Stratégie

Directory as a Service, c’est parti !

SylvainLeave a comment

AzureADDoma1Ça y est ! Microsoft rend public Azure AD Domain Services (à ne pas confondre avec Azure AD ou avec le fait d’installer un DC sur la plateforme IAAS d’Azure… Bon, je sais, ca devient un peu compliqué) qui est la première brique d’une approche qui fait fantasmer énormément de monde: le Directory As A Service ou DaaS. Alors oui, vous allez me dire le DaaS c’est aussi le « Data as a Service », le « Desktop as a service », etc… bon d’accord, alors écrivons le comme cela: DIRaaS, cela sera plus clair…

Donc pour faire simple, Microsoft rend public un nouveau service Azure permettant de créer un service online « simulant » un Active Directory dans Azure (côté SaaS, pas côté IaaS): Azure AD Domain Services. Les objectifs de ce service sont multiples:

(1) Permettre aux entreprise qui possèdent des applications AD dépendantes dans l’IaaS d’Azure (donc des applications hébergées sur des machines virtuelles Azure pour faire simple) de consommer un service Active Directory standard (enfin presque…) sans être obligé d’installer et de maintenir des DCs sur des machines virtuelles Azure uniquement pour des besoins applicatifs

(2) Permettre à des petites entreprises de pouvoir TOUT consommer sous la forme de service d’infrastructure depuis la plateforme Azure – Mais attention, à ce stade il n’est possible que de joindre des machines qui sont des VMs dans Azure, donc ici, pas possible de joindre un domaine Azure AD Domain Services depuis par exemple une machine Windows 10 qui est « on premises » (alors que cette fonction existe avec AD Azure, oui je sais c’est un peu compliqué…)

(3) A terme, fournir un véritable DIRaaS pour les grandes entreprises. Sur ce point, oui, je sais,  j’extrapole, mais je sens bien les choses comme cela, et franchement c’est assez intéressant. Bien sur il y a encore pas mal de dev à faire, mais cela va venir, j’en suis persuadé…

Faire des tests !

En effet, dans le cadre de la gestion de VMs qui sont dans Azure et qui possèdent des applications dépendantes à AD, il faut voir globalement le service Azure AD Domain Services comme un service qui expose les protocoles Kerberos, NTLM, LDAP et GPOs – les VMs Azure peuvent donc joindre ce domaine. Mais attention, on est pas ici exactement comme un domaine AD, donc il est important de faire des tests pour valider que vos applications sont fonctionelles dans ce contexte technique et être certain qu’elles fonctionnent avec ce service – à ce jour, je ne suis pas sur qu’il existe un catalogue officiel d’applications certifiées pour le service, cela viendra certainement.

En bref.

Super intéressant, à tester. Plus d’informations [ ici ]

Gestion des privilèges et protection de la donnée : quelle stratégie adopter ?

SylvainLeave a comment

Les 2, 3 & 4 décembre 2014, Las Vegas a hébergé la convention annuelle sur la gestion des identités : « The Gartner IAM Summit ». J’avais assisté au Summit de l’année dernière (version Europe), et l’une des sessions qui m’avait laissé le plus dubitatif portait sur la gestion des privilèges… En effet, la session s’appelait « The Death of Least Privilege » – ce qui me semble être au mieux un rêve fou, au pire un postulat complètement improbable dans certains secteurs d’activité comme par exemple le secteur bancaire, soumis à des règles de régulation de type PCI-DSS…

Les échos que j’ai reçus de la suite de cette session, cette année, m’ont conforté dans certaines convictions… L’approche du Gartner a quelque peu évoluée… L’idée est maintenant de séparer en deux populations et deux périmètres distincts les employés d’une organisation :

  1. Une population à « haut risque » représentée par les administrateurs systèmes, les gestionnaires applicatifs, les responsables de la production de données, etc… qui représente environ 20% de la population d’une entreprise => La gestion des privilèges est ici un enjeu majeur
  2. Une population « Lambda » qui consulte les données et en créé très peu, avec des comptes systèmes qui n’ont aucun pouvoir => ici, l’approche n’est pas de gérer finement les privilèges mais de résonner en mode « IAM People centric » – ce qui signifie globalement que l’effort investi dans la gestion des privilèges dans cette population n’a pas de ROI possible – qu’il faut plutôt investir dans des solutions IAM simples, sans gestion des privilèges, bénéficiant d’une approche unitaire des choses, par exemple, en basant le contrôle d’accès sur un annuaire et des groupes, mais rien de plus complexe

