SlideShare uma empresa Scribd logo

Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Thierry Deman lors de la quatrième édition des Identity Days.

Tecnologia
1 de 36
Baixar para ler offline
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
Quel avenir pour Active Directory DEMAN Thierry DAKHAMA Mehdi 27 octobre 2022 - PARIS Identity Days 2022
Mehdi DAKHAMA Expert AD Chercheur Cyber Sécurité Thierry DEMAN MS MVP depuis 2002 Senior System Architect • Présentation rapide de l’AD • Rappel des enjeux de l'Active Directory • Pourquoi doutons nous de l'AD ? • Quelques alternatives de l'AD ? • Azure AD remplacera-til l'AD ? • Conclusions Plan de présenation 27 octobre 2022 - PARIS Identity Days 2022
Présentation rapide de l’AD Identity Days 2022 27 octobre 2022 - PARIS
Rôle de l'Active Directory L'Active Directory est service d'annuaire responsable de la gestion d'identité apparu sur Windows 2000 pour la première fois. Active directory (Kerberos+LDAP) est basé sur des Contrôleurs de domaine, qui constituent le cœur de notre infrastructure sous Microsoft (appelé aussi domaine) Identity Days 2022 27 octobre 2022 - PARIS
Les avantages de l'Active Directory L'Active Directory permet de gérer l'ensemble du parc informatique dans un périmètre (domaine). Les objets sont contrôlés à partir de l'annuaire, et des actions sont automatisés à partir des gestionnaires offerts (GPO ..). Cette gestion se fait en suivant le principe AAA. Identity Days 2022 27 octobre 2022 - PARIS
Fonctionnalités de l'Active Directory L'Active Directory est un gestionnaire d'identité et d'accès (Identity and Access Management), c'est une incarnation du modèle AAA. Authentification : Secret (MDP, Login, …) Autorisation : (ACL, DACL, NTFS …) Compte : Jetons (TGT) Identity Days 2022 27 octobre 2022 - PARIS
Rappel des enjeux de l'Active Directory Identity Days 2022 27 octobre 2022 - PARIS
Pourquoi Active Directory? L’administration au premier niveau est assez facile (les Admins faciles à trouver) L’architecture des Unités d’Organisation permet une délégation facile L’administration des stratégies permet de gérer des combinaisons infinies et complexes de situation Une quantité importante d’applications « prêtes », « compatibles » (Legacy) La possibilité de « scripter » et de vérifier différentes situations. La possibilité de s’adapter à l’implantation de l’entreprise (Sites, Domaines,Forêts) Les interactions entre entités (Approbation, Fédération, partages et migration) Intégration de nombreux services : DNS, DHCP, PKI, IIS, FS, IMP, Radius, ADFS, etc Identity Days 2022 27 octobre 2022 - PARIS
Quand peut on et doit arrêter AD? Impression de risques trop importants, non gérés sur AD. AD corrompu, non fiable avec bascule en urgence Les applications utilisées sont toutes accessibles sur le web Les outils d’administration sur le cloud deviennent suffisants (Intune-MEM) Compliance et sécurité bien gérées sur le cloud (Outils matures) Possibilité de remplacer TOUS les services (qui étaient fournis par AD) Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
Pourquoi doutons nous de l’AD Identity Days 2022 27 octobre 2022 - PARIS
Le problème Active Directory est de plus en plus pris pour cible d'attaque, non pour sa vulnérabilité ou sa faiblesse (OS ou rôles), mais plutôt pour l’intérêt qu'ils représentent (gestionnaires d'accès, coffre-fort), prendre la main sur un AD ouvrira des portes. Identity Days 2022 27 octobre 2022 - PARIS
Les inquiétudes La sécurité d'Active Directory n'est pas si simple à atteindre. L'embarras du choix: - Faut-il un Budget ? - Quelle solution/protection (AI, EDR) ? - Quelles charges (nouveaux recrutements, former les salariés)?? Rappel : un AD en mode suivant suivant n'est pas un AD mais plutôt une passoire 27 octobre 2022 - PARIS Et si j'abandonne L'AD
Configuration « trop » simple Historiquement les administrateurs configuraient AD à leur guise. - On cherchait la simplicité et la rapidité en détriment de la sécurité et des bonnes pratiques. Ex : Désactiver le pare-feu, mettre tout le monde Admin du domaine, les clusters Dans l'opérateur de compte … Identity Days 2022 27 octobre 2022 - PARIS
