avec les profils d'identité des utilisateurs, une gestion à grande échelle s’avère complexe. De plus, les opérations manuelles de provisioning et de déprovisioning, tout comme le partage d'identifiants sur plusieurs systèmes, exposent les entreprises à des risques importants.
Les entreprises sont à la recherche d'une nouvelle approche adaptée aux environnements cloud modernes et permettant d'automatiser leurs pratiques DevOps. Okta a changé la donne avec Advanced Server Access (ASA), une solution qui met le principe Zero Trust au service de l'accès à l'infrastructure.
Les 8 principes d'Okta pour sécuriser l'accès à l'infrastructure
Pour sécuriser correctement l'accès à l'infrastructure, Okta recommande aux entreprises d’appliquer huit principes qui leur permettront de résoudre les problèmes évoqués avec plus d'efficacité que les méthodes traditionnelles.
Mailchimp est une entreprise orientée DevOps qui a enregistré de nettes améliorations en suivant cette approche pour implémenter le modèle Zero Trust avec succès. Jordan Conway de Mailchimp est intervenu lors de la conférence Oktane19 pour expliquer comment Okta Advanced Server Access leur a permis de sécuriser plus efficacement l'infrastructure de l'entreprise. Découvrez ci-dessous la manière dont Mailchimp a appliqué les huit principes d'Okta.
1. Automatisation des opérations manuelles
Dans un monde de plus en plus orienté cloud, les contrôles d'accès ne doivent plus reposer sur des processus manuels classiques, mais être entièrement automatisés. De l'inscription à la configuration, en passant par le provisioning, toutes les étapes doivent être automatisées pour pouvoir suivre l'évolution des besoins de l'entreprise.
Pour Mailchimp, c'est la capacité d'Okta à automatiser les contrôles des identités et des accès au sein de son parc de serveurs qui a constitué d’emblée une exceptionnelle valeur ajoutée. D'un seul coup, ASA a éliminé les principaux processus de gestion manuels, tout en simplifiant l'onboarding et l'offboarding des administrateurs serveur.
2. Abandon des clés statiques au profit d'identifiants éphémères
Avec une infrastructure automatisée, le suivi et la gestion des identifiants s'opèrent à n'importe quelle échelle. Dans un modèle Zero Trust, l'accès contextuel permet de prendre de meilleures décisions, à condition qu’il repose sur un mécanisme de délivrance d'identifiants couvrant strictement le périmètre requis pour l'utilisateur concerné. Okta a élaboré une approche révolutionnaire de la gestion des identifiants, qui limite davantage les risques.
Chez Mailchimp, les développeurs stockaient des clés statiques sur leurs ordinateurs portables personnels, ce qui posait des problèmes de sécurité et de chaîne de confiance. En adoptant ASA, l'entreprise a simplifié le processus de connexion des administrateurs serveur et des développeurs, sans se préoccuper de qui détenait les clés des serveurs individuels.
3. Abandon des comptes partagés au profit des identités des utilisateurs
Même lorsqu'ils sont bien protégés, les comptes administrateurs partagés présentent des risques. En effet, dans ce scénario, il est difficile de savoir qui a accédé à quoi et quand, et d'établir des politiques précises en matière d'accès. Pour garantir le respect des politiques en place, tous les accès devraient être attribués directement au niveau des comptes utilisateurs individuels.
Pour Mailchimp, c'est un avantage énorme de laisser chaque utilisateur se servir de ses propres identifiants pour se connecter et intervenir sur un serveur. L'entreprise dispose à présent d'un rapport d'audit précis de toutes les activités, ce qui améliore la traçabilité et élimine les risques associés aux identifiants partagés.
4. Abandon des interfaces d'annuaire au profit des comptes locaux
Les interfaces d'annuaire comme LDAP sont très difficiles à administrer pour les entreprises opérant à grande échelle, surtout lorsqu'il s'agit d'établir une connexion avec leur système de référence. En permettant le provisioning des comptes locaux directement depuis le référentiel, Okta évite le recours à une interface intermédiaire.
Pendant des décennies, les entreprises ont cherché à synchroniser les utilisateurs des serveurs avec leur système de référence. Okta a résolu le problème efficacement, pour le grand bonheur des administrateurs. Mailchimp a immédiatement perçu les avantages de cette approche : la réduction de la charge de travail des administrateurs, d'une part, et le renforcement de la sécurité globale d'autre part.
5. Abandon des processus de vérification au profit de l'authentification unique (SSO)
Les outils et pratiques classiques obligent les administrateurs système à composer avec des processus de vérification hors bande fastidieux et chronophages. Grâce à l'authentification unique (SSO), ils ont accès à l'infrastructure en bénéficiant d’une expérience aussi conviviale que les collaborateurs qui accèdent aux applications de l'entreprise.
Habitués à utiliser leurs propres clés, les ingénieurs de Mailchimp étaient au départ réticents à l'idée de suivre un nouveau workflow. Mais dès qu'ils ont commencé à utiliser ASA, ils ont perçu les avantages de la solution en termes de sécurité, et ont reconnu ne pas avoir été interrompus dans leurs tâches quotidiennes.
6. Abandon du principe d'élévation des privilèges au profit de contrôles d'accès basés sur les rôles
Généralement, les entreprises délèguent des privilèges de comptes partagés à des utilisateurs pour qu’ils effectuent certaines tâches. Cette méthode est propice aux abus, car il est difficile de savoir si un utilisateur donné doit bénéficier d'un accès à privilèges ou non. Avec les contrôles d'accès basés sur l'identité, les autorisations sont explicitement liées au rôle de l'utilisateur.
Pour Mailchimp, cette nouvelle approche permet d'allouer « le bon rôle et le bon accès à chaque développeur », et donc de renforcer la sécurité. C'est d'autant plus important que l'entreprise se développe et élargit les spécialités au sein de son service d'ingénierie.
7. Abandon des réseaux VPN au profit des bastions
Maintenant que le périmètre réseau classique n'existe plus, les réseaux VPN sont devenus obsolètes. En revanche, les hôtes « bastions » offrent aux utilisateurs une passerelle d'authentification pour se connecter facilement à l'infrastructure privée.
Bien que Mailchimp utilise encore des VPN, l'entreprise reconnaît qu'ils présentent des inconvénients. Lorsqu'un équipement réseau ou un nouveau bureau/site est ajouté, la reconfiguration du VPN et des accès associés s’avère très coûteuse. Pour une entreprise en plein essor comme Mailchimp, le problème n'est pas négligeable. L'abandon des VPN élimine les risques d'erreur de configuration basée sur l'adresse IP et simplifie l'expérience utilisateur.
8. Abandon des enregistrements de session au profit de journaux structurés
La plupart des exigences de conformité impliquent l'enregistrement de l'activité d'administration pour une lecture ultérieure. Les journaux structurés offrent pour cela davantage de clarté que les enregistrements de session.
L'expérience de Mailchimp en est la parfaite illustration. L'entreprise dispose à présent d'un système facile à indexer et à interroger, plutôt que des journaux d'audit illisibles. Ce système lui fournit des informations faciles à interpréter sur l'activité et sur les terminaux auxquels les utilisateurs se connectent.
Vous souhaitez en savoir plus ?
Pour découvrir plus en détail la solution Okta Advanced Server Access, consultez notre récente annonce sur ASA. Vous pouvez également consulter la page Les huits principes de l’accès à une infrastructure moderne ou visionner la vidéo de la session Oktane19, Bringing Modern Identity to Infrastructure Access, ci-dessous.