Encore une fois, l’idée est ici de pouvoir fournir un véritable retour sur investissement ou pas – et pour en avoir réalisé – fournir un retour sur investissement du déploiement d’une solution de gestion de privilèges sur des postes de travail standardisés pour une population sans compte administrateur local… c’est comme qui dirait… pas évident…

Cette slide résume bien la situation actuelle et la tendance en termes de stratégie :

Source: Gartner IAM Summit 2014

En effet, l’avènement de la multiplicité des supports et formes d’accès aux données (PC, navigateur, mobile, tablette, etc.) m’amène à penser que seul une protection au niveau de la donnée elle-même est valide. Ici, point besoin de gestion des privilèges au niveau du « poste de travail », mais il faut :

  1. Décider des critères de classification et de diffusion de la donnée
  2. Appliquer cette stratégie de classification et de diffusion via des règles automatiques sur les supports de données permettant un traitement automatique
  3. Implémenter une solution de choix de la classification et du critère de diffusion des données au niveau du créateur de la donnée elle-même : la classification basée sur le choix du créateur de l’information est réellement la seule valide et indiscutable
  4. Déployer une solution de DLP voir d’IRM basée sur ces critères de classification et de diffusion

Le nouveau monde nous amène à penser différemment la protection de l’information et des privilèges des utilisateurs au niveau du SI – Ne dépensez pas de l’argent dans un projet de gestion des privilèges au niveau des utilisateurs « normaux » mais consacrez l’investissement là où il y a de la valeur, c’est-à-dire au niveau de la donnée.

En parallèle, investissez immédiatement dans un projet de gestion des privilèges au niveau des personnes possédant des comptes à pouvoir, là où vous trouverez un ROI immédiat en termes de sécurité et même de continuité de service, donc un intérêt fort pour le business.

Cette slide résume cette idée, les analystes du Gartner indiquent que cette transformation de l’approche de protection des données dure en moyenne 3 ans, ce qui me semble un très bien chiffre – Un projet de classification et de protection de l’information couplé à une solution de gestion des privilèges est effectif très rapidement, après 6 mois, mais l’ensemble des périmètres critiques n’est couvert qu’après au moins une vingtaine de mois. Le problème, c’est que notre approche « française » des choses biaise ce type d’approche – combien de RSSI m’ont indiqué : «  si je ne peux pas couvrir l’ensemble du périmètre, je ne bouge pas ! » – je pense que c’est l’argument le plus consternant qu’une personne en charge de la « sécurité » peut me fournir, à priori, plutôt que de protéger 20% du périmètre, il vaut mieux être à poil, curieuse approche…

Source: Gartner IAM Summit 2014

Pour finir, une slide résumant l’approche d’un projet de gestion des privilèges selon le Gartner, pour moi, les deux points cruciaux sont « Limit Scope » et « Monitor access » :

Source: Gartner IAM Summit 2014

En espérant vous avoir donné quelques pistes sur vos futures projets – n’hésitez pas à laisser vos commentaires ou à me contacter pour des retours d’expérience.

Les communautés techniques Microsoft

SylvainLeave a comment

Juste un post éclair pour fêter la nouvelle année 2015 et pour vous conseillez de faire un tour sur le site web des communautés techniques Microsoft – c’est une vraie mine d’or concernant les communautés numériques du monde entier. Quel que soit votre expertise ou votre question, quelque part, un « esprit communautaire » est prêt à vous aider dans votre quête !

Un bon résumé visuel de l’offre Microsoft Azure

SylvainLeave a comment

Microsoft a publié une mise à jour de son infographie représentant les différents services Microsoft Azure. Pour être honnête, le schéma global n’est pas très précis et certaines briques de services ne sont pas présentes, mais il s’agit tout de même d’un très bon moyen de se représenter l’offre Microsoft Azure quand il faut l’expliquer à des profanes. De toute façon, par nature, il est très compliqué d’obtenir un schéma complet à 100% car les évolutions des services en ligne se font à un rythme effréné…Voici quelques copies d’écran partielles de cette infographie :

La version PDF complète est téléchargeable [ ICI ]

Retour du Microsoft MVP Summit 2014

SylvainLeave a comment

 

Et voilà, un nouveau MVP Summit vient de s’achever avec son lot de nouveautés, de soirées endiablées et de repas américains.

 

Au-delà des sessions techniques proposées par Microsoft, comme d’habitude, ce fut un réel plaisir de pouvoir échanger avec la communauté des MVPs venant du monde entier.

