La cybersécurité repose sur un principe essentiel : « On ne peut pas protéger ce qu’on ne connaît pas ». Cela s’applique aux actifs tels que les terminaux, les serveurs, etc., mais aussi aux comptes. Posez-vous dès maintenant les questions suivantes : savez-vous quels comptes existent dans votre environnement et ce qu’ils font sur votre réseau ? En outre, contrôlez-vous ce que font ces comptes et comment gérez-vous l’application des mesures de sécurité sur ces derniers ?
Dans des articles récents, nous avons évoqué les différents risques que les identités humaines et non humaines (NHI) représentent pour une organisation. Dans ce blog, nous nous concentrerons sur le défi de faire évoluer la gestion et la protection d'un grand nombre d'identités humaines et non humaines dans un environnement, en tirant parti des politiques d'automatisation et de sécurité. Nous découvrirons pourquoi l'automatisation compte de service La sécurité est essentielle pour les entreprises afin d’améliorer la protection, de rationaliser la gestion et de réduire les risques.
Protéger les identités non humaines
Lorsqu'on parle de comptes, il ne s'agit pas seulement de comptes d'utilisateurs qui représentent des êtres humains. utilisateurs mais aussi non-humain identités.
Comptes utilisateur sont, à première vue, faciles à gérer, car ils appartiennent à une personne réelle qui utilise le compte pour s'authentifier auprès des services et des ressources. Des couches de sécurité supplémentaires peuvent être ajoutées au compte, comme des politiques de rotation des mots de passe, des seuils de verrouillage des comptes, authentification multi-facteur validation, etc.
Une identité non humaine (NHI) est un terme général pour décrire un compte utilisé par une machine (ou une application, un service, une automatisation, etc.) pour effectuer des tâches non interactives. protocoles d'authentification dans lesquels aucun utilisateur humain n'est impliqué. Nous les appelons comptes de service (Active Directory) ou principe de service (Entra ID).
Bien que les comptes de service aient tendance à avoir un modèle d'utilisation distinct, limiter leur niveau de sécurité pose ses propres défis. Chaque service exécuté dans l'organisation peut nécessiter un ou plusieurs comptes de service, la protection doit donc être à grande échelle.
Protection des comptes de service se résume à quelques aspects clés :
- Visibilité:Avez-vous une vue claire de tous les comptes ?
- Interet:Savez-vous pourquoi ils existent dans l'environnement ?
- Comportement:Pouvez-vous vérifier et valider l'utilisation ?
- Privilèges:Pouvez-vous valider et protéger les permissions d'un compte ?
- Attaque Détection : pouvez-vous vous protéger contre des attaques spécifiques basées sur des comptes de service ?
- Sécurité gestion:Avez-vous des capacités de protection claires pour tous vos comptes ?
Un retour en arrière dans le temps : les comptes de services gérés
Les comptes de service gérés (MSA) sont des comptes de domaine gérés spécialisés dans Active Directory Conçus pour offrir un niveau de sécurité plus élevé, comme la gestion automatisée des mots de passe et la gestion simplifiée des comptes de service. Les comptes de service gérés autonomes (sMSA) sont utilisés pour des services individuels sur un seul serveur et ne peuvent pas être partagés sur plusieurs serveurs. Comptes de services gérés par groupe (gMSA), en revanche, sont conçus pour être utilisés par plusieurs serveurs dans un environnement, par exemple lorsqu'un service est fourni via un équilibreur de charge.
Dans l’ensemble, les gMSA améliorent la sécurité, simplifient la gestion des comptes et réduisent la complexité opérationnelle associée aux comptes de service dans les environnements d’entreprise. Cependant, tous les comptes de service ne sont pas adaptés pour être des MSA, et la gestion des MSA peut poser des défis, comme garantir des configurations d’application correctes et comprendre les prérequis du domaine. De nombreux défis liés à la gestion des comptes de service classiques s’appliquent également aux MSA, notamment plusieurs techniques d’attaque. Il existe donc une marge de manœuvre pour d’autres améliorations dont les équipes d’identité et de sécurité pourraient bénéficier.
Le défi de l'automatisation et de la mise à l'échelle de la protection des comptes de service
Lorsque vous vous lancez dans la quête d'un contrôle total sur les activités et la protection de vos comptes de service, trop souvent et rapidement un nouveau défi surgit : comment gérer correctement ces comptes ?
Voici les principaux défis auxquels nous continuons à faire face en matière de gestion des comptes de service :
- Nombre de comptes de service: le nombre de comptes dans une organisation peut augmenter rapidement, en particulier lorsqu'il s'agit de comptes de service. L'une des raisons à cela est que chaque service ou application exécuté dans une organisation nécessite un accès spécifique à d'autres ressources et utilisera plusieurs comptes de service pour y parvenir, comme le définissent les meilleures pratiques. Un bon exemple de cela est le nombre de principaux de service dans une organisation Microsoft Entra ID sûr et sécurisé.