Les faiblesses d’AD Pas assez sécurisé par défaut, pas d’outils « in the box », pas de MFA. Souvent mal géré, mauvaises pratiques des admins et utilisateurs  Mise à jour des failles « tardives », patchs pas ou mal gérés Beaucoup de composants externes (Pilotes, Applications, Matériels) Cible privilégiée, il est fortement attaqué. Pas d’outil de compliance par défaut Pas de centralisation native des événements/risques/alertes Souvent très ouvert sur l’extérieur (ADFS, VPN, …): Effet Covid/Travail à distance  Nouvelles conditions d’utilisation d’AD Identity Days 2022 27 octobre 2022 - PARIS
Les faits Le problème d’origine est souvent « humain » : Phishing, Laxisme Certains comptes ont trop de privilèges, pas assez de segmentation La détection des intrusions est souvent tardive, voire trop tard. Il faut investir dans des outils d’analyse, de surveillance, sécurisation, compliance Certains de ces problèmes sont communs à toutes les solutions ! Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
Quelques alternatives de l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
Quelques alternatives De nombreuses alternatives existent pour la gestion d'accès. Une analyse du besoin est primordiale (parc informatique OS, compatibilité, applications, taille, budget). DIRaaS, IDaaS: Annuaire et identité en tant que services, disponibles sur le web. Quel(s) gestionnaire(s) d'identité (parfois/souvent combinés): - Azure AD, - JumpCloud - Okta - OneLogin - PingIdentity - OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
Open LDAP + Samba La solution Miracle à 0€ et plein de soucis. OpenLdap a été conçu à la base comme alternative à l'AD dans l'environnement Linux. Quelques uns l'associent à Samba pour gérer des parcs de milliers de machines (généralement les universités). Cette solution gratuite mais plus couteuse pour la gestion n'est pas recommandée ni adaptée au monde professionnel. Limites : - Difficile à configurer pour les débutants - Pas de compatibilité avec des extensions Cloud - Pas de GPO sans Samba (versions anciennes, pas de hardening/baseline, admx pas toujours compatibles et beaucoup moins complet) - Niveau de forêt et fonctionnalité en décalage (exp Silos, PAM, identité etc…) Identity Days 2022 27 octobre 2022 - PARIS 27 octobre 2022 - PARIS
JumpCloud Un concurrent « sérieux » à l'AD basé sur le SaaS, facile à gérer, sécurisé et pas encombrant au niveau des patches et de maintenance, il authentifie et connecte l'ensemble des utilisateurs aux systèmes, fichiers et applications. Avantages : - Prend en charge du MFA - Compatible avec les versions Windows les plus récentes - Prend en charge plusieurs protocole d'authentification - Prend en charge LDAP, SAML - Multi plateformes, gestion centralisée des objets. - Compatible avec des applications Cloud telles que : (AWS, Azure, O365, Gsuite, Saleforce,…) Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Exemple de gestion de périphériques
Azure Active Directory Domain Service Une autre belle alternative prométeuse permettant de remplacer en quelque sorte Notre AD. Avantages : - Permet d’installer des applications nécessitant un domaine - Permet des requêtes LDAP (sécurisée) - On retrouve Kerberos (natif) - Permet de gérer serveurs et stations intégrées à Azure. AADS n'a pas pu s'imposer ou pas encore rencontré son public. Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS On retrouve de l’Admin classique
Identity Days 2022 27 octobre 2022 - PARIS Non disponible Standard Entreprise Premium AAD DS Core Service Charge d’authentification suggérée (pic, par heure) 1 De 0 à 3,000 De 3 000 à 10 000 De 10 000 à 70 000 Nombre d’objets suggéré 2 De 0 à 25,000 De 25 000 à 100 000 De 100 000 à 500 000 Fréquence de sauvegarde Tous les 5 jours Tous les 3 jours Quotidiennement 3 Approbations de forêt de ressources S.O. 5 10 Instances Forêt utilisateur 4 113,71 €/mois/jeu 303,21 €/mois/jeu 1 212,82 €/mois/jeu Forêt de ressources 4 S.O. 303,21 €/mois 1 212,82 €/mois Tarification abordable
