BLOG

Protéger le périmètre identitaire

Miniature F5
F5
Publié le 25 juillet 2018

De nos jours, il est tout simplement impossible de creuser un fossé sûr autour de votre château. Il existe un large consensus sur le fait que le modèle de sécurité du périmètre du réseau de type « château et douves » n’est pas efficace. Vous avez probablement entendu parler du périmètre d’identité et du zero trust, mais que signifient-ils réellement ici, dans le monde réel ? Nous sommes également confrontés à d’autres défis, comme l’autorisation de l’accès aux API de manière cohérente et sécurisée, afin que les professionnels de la sécurité puissent les tester et les auditer.  

Qu'est-ce que le périmètre d'identité ? 

Le périmètre d’identité vise à sécuriser qui peut accéder à quoi, et il comporte trois parties clés. Tout d’abord, nous devons pouvoir identifier nos utilisateurs en toute sécurité. C’est là que Multifactor est utile. Deuxièmement, nous devons étendre cette identité aux applications : c’est là que nous utilisons la fédération. Troisièmement, nous devons également exiger que cette identité soit utilisée pour accéder à tout afin que nous ayons un point de contrôle unique et la possibilité d’inspecter l’appareil – c’est là qu’un proxy d’accès est utile. Le rapport de F5 Labs intitulé « Lessons Learned From A Decade Of Data Breaches » nous a montré que 33 % des violations ciblaient initialement les identités. Il est clair que nous avons du travail à faire. 

Pourquoi Access Proxy est essentiel 

La méthodologie BeyondCorp de Google identifie un proxy d’accès comme la fonction qui applique le point de contrôle unique. Cela en fait un élément essentiel d’une architecture de confiance zéro. Bien que certains fournisseurs proposent des solutions de proxy d'accès, la plupart sont limités quant aux clouds dans lesquels ils peuvent être déployés, aux fournisseurs d'identité auprès desquels ils peuvent consommer ou aux contrôles qu'ils peuvent appliquer.  

« Un proxy d’accès est un élément essentiel de l’adoption d’une architecture Zero Trust et étend les avantages de l’investissement dans IDaaS. « La combinaison de F5 et d'Okta optimise les deux offres pour améliorer la sécurité et l'expérience utilisateur partout où vos applications sont déployées. »
- Chuck Fontana, vice-président de l'intégration et des partenariats stratégiques d'Okta

L'authentification et le contrôle d'accès rompus sont des problèmes courants et suffisamment graves dans les applications Web pour figurer dans le Top 10 de l'OWASP. Les menaces sont si courantes que le contournement de l'authentification est très présent dans les bibliothèques de scripts d'attaque, comme le montre le rapport 2018 sur la protection des applications de F5 Labs . Les proxys d'accès fournissent une méthode cohérente de mise en œuvre des contrôles d'accès et des exigences d'authentification nécessaires devant les applications. Cela élimine le besoin de faire confiance au fait que chaque développeur d’application est un expert en authentification (ce qui est peu probable). Nous passons beaucoup de temps à parler de « délai de mise sur le marché », mais le « délai de sécurisation » est tout aussi important. 

API – la passerelle vers vos données 

Lorsque vous implémentez des contrôles d'autorisation d'API directement dans votre application, chaque langage et chaque framework doivent être implémentés un peu différemment. Cela rend très difficile l’évaluation et la détermination de l’efficacité des contrôles et augmente considérablement la quantité de contrôles de sécurité qui doivent être corrigés, testés et maintenus. Une solution unique qui fonctionne sur plusieurs clouds et qui est déployée de la même manière quelle que soit la langue de l'application est essentielle pour sécuriser avec succès les API. 

Quelle est l’approche de F5 ? 

F5 publie Access Manager pour aider les clients à résoudre ces problèmes. Voici quelques caractéristiques clés : 

  • Intégration IDaaS et Fédération – La prise en charge de SAML, OAuth et OpenID Connect permet à Access Manager d’étendre votre identité pour protéger davantage d’applications et maintenir un point de contrôle unique. Les principaux fournisseurs IDaaS tels qu'Okta et Azure AD sont pris en charge via une configuration guidée. Access Manager peut également agir en tant que fournisseur d'identité ou serveur d'autorisation, offrant ainsi une solution complète.

  • Autorisation API – Access Manager fournit un moyen sécurisé et cohérent de mettre en œuvre des contrôles d’autorisation pour votre API avec prise en charge d’OAuth, OpenID Connect, Certificate Auth, etc.

  • Protection des informations d'identification : les attaques contre l'identité ne s'arrêtent pas à la périphérie du centre de données, votre protection ne devrait donc pas s'arrêter non plus. Access Manager étend la protection de l'identité au navigateur de l'utilisateur en cryptant les informations d'identification au fur et à mesure que l'utilisateur les saisit avant même la soumission avec F5 DataSafe.

  • Contrôles de politique granulaires – Access Manager inclut un générateur de politique visuel qui vous aide à contrôler les risques en créant des contrôles granulaires par application, utilisateur ou appareil.

  • Configuration guidée – Distiller des tâches complexes en étapes simples avec des conseils clairs. Cela permet aux équipes de sécurité de mettre rapidement en place une architecture Zero Trust, de protéger une API, d’étendre la portée de leur solution IDaaS ou d’accorder l’accès à une application. 

Avoir hâte de 

Alors que F5 se tourne vers l’avenir, nous pouvons constater que de nouveaux modèles d’authentification des utilisateurs basés sur les risques sont nécessaires pour sécuriser l’identité d’une manière qui était impossible il y a quelques années seulement. Il est clair que l’intégration d’un proxy et de méthodes cohérentes de sécurisation de l’authentification et de l’autorisation sont essentielles. Attendez-vous à découvrir bientôt de nouvelles façons de sécuriser le périmètre d’identité.