 

Quelques annonces « marketing » intéressantes qui sont devenues publiques depuis, comme le changement de nom de Lync pour la prochaine année [ voir le blog skype ici ] ou d’autres annonces que je ne peux pas divulguer à cet instant.

Des sessions techniques passionnantes sur Azure Active Directory et ses évolutions futures, avec un seul mot en tête : « cloud, cloud et encore cloud »…

 

Pour finir, une spéciale dédicace à Joris Faure, qui assistait à son premier Summit.

   

 

Kuppingercole Analysts publie un Executive View sur Centrify Server Suite

SylvainLeave a comment

Kuppingercole, cabinet d’analystes spécialisé dans la gestion des identités publie un Executive View » sur l’éditeur Centrify (spécialisé sur les offres IAM on-premise et cloud) et son offre principale Centrify Server Suite. Kuppingercole Analysts reste pour moi le dernier cabinet indépendant qui a une vraie vision à la fois technique et stratégique sur le monde de la gestion des identités et des accès – profitons de son savoir-faire : http://www.kuppingercole.com/report/70886executiveviewcentrifyserversuite140714

Microsoft annonce que FIM devient MIM

SylvainLeave a comment

Dans son billet daté du 23 Avril 2014, Microsoft annonce le changement de nom de FIM (Forefront Identity Manager) vers MIM (Microsoft Identity Manager). Cette évolution naturelle fait suite à la volonté de Microsoft de sortir du marché de la sécurité, et donc « d’éliminer » la gamme Forefront. La gamme Forefront avait pourtant trouvé son public, c’est assez bizarre à la vue des efforts déployés pour investir le marché de la sécurité – gageons qu’il s’agit d’une gestion des priorités – et qu’il fallait trouver des développeurs pour Azure et les autres services Cloud à effectif constant.

Un des seuls survivants de cette gamme est donc « ex-FIM », mais il fallait trouver un autre nom… MIM est important pour le dispositif Cloud de Microsoft, car il s’agit d’une brique primordiale pour le lien entre les architectures « on-premise » et « cloud » – grâce à MIM, Microsoft possède le moteur du cloud hybride en ce qui concerne la gestion des identités et capitalisera sur une bonne quinzaine d’années d’expérience sur le sujet (rachat de ZoomIT en 1999).

Voir le billet originel sur le « Microsoft server & cloud blog » : Forefront Identity Manager vNext roadmap (now Microsoft Identity Manager)

Ou ici :

Back in December we announced that we would be shipping the next version of Forefront Identity Manager in the first half of 2015. 

Today we would like to provide an update with further details of this release, including our approach and the investments we are making to enhance our on-premises, private cloud and hybrid cloud identity management solutions. 

Forefront Identity Manager helps your organization ensure users have appropriate access corporate information regardless of where it is located—in your datacenter or in the cloud, by providing self-service identity management, automated lifecycle management across heterogeneous platforms, a rich policy framework for enforcing security policies, and detailed audit capabilities. 

Our approach to the next version of Identity Manager is guided by the following customer feedback and innovation goals: 

  • Continue to address risks to critical assets, by enhancing and expanding the available protections for enterprise identity, ensuring the enterprise’s identity infrastructure is resilient to targeted attacks 
  • Enable the mobile access scenarios that customers are looking to adopt and manage from a broad range of devices across on-premises and cloud services 
  • Connect with Azure Active Directory to integrate with its features and extend the reach of enterprise identity to a range of Software-as-a-Service applications  
  • Deliver easy-to-deploy end-to-end scenarios that complement investments in Windows, Office, Microsoft Azure, and Active Directory with end user self-service, delegation and configurable policies 

We have three major investment areas for this release of Identity Manager: 

  • Hybrid scenarios that leverage cloud-based services delivered in Microsoft Azure, including Multi-Factor Authentication, Azure Active Directory application integration, analytics and reporting  
  • Support for the latest platforms and mobile devices with modern user interfaces  
  • Improved security with additional controls, analytics and auditing of administrative and privileged user identities and their access to Active Directory, Windows Server and applications  

As part of the next release, we will also move Identity Manager under the Microsoft brand, so this release will be known as Microsoft Identity Manager.  

More details will be available next month at the TechEd North America 2014 breakout session PCIT-B328, scheduled for May 14th at 5:00 PM US Central time. We will also have more to share and later in the year including timelines for preview programs and the release schedule.   

If you have any further questions please contact your Microsoft or partner sales representative.