Azure AD remplacera-til l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
Azure Active Directory (Annuaire) Azure Active Directory est un service qui permet de gérer l'identité de l'utilisateur final à travers une synchronisation avec une source internet (AD), AAD permet de gérer l'accès aux applications Azure Cloud en appliquant IAM Avantages d'Azure AD - Utilisation du SSO pour une authentification unique à plusieurs services SaaS - MFA, gestion de groupes et utilisateurs - Rapport de sécurité et suivi d'utilisation - Protocoles pris en charges SAML 2,0, OAuth 2,0 - Hashage de MDP pas besoin d'ADFS Limites Azure AD - Nécessite une source d'authentification AD interne - Ne supporte pas NTLM, Kerberos, LDAP - Ne gère pas les objets directement, pas d'OU Identity Days 2022 27 octobre 2022 - PARIS
MEM/Intune + 365 (Gestion des devices, …) Intune associé à Microsoft 365 offre une indépendance partielle à l'AD, on retrouve les avantages de l'Azure Active Directory, et la gestion des machines à distance (Stratégies, Autopilot, patching, inventaire …) Limites : Le service télémétrie doit synchroniser régulièrement avec le cloud pour récupérer les informations, Il est difficile de gérer d'autres objets comme les imprimantes, partages local (dfs …) Identity Days 2022 27 octobre 2022 - PARIS
Exemple de possibilité d’administration dans Intune Convertir les GPOs en Packages (Group Policy analytics (preview))  Ceci a des limites Importation des fichiers ADMX (et ADML correspondant) Identity Days 2022 27 octobre 2022 - PARIS
Préparer l’identité du futur Identity Days 2022 27 octobre 2022 - PARIS
Quelle architecture pour l’identité? Le mode AD uniquement est de plus plus rare Le mode AD + ADFS a été la première étape Le mode AD Hébergé/centralisé sur Azure (VMs) Le mode Hybride (AD + synchronisation vers un Cloud ou fédération) Le mode « Cloud » + Azure Domain Services (Pour palier certains manques) Le mode « Cloud only » encore assez rare (Azure AD ou autres) Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS Axe d’évolu tion
Plusieurs choix d’administration Gestionnaire d’identité (où placer les identités? Source principale?) => 1 ou plusieurs annuaires? Gestionnaire d’Authentification (Où placer la ou les authentifications?) => Plusieurs facteurs/modes Gestionnaire d’administration (Où placer la ou les administrations?)  Admins, supports, niveau de connaissances des produits  Qualité des Outils disponibles et automatisation Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
Dans tous les cas, il faut améliorer et Protéger AD Mettre en place des nouvelles pratiques d’administration Utiliser et installer des outils de sécurisation et d’Audit: TENABLE-AD, Ping-Castle, PurpleKnight, Harden-AD (Voir session de Loic) Ceci est une quasi-obligation pour les 5 à 10 ans à venir. Pour donner une idée, il y a 7 millions d’Ads sont déjà (synchronisés) dans le cloud. 550 Millions de comptes s’authentifient tous les jours sur les 22 Datacenters. (Données 2016) (Et c’est géré par un AD! ☺ ) Identity Days 2022 27 octobre 2022 - PARIS
Conclusions Identity Days 2022 27 octobre 2022 - PARIS
Conclusions AD « on premises » (en mode hybride) va probablement rester le mode dominant sur 5 à 15 ans. (Equivalent de la migration Exchange 2010 vers Exchange OnLine) La bascule vers le mode « Cloud only » sera progressive, sauf s’il y a des attaques majeures sur les AD locaux. (Replis sur Azure AD en mode PHS) Les autres architectures vont répondre à des situations particulières (centralisation, vieille application non migrée en mode SAML). La bascule vers le cloud va dépendre de la vitesse d’adaptation des applications, des équipes IT et des outils d’administration. Sachant que le retour en arrière est difficile, les choix radicaux sont à éviter Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
Questions/Débats Identity Days 2022 27 octobre 2022 - PARIS
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recomendados

