Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
1. Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020
2. Pensez Zéro Trust pour sécuriser votre
infrastructure Cloud hybride dans Azure !
29 octobre 2020
Identity Days 2020
Jean-François Apréa | Seyfallah Tagrerout
3. Jean-François Apréa
Responsable technique Microsoft SPIE ICS
Microsoft MVP Cloud and Datacenter Management (14)
Microsoft P-Seller | Microsoft Azure Specialist
Auteur | Speaker
jean-francois.aprea@spie.com
• Zero Trust ? C’est maintenant !
• Identités et Contrôles des Accès au centre
• Déployer sa stratégie Zero Trust avec Microsoft
• Hybridation FIDO2 : Azure renforce votre AD
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
Seyfallah Tagrerout
Team Lead Cloud Architect AIM Services
Microsoft MVP Azure (7)|Microsoft P-Seller
Microsoft Azure Specialist | Auteur | Speaker
sta@aim-services.ch
‘’In a changing world, an IT strategy to work
together securely and remotely is required’’
4. 29 octobre 2020
Identity Days 2020
Repensez votre sécurité avec SPIE ICS
29 octobre 2020
Identity Days 2020
3 200
COLLABORATEURS
45 %
GRANDES
ENTREPRISES
60
SITES EN FRANCE
430
INGENIEURS et
EXPERTS
55 %
ETI
Cybersécurité
Smart data & IoT
Cloud & Services Opérés
Environnement
de travail digital
Infrastructures Conseil & innovation
Solutions
155
COLLABORATEURS
4 sites
En suisse
100
INGENIEURS et
EXPERTS
Solutions
Technology Solution
Managed Services Business soluton
Data intelligence
Repensez votre sécurité avec AiM services
Partenaire de l’année 2020 Suisse
Technical innovation
6. Identity Days 2020
29 octobre 2020
Utilisateurs, appareils, applications et données
sont protégés derrière un pare-feu réseau
Années 1990
A partir de 1995
Modèle traditionnel …
8. Identity Days 2020
29 octobre 2020
Evolution du Monde Numérique depuis 10 ans
Applications
professionnelles mobiles
utilisées quotidiennement
par les utilisateurs
5.2 M Des entreprises
utilisent le Cloud
94%
des organisations ont
actuellement un
programme BYOD en
place
60%
De périphériques
connectés sur Internet
sur la planète
7B
Mais en février 2020, les usages changent brutalement
‘’La crise du COVID accélère le changement et
nous force à résoudre de nouveaux challenges’’
9. Identity Days 2020
29 octobre 2020
Le monde d’avant … et la réalité d’aujourd’hui
Les utilisateurs sont des Employés
+ Matériels personnels
+ Explosion des Applications SaaS
+ Expansion des périmètres
+ Multitude de signaux disponibles
Appareils gérés
Applications
Réseau de l’entreprise
Journaux
+ Clients et Partenaires
‘’Aujourd’hui, le travail à distance se banalise
et la cybercriminalité explose’’
10. Identity Days 2020
Zero Trust : Du commencement à la réalité …
2004
Concept de
dé-perimétrisation
au Jericho Forum
2010
Forrester dépose le
terme “Zero Trust”
2009
Cyber-attaque Aurora
2014
Modèle de sécurité de Google
‘’BeyondCorp’’
Stratégie
Zero Trust
‘’Zero Trust traite chaque tentative d'accès
comme si elle provenait d'un réseau non
approuvé’’
11. Identity Days 2020
Principes du modèle Zero Trust: ‘’Never trust, always verify’’
29 octobre 2020
Vérification Explicite Privilèges Minimums Suppose une Violation
• Identité de l’utilisateur
• Emplacements réseaux
• Etat de santé du périphérique
• Classification des données
• Anomalies
• Accès JIT et JEA
• Politiques de risques
• Protection des données
• Minimisation de l’étendue des failles
• Limitation des mouvements latéraux
• Segmentation des accès en fonction
des réseaux
• Vérification des sessions de bout en
bout
12. Identity Days 2020
24 octobre 2020
Zero Trust : Un état d’esprit … pour une stratégie IT !
cybersecurity1 https://go.forrester.com/blogs/tech-titans-google-and-microsoft-are-transforming-cybersecurity/
29 octobre 2020
13. Identity Days 2020
29 octobre 2020
Zero Trust : Un état d’esprit … pour une stratégie IT !
