La gestion des identités et des accès, qu'est-ce que c'est ?

La gestion des identités et des accès (IAM) est un moyen de gérer les identités des utilisateurs (personnel, services, serveurs), d'automatiser le contrôle des accès et d'assurer la conformité des environnements traditionnels et conteneurisés, de manière centralisée et cohérente. Par exemple, la mise en place d'un VPN pour les employés qui doivent accéder aux ressources de l'entreprise depuis leur lieu de télétravail est une solution d'IAM.

L'IAM contribue à s'assurer que les bonnes personnes disposent d'un accès adéquat aux bonnes ressources, en particulier au sein de plusieurs instances cloud. Les frameworks IAM permettent de gérer de manière centralisée les identités dans les environnements bare metal, virtuels, de cloud hybride et d'edge computing, ce qui limite les risques en matière de sécurité et de conformité.

Les méthodes d'IAM s'appuient sur l'identité de l'utilisateur ou de l'application ainsi que sur les politiques définies par les administrateurs pour contrôler l'accès aux ressources, applications et données sur site et dans le cloud. Elles s'utilisent à chaque étape du cycle de vie DevOps et peuvent vous aider à protéger votre environnement contre les accès au système non autorisés et les déplacements latéraux. 

Voici les principaux concepts de l'IAM :

• Authentification : vérifier l'identité des utilisateurs, des services et des applications.

• Autorisation : permettre aux utilisateurs authentifiés d'accéder à des ressources et à des fonctions précises. 

• Fournisseurs d'identité, coffres-forts à secrets et boîtes noires transactionnelles (HSM) : permettre aux équipes DevOps de gérer et protéger les informations d'identification de sécurité, les clés, les certificats et les secrets, au repos et en transit. 

• Provenance : vérifier l'identité ou l'authenticité d'un fichier de code ou d'une image, notamment à l'aide d'une signature numérique ou d'un certificat.

Pour faire face aux évolutions constantes du domaine de la sécurité, les solutions d'IAM offrent parfois des fonctions supplémentaires, comme l'intelligence artificielle (IA), l'apprentissage automatique (AA) et l'authentification biométrique.

L'authentification consiste à confirmer ou à vérifier l'identité d'un individu. L'identité d'un utilisateur (ou identité numérique) comprend des informations qui permettent d'authentifier un individu, un service, voire des appareils connectés pour qu'ils puissent accéder à des ensembles de données ou des réseaux d'une entreprise. Prenons un exemple très simple : lorsqu'un individu se connecte à un système à l'aide d'un mot de passe, ce système peut utiliser les informations saisies (le mot de passe) pour vérifier l'identité présentée.

En plus de recueillir les informations de connexion, le processus d'authentification permet également aux administrateurs informatiques de surveiller et gérer l'activité dans l'ensemble de l'infrastructure et des services. 

Il existe plusieurs approches pour mettre en œuvre une politique de sécurité afin de renforcer la sécurité d'un environnement sans compliquer l'expérience pour les utilisateurs. Deux approches sont plus couramment adoptées : l'authentification unique et unifiée (SSO) et l'authentification multifactorielle (MFA).

• SSO : pour accéder à différents services, appareils et serveurs, les utilisateurs doivent s'authentifier à chaque fois de manière séparée. Avec la méthode SSO, les services configurés peuvent recourir au service d'identité centralisé pour connaître les utilisateurs vérifiés. Ces derniers n'ont ainsi besoin de s'authentifier qu'une seule fois pour accéder à plusieurs services.

• MFA : il s'agit d'une couche supplémentaire de sécurité qui met en place plusieurs étapes de vérification de l'identité avant d'accorder l'accès au système ou service. Cette méthode peut nécessiter l'utilisation de dispositifs cryptographiques, comme des jetons matériels et des cartes à puce, ou la configuration de types d'authentification tels que RADIUS, PKINIT ou des mots de passe, y compris des mots de passe à usage unique et plus forts.

Vous pouvez également utiliser d'autres outils au sein de votre infrastructure pour gérer plus facilement les identités. Ces outils seront particulièrement utiles dans des environnements complexes ou distribués, notamment pour les pipelines cloud ou CI/CD, où l'authentification des utilisateurs peut être difficile à mettre en œuvre. Dans un environnement DevSecOps, les rôles système peuvent être très utiles. Grâce à des workflows de configuration automatisée à la fois cohérents et reproductibles, les administrateurs informatiques peuvent gagner du temps et des ressources, ce qui finit par réduire la charge et le nombre de tâches manuelles associées au déploiement, à l'administration des identités et au provisionnement/déprovisionnement.

L'authentification consiste à identifier les individus qui tentent d'accéder à un service. L'autorisation consiste à définir ce que les utilisateurs ont le droit ou non de faire dans ce service, par exemple modifier, créer ou supprimer des informations. 