- Responsabilités multiples au sein de l'équipe : La plupart du temps, l'équipe qui gère et configure les applications n'est pas l'équipe en charge du fournisseur d'identité ni l'équipe de sécurité. Par conséquent, plusieurs équipes telles que les équipes d'application, les équipes de sécurité, les équipes d'identité, etc. doivent travailler ensemble pour sécuriser correctement les comptes de service.
- Cycle de vie du compte : Les comptes de service augmentent avec le nombre de services et, comme nous l'avons mentionné ci-dessus, ils peuvent être générés automatiquement. Il est donc difficile pour un administrateur d'identité de suivre tous les comptes et de s'assurer que les nouveaux comptes sont correctement sécurisés. Les applications et les services peuvent être mis hors service et supprimés de l'environnement. Cependant, le nettoyage de tout compte de service associé est souvent oublié, ce qui entraîne des comptes orphelins qui peuvent poser un risque de sécurité.
- Visibilité et documentation : Les comptes de service sont souvent mal documentés, ce qui pose un problème lors de l'application des politiques de sécurité. Les propriétaires de compte sont également mal documentés et peuvent même conduire à des « propriétaires suspendus » lorsque des personnes quittent l'organisation.
Pour relever les défis liés à la mise à l’échelle de la protection des comptes de service, les organisations ont besoin de capacités de gestion efficaces et plus claires pour les comptes de service afin de renforcer leur posture de sécurité.
Mise à l'échelle des politiques de protection des comptes de service dans Silverfort
Silverfort Service Account Protection fournit un aperçu de tous vos comptes de service en un seul endroit, surveille leur activité dans votre environnement et applique des politiques de protection.
Pour relever le défi de la mise à l’échelle de vos politiques de compte de service, Silverfort fournit plusieurs mécanismes pour garder le contrôle sur la couche de protection de sécurité de votre compte de service. Dans cette section, nous aborderons brièvement ces capacités.
Catégorisation des comptes de service
SilverfortDétection de compte de service Le moteur détecte les comptes de service en fonction des modèles de comportement d'authentification et les classe en catégories, notamment les comptes M2M (machine à machine), les comptes hybrides, les scanners et les comptes inactifs. La classification est la première étape pour identifier les comptes basés sur une machine et en cours d'utilisation.
Le moteur de compte de service détecte également l'utilisation interactive, les nouveaux comptes, les comptes largement utilisés, etc. Toutes ces informations aident au « triage » initial des comptes, prêts à être protégés par une politique de sécurité.
Silverfort exploite les meilleures pratiques utilisées dans une organisation pour gérer les comptes de service, aidant le moteur non seulement à la catégorisation mais également à la détection. La mise en œuvre des meilleures pratiques en matière d'utilisation des comptes de service vous donne une longueur d'avance dans la mise en place de vos politiques de sécurité. Elles doivent donc toujours être au premier plan lors de la gestion de la protection des comptes de service.
Dans presque tous les environnements, de nombreux comptes présentent des comportements mixtes, fonctionnent de manière hybride, souffrent de mauvaises configurations ou restent des comptes hérités. Ces comptes nécessitent l'attention de l'équipe d'identité. La catégorisation est la première étape pour bien cibler les problèmes.
Silverfort et comptes de services gérés
Microsoft propose des MSA pour faciliter la gestion et la sécurité des comptes de service. Ils offrent une gestion automatique des mots de passe, une gestion simplifiée des noms principaux de service (SPN) et la possibilité de déléguer la gestion à d'autres administrateurs. L'une des principales mesures de sécurité est qu'ils ne sont pas autorisés à se connecter de manière interactive, car ils sont destinés à une utilisation non interactive par les services et les applications.
Combiné avec SilverfortGrâce aux capacités de protection des comptes de service, la posture de sécurité des gMSA est encore améliorée tout en préservant la simplicité de leur gestion via Active Directory.
Silverfort prend en charge des fonctionnalités telles que les gMSA dans le cadre de la politique de protection des comptes de service. Ces comptes sont classés comme étant de machine à machine et toutes les fonctionnalités disponibles sur la plateforme leur sont appliquées. Chaque gMSA sera détecté et traité de la même manière que n'importe quel compte de service. Cela signifie que toutes les fonctionnalités, y compris les politiques de compte de service, sont applicables en plus des gMSA dans l'environnement.
Politiques intelligentes : votre chemin vers une protection automatisée des comptes de service
Pour faciliter la gestion des politiques de sécurité, nous avons récemment introduit notre fonctionnalité Smart Policy.
Une stratégie intelligente vous permet de protéger automatiquement des groupes logiques entiers de comptes de service en fonction de leur profil d'activité. La stratégie intelligente s'exécute par cycles, analyse les comptes de service pour détecter les modifications de base et définit la stratégie de protection des comptes de service en conséquence. Cette modification est automatique et dynamique, sans aucune intervention manuelle.
Si le comportement d’un compte reste cohérent pendant une période définie, la politique sera
appliquer automatiquement une couche de sécurité au-dessus du compte. Silverfort protégera toute authentification s’écartant du comportement de base connu.