Expérience identique
quelle que soit la Plateforme
Intégration entre
Identités, Périphériques,
Apps et Données
AI et Automation
pour sécuriser les Accès
Désormais, les standards Internet
sont et font la sécurité
14. Identity Days 2020
24 octobre 2020
Zero Trust sur Microsoft Azure
Aujourd’hui, les standards
Internet sont et font la sécurité
Source: Microsoft Digital Defense Report, September 2020
Diversité et volumétrie des
signaux traités par mois (09-2020)
en mode hyperscale
15. Zero Trust
Identity Days 2020
29 octobre 2020
Au centre, Identités, Authentifications et Contrôles des accès
16. Identity Days 2020
29 octobre 2020
Repositionner l’Identité au centre de l’IT
Cas 1 : J’ai de la chance mais pas mon IT !
Je peux faire du télétravail mais mon entreprise n’a pas
de stratégie d'accès à distance sécurisée. Aujourd’hui,
la cybercriminalité est au plus haut …
‘’La crise du COVID accélère le changement et
nous force à protéger les Identités et les Accès’’
Cas 2 : Je n’ai plus aucun accès à mes ressources !
Je souhaite travailler à distance et collaborer avec
mon équipe
Cas 3 : C’est la panique !
Pas de stratégie cloud et aucun moyen de travailler à
distance. Que faire ?
Cas 4 : J’ai plus de chance car j’ai O365 !
Je souhaite permettre le télétravail et la collaboration
à mes collaborateurs en toute sécurité
Scénarios rencontrés depuis la crise du COVID-19
17. Identity Days 2020
24 octobre 2020
Azure Active Directory : L’Identité du Cloud hybride
Fiabilité du service, sécurité et amélioration technique continue
Oct. 2019
Entreprises
Utilisent Azure AD
+100K
d’utilisateurs actifs en
moyenne par mois
+254M
Azure AD est le service Microsoft le + critique au niveau Worldwide
Opéré dans un ‘’monde dangereux’’ où le risque est au + haut
0,5% d'indisponibilité impacte +1 M d’utilisateurs
18. Identity Days 2020
24 octobre 2020
Attaques : 1ère vague COVID19 aux USA
Source: Microsoft Digital Defense Report, September 2020
20. Identity Days 2020
29 octobre 2020
Attaques : Explosion en 6 mois de COVID-19
Microsoft takes legal action against COVID-19-related cybercrime
Google Blocks 18 Million COVID-19 Related Scam Emails Each Day
21. Identity Days 2020
29 octobre 2020
Attaques : Nouveaux ransomware ‘’très sophistiqués’’
Source: Microsoft Digital Defense Report, September 2020
Human-operated ransomware attacks: A preventable disaster
23. 29 octobre 2020
Zero Trust : Accès conditionnels
Conditional Access App ControlConditional Access App Control
6.5 Trillion Signals/Day
Azure AD B2B
Azure Active Directory
24. Comment déployer sa stratégie Zero Trust
avec Microsoft ?
Identity Days 2020
29 octobre 2020
25. Identity Days 2020
29 octobre 2020
Azure AD P1/P2 et Microsoft 365 Defender
eXtended Detection and Response
26. Identity Days 2020
29 octobre 2020
Microsoft 365 Defender : Approche XDR
Maximiser la détection à toutes les étapes de l’attaque
User browses to a
website
Phishing
mail
Opens
attachment
Clicks on a URL
+
Exploitation
& Installation
Command
& Control
Attaque Brute Force ou
Utilisation d’identités volées
User account
is compromised
Attacker
attempts lateral
movement
Privileged
account
compromised
Domain
compromised
Attacker accesses
sensitive data
Exfiltrate data
Azure AD Identity Protection
Cloud App Security
MS Defender for Identity
Identity protection &
Conditional Access
Identity protection
Extends protection & conditional
access to other cloud apps
MS Defender for Endpoint
Endpoint protection
MS Defender for Office 365
Email protection
27. Identity Days 2020
29 octobre 2020
Microsoft 365 Defender : Protection des périmètres
Identity Days 2020
Defender for Identity
Defender for EndPoint
Defender for Office 365
Office365
ATP
30. Identity Days 2020
Strengthen your
credentials1 Azure MFA
Azure AD P1
Azure AD P2
• Sécurité
• Fiabilité
• Facilité
• Evolution
En 2019 moins de 10% d’activation de Azure MFA
Zero Trust : Etape par étape
31. Identity Days 2020
Strengthen your