Le contrôle des accès approfondit encore la gestion des identités, car il attribue à une identité d'utilisateur un ensemble de droits d'accès prédéterminés. En général, ce type de contrôles est défini lors de la configuration du compte ou du provisionnement des utilisateurs, et s'effectue selon le principe du « moindre privilège », l'une des bases du modèle Zero Trust.

Selon le principe du moindre privilège, l'utilisateur se voit accorder un accès ciblé aux ressources dont il a besoin pour un but précis, comme un projet ou une tâche, et peut uniquement exécuter les actions (autorisations) requises. Les politiques d'accès peuvent également restreindre l'accès à certaines ressources après un certain délai. 

Par exemple, des employés peuvent disposer des autorisations nécessaires pour accéder à davantage de ressources que des tiers, comme les sous-traitants, les partenaires, les fournisseurs et les clients. Lorsqu'un utilisateur obtient une nouvelle autorisation d'accès, les administrateurs informatiques se chargent d'effectuer les modifications nécessaires dans la base de données des identités.

Les systèmes de gestion des accès qui suivent le principe du moindre privilège incluent généralement des fonctions de gestion des accès privilégiés (PAM) et de contrôle d'accès basé sur les rôles (RBAC). 

La gestion des accès privilégiés est un élément majeur de contrôle d'accès. Les administrateurs et les équipes DevOps qui s'en chargent disposent souvent d'un accès total aux données sensibles, ce qui leur permet d'apporter des changements aux applications, aux bases de données, aux systèmes et aux serveurs de l'entreprise. 

Le RBAC définit des rôles ou des collections d'utilisateurs, puis leur donne accès aux ressources ou fonctions adaptées aux responsabilités de leur poste. Le processus devient ainsi plus cohérent et plus clair, ce qui simplifie l'administration et l'intégration d'utilisateurs, en plus de réduire l'accumulation de privilèges inutiles. Le RBAC automatise l'attribution des droits d'accès en fonction du rôle de l'utilisateur dans l'entreprise, avec à la clé un gain de temps et de ressources.

L'IAM introduit une couche de sécurité intégrée au pipeline de développement d'applications, ce qui est indispensable pour mettre en œuvre des pratiques DevSecOps dans l'entreprise. Sans elle, il est impossible d'adopter une approche par couches de la sécurité dans les environnements bare metal, virtuels, cloud et de conteneurs. 

Un système d'IAM doit absolument prendre en charge des solutions pour plusieurs environnements et charges de travail. Il doit donc pouvoir être mis en œuvre pour toutes les étapes de développement, de test, d'exploitation et de surveillance des applications.

Il existe de nombreuses solutions d'IAM. Voici quelques conseils que les entreprises peuvent suivre pour trouver la solution adaptée :

• Effectuer un audit des systèmes existants et nouvellement installés, surtout si les applications sont hébergées à la fois sur site et dans le cloud

• Identifier les failles de sécurité pour les parties prenantes internes et externes

• Définir des types d'utilisateurs et leurs droits d'accès

Après avoir déterminé les éléments nécessaires pour sécuriser votre entreprise, vous pouvez choisir la solution d'IAM à déployer : une solution autonome, un service de gestion des identités ou un service de souscription cloud fourni par un tiers, tel qu'un service de type IDaaS (Identity-as-a-Service).

Red Hat® Enterprise Linux® offre une expérience d'authentification fiable, simplifiée et cohérente dans un environnement de cloud hybride ouvert. Cette solution inclut des capacités de gestion des identités centralisée qui vous permettent d'authentifier des utilisateurs et de mettre en œuvre le RBAC, à l'aide d'une interface unique et évolutive qui couvre l'ensemble de votre datacenter.

En utilisant les fonctions de gestion des identités de Red Hat Enterprise Linux, vous pouvez :

• simplifier considérablement votre infrastructure de gestion des identités ;

• mieux respecter les nouvelles exigences de conformité (PCI DSS, USGCB, STIG, etc.) ; 

• réduire les risques d'accès non autorisés ou d'accumulation des privilèges d'accès ;

• créer les bases d'un environnement d'exploitation très dynamique, évolutif, cloud et conteneurisé ;

• préconfigurer le contrôle des accès dans les nouveaux systèmes, les machines virtuelles et les conteneurs ;

• réduire le coût de l'exploitation quotidienne et les coûts indirects liés à la sécurité.

Les fonctions de gestion des identités de Red Hat Enterprise Linux s'utilisent également avec Microsoft Active Directory, le protocole LDAP (Lightweight Directory Access Protocol) et d'autres solutions d'IAM tierces par le biais d'interfaces de programmation d'application (API) standard. Il est également possible de centraliser la gestion de l'authentification et de l'autorisation pour les services qui utilisent des techniques basées sur les certificats.

Les produits en couches comme Red Hat OpenShift® qui s'exécutent sur Red Hat Enterprise Linux bénéficient de ses technologies de sécurité et étendent les fonctions de cybersécurité intégrée au développement d'applications conteneurisées.