Using Virtual Private Cloud (vpc)
Using Virtual Private Cloud (vpc)Using Virtual Private Cloud (vpc)
Using Virtual Private Cloud (vpc)
Amazon Web Services
 
Microsoft az-104 Dumps
Microsoft az-104 DumpsMicrosoft az-104 Dumps
Microsoft az-104 Dumps
Armstrongsmith
 
AZ-104 Questions Answers Dumps
AZ-104 Questions Answers DumpsAZ-104 Questions Answers Dumps
AZ-104 Questions Answers Dumps
Study Material
 
Openstack Swift overview
Openstack Swift overviewOpenstack Swift overview
Openstack Swift overview
어형 이
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Azure privatelink
Azure privatelinkAzure privatelink
Azure privatelink
Udaiappa Ramachandran
 
Azure Key Vault - Getting Started
Azure Key Vault - Getting StartedAzure Key Vault - Getting Started
Azure Key Vault - Getting Started
Taswar Bhatti
 
Microsoft Azure ad in 10 slides
Microsoft Azure ad in 10 slidesMicrosoft Azure ad in 10 slides
Microsoft Azure ad in 10 slides
Andre Debilloez
 

Recomendados

Using Virtual Private Cloud (vpc)
Using Virtual Private Cloud (vpc)Using Virtual Private Cloud (vpc)
Using Virtual Private Cloud (vpc)
Amazon Web Services
 
Microsoft az-104 Dumps
Microsoft az-104 DumpsMicrosoft az-104 Dumps
Microsoft az-104 Dumps
Armstrongsmith
 
AZ-104 Questions Answers Dumps
AZ-104 Questions Answers DumpsAZ-104 Questions Answers Dumps
AZ-104 Questions Answers Dumps
Study Material
 
Openstack Swift overview
Openstack Swift overviewOpenstack Swift overview
Openstack Swift overview
어형 이
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Azure privatelink
Azure privatelinkAzure privatelink
Azure privatelink
Udaiappa Ramachandran
 
Azure Key Vault - Getting Started
Azure Key Vault - Getting StartedAzure Key Vault - Getting Started
Azure Key Vault - Getting Started
Taswar Bhatti
 
Microsoft Azure ad in 10 slides
Microsoft Azure ad in 10 slidesMicrosoft Azure ad in 10 slides
Microsoft Azure ad in 10 slides
Andre Debilloez
 
JVM 메모리 해부학
JVM 메모리 해부학JVM 메모리 해부학
JVM 메모리 해부학
Greg Lee
 
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
Amazon Web Services Korea
 
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
Marius Zaharia
 
Azure: PaaS or IaaS
Azure: PaaS or IaaSAzure: PaaS or IaaS
Azure: PaaS or IaaS
Shahed Chowdhuri
 
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
Amazon Web Services Korea
 
Azure Networking - The First Technical Challenge
Azure Networking - The First Technical ChallengeAzure Networking - The First Technical Challenge
Azure Networking - The First Technical Challenge
Aidan Finn
 
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
Amazon Web Services Korea
 
Deep Dive Spider Engine
Deep Dive Spider EngineDeep Dive Spider Engine
Deep Dive Spider Engine
I Goo Lee
 
Redis in Practice
Redis in PracticeRedis in Practice
Redis in Practice
Noah Davis
 
MongoDB Performance Tuning
MongoDB Performance TuningMongoDB Performance Tuning
MongoDB Performance Tuning
Puneet Behl
 
1909 Hyperledger Besu(a.k.a pantheon) Overview
1909 Hyperledger Besu(a.k.a pantheon) Overview1909 Hyperledger Besu(a.k.a pantheon) Overview
1909 Hyperledger Besu(a.k.a pantheon) Overview
Hyperledger Korea User Group
 
SteelEye 표준 제안서
SteelEye 표준 제안서SteelEye 표준 제안서
SteelEye 표준 제안서
Yong-uk Choe
 
Microsoft Active Directory Deep Dive
Microsoft Active Directory Deep DiveMicrosoft Active Directory Deep Dive
Microsoft Active Directory Deep Dive
Amazon Web Services
 
Alexei Vladishev - Zabbix - Monitoring Solution for Everyone
Alexei Vladishev - Zabbix - Monitoring Solution for EveryoneAlexei Vladishev - Zabbix - Monitoring Solution for Everyone
Alexei Vladishev - Zabbix - Monitoring Solution for Everyone
Zabbix
 
Azure WAF
Azure WAFAzure WAF
Azure WAF
Cheah Eng Soon
 
Encryption and Key Management in AWS
Encryption and Key Management in AWS Encryption and Key Management in AWS
Encryption and Key Management in AWS
Amazon Web Services
 
