Barracuda full logo

Qu'est-ce que l'identité en tant que service et pourquoi devriez-vous vous soucier ?

Thèmes:
3 août 2022
|
Rich Turner

Il s'agit du premier volet d'une série de trois consacrée à l'identité en tant que service, Zero Trust et la sécurité en détail.  

Le cloud n'est plus une nouveauté, et en raison de la COVID-19, le travail à distance ne l'est plus non plus. Par conséquent, le monde traditionnel sur site a dû s'adapter à une décentralisation des employés dans laquelle le cloud joue généralement un rôle important. Mais cela ne s'est pas fait du jour au lendemain, il a fallu du temps pour que cela évolue.

Les entreprises ont généralement recours aux réseaux privés virtuels (VPN) ou au partage de bureau à distance (remote desktop sharing, RDS) pour assurer la communication entre les utilisateurs à distance. Ils sont très différents, et ont tous deux des contraintes spécifiques en matière de sécurité. En résumé, les VPN permettent aux utilisateurs d'accéder à des réseaux sécurisés, tandis que le RDS accorde un accès à distance à un ordinateur spécifique. Pratique et chiffré, certes, mais aussi évolutif et peu sécurisé par nature.

Le VPN permet à un utilisateur authentifié d'accéder à un réseau sécurisé, mais cette sécurité s'arrête là. Les fonctionnalités essentielles font défaut : les VPN ont des dispositifs de contrôle d'accès limités, pas de management des informations d'identification et aucun suivi des sessions. La plupart des VPN ne fournissent également aucun type de vérification de statut, par exemple, de vérification relative à l'emploi.  Ainsi, si un VPN peut établir un accès, il le fera mais pas sans risques. La protection des informations d'identification n'est tout simplement pas intégrée aux VPN, ce qui signifie que la protection par mot de passe est un processus distinct. Les VPN ne permettent pas non plus de surveiller l'activité sur le réseau, ce qui est particulièrement problématique en cas d'incident quelconque.

Le RDS, quant à lui, est un autre moyen d'accéder à distance à un ordinateur de bureau.  Il y a des solutions de bureau à distance qui utilisent une variété de protocoles, tels que la Independent Computing Architecture (ICA) ou l'informatique virtuelle en réseau (virtual network computing, VNC) mais le RDS est le plus répandu.

Le RDS exploite le protocole de bureau à distance, ou RDP, pour établir la connexion entre l'utilisateur et le bureau à distance. Le RDP crée un tunnel chiffré, un peu comme un VPN, et l'utilisateur à distance prend le contrôle du bureau cible. C'est là que réside le risque et il n'est pas vraiment différent de celui du VPN : pas de contrôle d'accès (une fois que vous êtes entré, vous êtes entré), pas de management des identités et un suivi limité des sessions.

Ces risques ne sont pas un phénomène nouveau. Le management des identités et des accès (IAM) est le moyen par lequel les entreprises confirment que les utilisateurs sont bien ceux qu'ils prétendent être et qu'ils ont le droit d'accéder à des applications, des ressources et des services spécifiques. L'IAM et les services d'annuaire travaillent de concert : alors qu'un annuaire est un endroit où vous stockez des informations sur les utilisateurs, l'IAM est la façon dont vous alimentez et gérez cet annuaire.

<>Comment le DaaS/l'IDaaS peut aider à minimiser les risques

Ainsi, vous allez intégrer à votre RDS ou VPN une forme d'IAM. Dans certains cas, cet IAM est fourni avec une workload ou une application particulière, le meilleur exemple étant Azure Active Directory (AAD). Si les administrateurs informatiques peuvent assurer la gestion des utilisateurs d'Office sur site, AAD rend ce processus plus fluide et plus autonome. C'est ainsi que l'IAM et les services d'annuaire se combinent à un logiciel en tant que service, connu sous le nom de « directory-as-a-service » (DaaS) ou plus communément « identity-as-a-service » (IDaaS).

Grâce à l'IDaaS, les entreprises demanderaient à leurs utilisateurs de se connecter à un service de management des identités et des accès basé sur le web avec leurs identifiants d'entreprise, puis d'accéder à des applications SaaS telles que Zoom ou Microsoft 365 sur Internet. Comme la plupart des entreprises vivent dans un monde hybride, l'accès à distance aux applications sur site nécessite toujours un VPN, un RDS ou un accès similaire. En utilisant un proxy, la solution IDaaS pourrait également assurer la sécurité de ces demandes de connexion.

Les applications SaaS et non-SaaS nécessitant un accès, l'idée d'utiliser des proxies est devenue une option fédératrice. Des solutions telles que Symantec Secure Access Cloud permettent à l'utilisateur d'accéder uniquement à l'application rendue publique par le proxy, et non à l'accès à l'ensemble du réseau accordé par un VPN. Le trafic étant acheminé par le service IAM de Symantec, la session peut faire l'objet de contrôles d'accès avancés tels que l'intégrité de l'appareil, le risque lié à la session ou le type d'application client utilisée.

Pourtant, un problème subsistait et la multiplication du nombre de travailleurs à distance a clairement établi que cette solution fédératrice était indispensable. Nous aborderons ce point dans notre prochain billet de blog et verrons comment une nouvelle stratégie appelée « Zero Trust » pourrait constituer une meilleure alternative.

En attendant, découvrez la solution CloudGen Access de Barracuda. Il s'agit d'un exemple de solution Zero Trust simplifiée et optimisée, qui constitue une approche plus sûre pour relever les défis que pose l'accès à distance.

 

Il s'agit du premier volet d'une série de trois hebdomadaires consacrée à la sécurité en profondeur





Rich Turner

Rich est directeur marketing pour les produits de cloud public chez Barracuda. Il a rejoint l'équipe dans le cadre de l'acquisition de C2C Systems en 2014. Rich est l'un des experts du cloud public de Barracuda. Il travaille directement sur les écosystèmes cloud et est cité dans des e-books de Microsoft sur la sécurisation du cloud public. Il est également contributeur régulier des blogs thématiques sur le cloud de Barracuda. Dans le cadre de notre travail sur le cloud, il aide au développement de stratégies et à leur exécution avec nos partenaires et nos équipes commerciales.

Si vous souhaitez entrer en contact avec Rich, vous pouvez vous connecter avec lui sur LinkedIn et le suivre sur Twitter.

Vous pouvez contacter Rich par e-mail à l'adresse rturner@barracuda.com.

Billets associés :
Prochains webinaires à ne pas manquer
Prochains webinaires à ne pas manquer
 Avec l’essor des agents d’IA, l’application de la confiance zéro devrait finalement s’imposer
Avec l’essor des agents d’IA, l’application de la confiance zéro devrait finalement s’imposer
 Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Appareils, informatique, sécurité. Tout est une question de périphérie.
Appareils, informatique, sécurité. Tout est une question de périphérie.
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.