credentials1 Password Protection
Deployez Password Protection
Smart lockout:
• Compte cloud only
• Comptes hybridés
Déployez le PasswordLess ( si c’est
possible ) –
• Windows Hello
• Fido 2 Security Keys
• Microsoft Authenticator
Zero Trust : Etape par étape
32. Identity Days 2020
Strengthen your
credentials1
Break glass account
1- Création de deux comptes Break Glass:
• Cloud only et PAS Sync
• 1-B : configurer le password
en Never Expire
Set-MsolUser -UserPrincipalName
breakglass@domain.onmicrosoft.com -
PasswordNeverExpires $true
2- Droit Global admin + exclusion
de toutes Conditional Access
3- Audit:
• Audit renforcé sur ces deux comptes avec :
• Azure Sentinel en création un playbook via
Azure Log Analytics
• Cloud App Security
33. Identity Days 2020
Strengthen your
credentials1
Break glass account
3- Audit:
• Audit renforcé sur ces deux comptes avec :
• Azure Sentinel en création un playbook avec
une règle Analytics
SigninLogs
| where UserPrincipalName == "ema1@fetads.onmicrosoft.com"
| where Status.errorCode == 0
| extend AccountCustomEntity = Identity
| extend IPCustomEntity = IPAddress
| extend HostCustomEntity = SourceSystem
Succès: Fail:
SigninLogs
| where UserPrincipalName == "BreakGlass@testseyf.onmicrosoft.com"
| where Status.errorCode != '0'
| extend AccountCustomEntity = Identity
| extend IPCustomEntity = IPAddress
| extend HostCustomEntity = SourceSystem
35. Identity Days 2020
Conditional Access
Policy Scenario Le résultat attendu What if - test avant
test réel
Test réel - Le
résultat
Commentaire
Policy1 Bloquer tous les accès aux
applications depuis l’extérieur (
en dehors network xxx)
Machine dans xxx : Accès
Machine en dehors de xxx :
Pas d’accès
Testé avec le What
if – Ok
Machine dans xxx :
Accès
Machine en dehors
de xxx : Pas d’accès
Rien à signaler – Policy
fonctionnelle
Policy2 Autoriser l’accès a Exchange
Online depuis les mobile Intune
+ MFA
Mobile compliante : Accès
avec MFA
Mobile No compliante : Pas
d’accès
Testé avec le What
if – NO Ok
Mobile compliante :
Accès avec MFA
Mobile No
compliante : Accés
avec MFA
Un souci sur la CA, il
faut vérifier la partie
Intune et voir la partie
compliance
Policy3 xxx xxx xxx xxx xxx
Policy4 xxx xxx xxx xxx xxx
• Bonnes pratiques
• Jeux de test avant production
• What If
• Report Only mode
• Trustez les locations
• Pilote
• Validation et PROD
Zero Trust : Etape par étape
36. Identity Days 2020
Conditional AccessReduce your attack surface2
Approche Zero Trust
Security defaults: Attention si Conditional Access déjà déployé !
Azure AD
P1 / P2
Zero Trust : Etape par étape
37. Identity Days 2020
Privileged Identity ManagementReduce your attack surface2
La gestion des comptes à privilèges :
• 1- Activez PIM pour la gestion des comptes à privilèges
• 2- Activez PIM pour tous les ROLES Admin sans exception ( Zero Trust)
• 3- Configurez les settings pour chaque rôle avec justification +MFA
• 4- Pour le Global Admin : la durée maxi doit être de 2heures max ( Zero
Trust )
• 5- Pensez à la durée de l’éligibilité surtout de vos prestataires ( Permanent
par défaut)
• 6- Configuration les notifications par email pour tous les évènements via
PIM
• 7-Configurer l’acces Review de manière hebdomadaire
Azure AD P2
Zero Trust : Etape par étape
38. Identity Days 2020
Azure Identity Protection3 Threat Protection
Activation d'Identity Protection
• 1- Activez la rule «User Risk Policy»
• 2- Activez la Rule «Sign-In Risk Policy»
• 3- MFA est recommandée par le conditional access
Azure AD P2
Zero Trust : Etape par étape
39. Identity Days 2019
On premise
MS ATA
Ms Defender
for Identity
DC
DC
Ms Defender for Identity
ATA as a Service
Intégration Cloud App et
MDATP
Workspace – Cloud
Multi-forêts AD
DC Shadow
Evolution continue
ATA Sensor
ATA sensor Standalone
EME E5 - M3565 E5 –
M365 Security E5
ATA
Architecture Prem
Server ATA Center
Une version majeur
par an
Pas de DC Shadow
ATA Gateway et light
gateway
EMS E 3
Microsoft ATA on Prem ou Cloud ?
