L'IAM dans le cloud
Comprendre L'IAM
La gestion des identités et des accès (Identity and Access Management) consiste à définir et à gérer les rôles et les privilèges d’accès des utilisateurs aux services et aux ressources d’une infrastructure.
Il convient de définir une stratégie efficiente d’attribution des rôles afin de conserver une cohérence dans le SI, pour cela plusieurs stratégies d’habilitation existent, en voici les principales :
• DAC pour Discretionary Access Control, l’accès aux ressources se base sur l’identité des utilisateurs. L’utilisateur est administrateur de ses ressources et est capable de transmettre des permissions sur ses ressources à n’importe quel autre utilisateur.
Dans cet exemple, Alice la DRH est propriétaire du répertoire RH dans lequel sont présentes les données des collaborateurs de l’entreprise, elle partage les droits de lecture et d’écriture de ce répertoire à Bob. Charles n’aura pas accès à ce répertoire tant qu’Alice, ou tout autre administrateur du répertoire, ne lui aura pas personnellement attribué les droits.
• MAC pour Mandatory Access Control, utilisé lorsque la politique de sécurité des SI impose que les décisions de protection ne doivent pas être prises par le propriétaire des ressources concernées. L’accès aux ressources est restreint en fonction de la sensibilité des informations et du niveau d'autorisation de l’utilisateur. Lorsqu’un utilisateur dispose d’un niveau d’autorisation, il dispose également des droits d’accès à tous les niveaux inférieurs, ainsi, un utilisateur ayant le niveau 3 d’autorisation aura également accès au niveau 2 et 1, mais n’aura pas accès au niveau 4.
Dans cet exemple, Alice la DRH dispose des droits d’accès au répertoire contenant les informations des 100 personnes les plus importantes de l’entreprise. Ces informations sont confidentielles au sein de l’entreprise, et seules quelques personnes y ont accès. Bob n’a pas accès à ce répertoire, mais il a cependant accès aux informations de tous les autres employés.
• RBAC pour Role Based Access Control, l’accès aux ressources se base sur le rôle auquel l’utilisateur est associé. Un rôle découle souvent de la structure de l’entreprise, les utilisateurs dont les fonctions sont similaires peuvent être regroupés sous le même rôle.
Dans cet exemple, l’équipe des Ressources Humaines dispose du rôle RH qui leur donne accès au répertoire RH. Chaque nouveau collaborateur arrivant dans l’équipe RH se verra attribuer le rôle RH ce qui lui donnera exactement les mêmes accès que ses collègues.
• ABAC pour Attribute Based Access Control, l’accès aux ressources se base sur des attributs. Ces attributs peuvent être attachés à des utilisateurs, des rôles ou des ressources.
Dans cet exemple, Alice la DRH a accès au répertoire du top 100 car celui-ci contient l’attribut “Direction”. Bob n’y a pas accès car le seul attribut qui lui est associé est l’attribut “RH”
Il est possible de mettre en place ces stratégies au sein d’une infrastructure on premise, ou d’utiliser des services cloud.
Offre Azure
Azure RBAC
Azure propose une implémentation RBAC basé sur Azure Resource Manager, le service de déploiement et de gestion d’Azure. Voici quelques exemples de ce qu’il est possible de faire avec le contrôle RBAC Azure :
- Autoriser un utilisateur à gérer des machines virtuelles dans un abonnement et un autre utilisateur à gérer des réseaux virtuels
- Permettre à un groupe d’administrateurs de base de données de gérer des bases de données SQL dans un abonnement
- Permettre à un utilisateur de gérer toutes les ressources dans un groupe de ressources, telles que des machines virtuelles, des sites Web et des sous-réseaux
- Permettre à une application d’accéder à toutes les ressources d'un groupe de ressources.
Il est possible de créer des rôles personnalisés, mais Azure propose aussi des rôles intégrés. Il existe quatre rôles Azure fondamentaux. Les trois premiers s’appliquent à tous les types de ressources :
Azure ABAC
Azure propose également une stratégie ABAC en pré-version, certaines fonctionnalités peuvent être limitées ou non prises en charge, cette version n’est pas encore recommandée pour la production.
Offre AWS et GCP
AWS et GCP proposent quant à eux une stratégie ABAC pour leurs infrastructures.
Quelle stratégie choisir ?
Il n’y a pas de réponse type à cette question, il conviendra de choisir la bonne stratégie en fonction des besoins de chacun.
La stratégie RBAC est la plus populaire, l’avantage principal de ce modèle est qu’il n’y a pas besoin d’autoriser ou révoquer les accès de façon individuelle, les utilisateurs étant rassemblés en fonction de leurs fonctions dans l’entreprise. Cette stratégie est cependant difficile à mettre en place dans une grande entreprise dont les accès doivent souvent se faire avec une granularité plus fine.
La stratégie ABAC permet d’obtenir cette finesse, il est possible de créer des règles métiers complexes et de les mettre en place rapidement. Cependant cette stratégie est plus difficile à configurer au début car il convient d’effectuer un audit dans le but de déterminer l’exposition au risque pour chaque poste d’employé.