Avec une politique intelligente, Silverfort améliore la résilience des comptes de service stables et cohérents, vous permettant de vous concentrer sur des comptes de service plus complexes et dynamiques. Les stratégies de compte de service sont automatiquement appliquées en fonction de vos paramètres de configuration, améliorant ainsi la sécurité de vos comptes de service avec un minimum d'efforts administratifs tout en conservant une vue d'ensemble claire.
Intégration avec l'API de politique de compte de service
Une approche différente pour une gestion plus automatisée et plus cohérente des politiques de compte de service consiste à créer une corrélation automatisée entre SilverfortPolitique de compte de service de et un service tiers. Cela peut être établi via Silverfort intégrations ; par exemple, en utilisant SilverfortApplication Service Account Protection dans ServiceNow (voir ci-dessous).
Les intégrations de politiques de protection des comptes de service utilisent notre API Service Account Policy, qui permet un contrôle total sur les politiques de sécurité des comptes de service. Comme indiqué précédemment, certaines de ces politiques de sécurité peuvent être entièrement automatisées à l'aide de politiques intelligentes. D'autres peuvent nécessiter des informations ou des instructions supplémentaires pour être efficaces. Du point de vue de l'automatisation, tout cela peut être lu et contrôlé via l'API.
Les fonctionnalités offertes par l'API sont nombreuses. Par exemple, vous pouvez exploiter cette API dans un playbook ou effectuer vos propres interactions API en fonction d'événements tiers.
Intégration avec CMDB (Configuration Management Database)
Une CMDB est souvent utilisée pour cartographier l'infrastructure complète d'une organisation en un seul endroit et fournir un système unique d'enregistrement de l'environnement. La CMDB consolide et conserve un ensemble combiné de données complexes provenant de différentes sources. Un emplacement unique comme une CMDB, où ce type d'informations est disponible et interrogeable, est un atout très précieux pour chaque service d'une entreprise.
L'un des composants clés d'une CMDB est une vue d'ensemble des applications et services en cours d'exécution. Cela inclut les versions logicielles, la cartographie du matériel, les flux de communication et les propriétaires. La CMDB contient une grande quantité de données sur ce qui permet à un service ou à une application de fonctionner.
Dans le contexte de la protection des comptes de service, Silverfort s'intéresse aux informations de compte de service liées à un service ou à une application dans la CMDB. L'exploitation des données de compte de service par rapport aux données d'application dans une CMDB permet Silverfort pour améliorer la posture de sécurité de l’INSA.
Non seulement le CDMB peut agir comme point de vérité unique, mais en tirant parti SilverfortCapacités de détection de compte de service, Silverfort est également capable de fournir un mécanisme de validation et de devenir l'une des sources de données pour l'exhaustivité et la cohérence des données de la CMDB. Par exemple, cela pourrait aider une organisation à détecter des comptes actifs qui ne sont documentés nulle part dans la CMDB.
Exemple : CMDB ServiceNow
Constatant la nécessité de capacités de protection des comptes de service automatisées et évolutives, Silverfort développé une application ServiceNow qui se concentre spécifiquement sur l'exploitation des données ServiceNow CMDB avec le Silverfort Politique de compte de service.
L'intégration permet une application automatisée de nos fonctionnalités de politique de compte de service sans aucune interaction avec les administrateurs de sécurité. Cela se produit en temps réel en fonction des données des applications et des services CMDB.
En utilisant le Silverfort Pour protéger le compte de service de votre instance CMDB ServiceNow, activez :
Évolutivité: Faites évoluer la protection des comptes de service en exploitant la CMDB comme source unique de vérité et appliquez les politiques de protection des comptes de service en temps réel.
La collaboration d'équipe: exploitez l'intégration pour faciliter la collaboration entre les équipes en matière de sécurité. Les équipes d'application qui mettent à jour les informations d'application CMDB peuvent ajuster les politiques de sécurité de ces applications sans aucune intervention manuelle des équipes de sécurité.
Minimiser les erreurs humaines: les erreurs sont facilement commises par les humains, mais pas par l'automatisation. Les données sources se reflètent immédiatement dans les politiques correspondantes avec les bonnes données au bon endroit.
L'intégration peut être installée via le ServiceNow Store ici.
Conclusion
Mise à l'échelle non humaine Protection de l'identité Le succès dépend de la cohérence et de la qualité du comportement du compte de service. SilverfortLa détection automatisée des comportements, la catégorisation et l'application des politiques intelligentes de facilitent considérablement l'étape initiale vers un environnement de compte de service entièrement automatisé et protégé.
Les environnements de plus grande taille connaissent une augmentation considérable des sources de données et utilisent généralement un magasin de données central (CMDB) comme source unique de vérité pour l'infrastructure informatique, y compris les données des applications et des services. Exploiter ces informations à l'aide de SilverfortLes capacités d'intégration de permettent une application précise et en temps réel des mesures de sécurité, créant ainsi une posture de sécurité plus forte et plus résiliente pour les NHI dans l'environnement.