Étape 3
MS Defender for Identity - ATA3 Threat Protection
Machine learning
Protection
Anticipation
Alerts
40. Identity Days 2020
MS Defender for Identity - ATA3 Threat Protection
Zero Trust : Etape par étape
41. Identity Days 2020
Vision SecOps
IMPORTANT !
• Déployez Microsoft Cloud app Security
• Azure Sentinel ( si abonnement Azure )
• Si M365 E5 utilisez Microsoft 365 Security Center
Azure AD P2 – M365 E5 – M365 E5 Security
Audting and Logging4
Zero Trust : Etape par étape
43. 29 octobre 2020
Accès sans mot de passe à vos applications
Identity Days 2020
Windows Hello for Business Microsoft Authenticator Clés de sécurité FIDO2
44. 29 octobre 2020
Protéger l’Identité avec l’Authentification FIDO / FIDO2
Identity Days 2020
2014 20181960s
- Authentification forte à 2 facteurs
- Une clé pour de nombreux services
- Forte défense contre le Phishing
- Aucun logiciel client, support natif
sous Windows 10 et Azure AD
FIDO2
FIDO2
FIDO2
FIDO U2FMots de passe
2004
Tokens & Smart
Cards
45. 29 octobre 2020
Hybridation FIDO2 : Ce que prépare Microsoft …
Identity Days 2020
Auth. Passwordless
avec clés FIDO2
Windows 10 en mode
Azure AD Joined (AADJ)
Windows 10 en mode
Hybride AADJ
Seamless SSO vers
les ressources Cloud
et On-Premise
46. 29 octobre 2020
Hybridation FIDO2 : Comment ça marche ?
Identity Days 2020
Client
Windows 10
Active
Directory
Domain Key
Contoso 394hwp…
Redmond Dreo322…
Azure AD
Connect
L'utilisateur s'authentifie auprès d'Azure AD avec
une clé de sécurité FIDO2
Azure AD cherche dans le tenant un serveur de clé
Kerberos une correspondance sur l’utilisateur On-
Premise correspondant au domaine AD local de
l'utilisateur.
- Azure AD génère ticket Kerberos TGT partiel (TGT)
pour le domaine AD local. Le TGT contient
uniquement le SID utilisateur.
- Aucune donnée d'autorisation (groupes) n'est
incluse.
Windows contacte le DC AD et échange le TGT
partiel contre un TGT complet
1
2
4
Le TGT partiel est retourné à Windows 10
avec le jeton de rafraîchissement principal
Azure AD (PRT)
3
5
Windows possède maintenant 2 jetons :
- Le PRT Azure AD
- Le TGT AD complet
1 3
4
5
1
Kerberos Server
Keys
Azure AD
Domain Key
Contoso 394hwp…
Redmond Dreo322…
Azure AD
Connect
2
50. Identity Days 2020
29 octobre 2020
• Documentez vous !
• Zero Trust Document Center : https://docs.microsoft.com/en-
us/security/zero-trust/
• Suivre le Microsoft Secure Score
• Intégrer vos applications dans Azure AD
• Activez le PTA ou PHS
• Activez le seamless SSO
• Azure MFA / Password Less
• Activez PIM
• Identity Protection:
• Policy de remédiation
• Break Glass Account
• Password Less
• Endpoint
• Patchez – Patchez – Patchez
Conditional Access
MFA Guest Access
MFA pour tous les Users
Jeux de test / What If
Politique d’accés
Trusted Location
Reporting - SecOps
• Device
• Azure Ad Logs ( sign in – apps )
• Risque User – Connexion – Location – IP
• Azure Sentinel
• Cloud app Security
• Password:
• Activez le Self password - Smart Lockout –
Password Protection
• Sensibilisation et communication
• End user
51. Merci à tous nos partenaires ! @IdentityDays #identitydays2020
‘’Merci beaucoup pour votre participation et
retrouvez-nous au GAV 2021 en avril
pour une journée entière de conférences et
de Workshops Zéro Trust’’