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
Amazon Web Services Korea
 
Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2
AzureEzy1
 
카카오에서의 Trove 운영사례
카카오에서의 Trove 운영사례카카오에서의 Trove 운영사례
카카오에서의 Trove 운영사례
Won-Chon Jung
 
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
Amazon Web Services
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 

Mais conteúdo relacionado

Mais procurados

더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
Amazon Web Services Korea
 
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
Amazon Web Services Korea
 
SteelEye 표준 제안서
SteelEye 표준 제안서SteelEye 표준 제안서
SteelEye 표준 제안서
Yong-uk Choe
 
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
Amazon Web Services Korea
 
Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2
AzureEzy1
 

Mais procurados (20)

JVM 메모리 해부학
JVM 메모리 해부학JVM 메모리 해부학
JVM 메모리 해부학
 
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021
 
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
Multi-Tenant Identity and Azure Resource Governance - Identity Days 2019
 
Azure: PaaS or IaaS
Azure: PaaS or IaaSAzure: PaaS or IaaS
Azure: PaaS or IaaS
 
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
Amazon VPC와 ELB/Direct Connect/VPN 알아보기 - 김세준, AWS 솔루션즈 아키텍트
 
Azure Networking - The First Technical Challenge
Azure Networking - The First Technical ChallengeAzure Networking - The First Technical Challenge
Azure Networking - The First Technical Challenge
 
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
 
Deep Dive Spider Engine
Deep Dive Spider EngineDeep Dive Spider Engine
Deep Dive Spider Engine
 
Redis in Practice
Redis in PracticeRedis in Practice
Redis in Practice
 
MongoDB Performance Tuning
MongoDB Performance TuningMongoDB Performance Tuning
MongoDB Performance Tuning
 
1909 Hyperledger Besu(a.k.a pantheon) Overview
1909 Hyperledger Besu(a.k.a pantheon) Overview1909 Hyperledger Besu(a.k.a pantheon) Overview
1909 Hyperledger Besu(a.k.a pantheon) Overview
 
SteelEye 표준 제안서
SteelEye 표준 제안서SteelEye 표준 제안서
SteelEye 표준 제안서
 
Microsoft Active Directory Deep Dive
Microsoft Active Directory Deep DiveMicrosoft Active Directory Deep Dive
Microsoft Active Directory Deep Dive
 
Alexei Vladishev - Zabbix - Monitoring Solution for Everyone
Alexei Vladishev - Zabbix - Monitoring Solution for EveryoneAlexei Vladishev - Zabbix - Monitoring Solution for Everyone
Alexei Vladishev - Zabbix - Monitoring Solution for Everyone
 
Azure WAF
Azure WAFAzure WAF
Azure WAF
 
Encryption and Key Management in AWS
Encryption and Key Management in AWS Encryption and Key Management in AWS
Encryption and Key Management in AWS
 
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
AWS 기반 데이터 레이크(Datalake) 구축 및 분석 - 김민성 (AWS 솔루션즈아키텍트) : 8월 온라인 세미나
 
Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2Az 104 session 6 azure networking part2
Az 104 session 6 azure networking part2
 
카카오에서의 Trove 운영사례
카카오에서의 Trove 운영사례카카오에서의 Trove 운영사례
카카오에서의 Trove 운영사례
 
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
Amazon Virtual Private Cloud (VPC): Networking Fundamentals and Connectivity ...
 

Semelhante a Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?

Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Microsoft
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
Samir Arezki ☁
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Microsoft Décideurs IT
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Microsoft Technet France
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm
 

Semelhante a Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ? (20)

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisons
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
CLOUD AZURE MS avec PROJECT SI Avis d'expert
CLOUD AZURE MS avec PROJECT SI Avis d'expertCLOUD AZURE MS avec PROJECT SI Avis d'expert
CLOUD AZURE MS avec PROJECT SI Avis d'expert
 
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Exadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SIExadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
Adira matinale cloud-grenoble-24-mai-2018
Adira matinale cloud-grenoble-24-mai-2018Adira matinale cloud-grenoble-24-mai-2018
Adira matinale cloud-grenoble-24-mai-2018
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
 

Mais de Identity Days

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 

Mais de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 

Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Quel avenir pour Active Directory DEMAN Thierry DAKHAMA Mehdi 27 octobre 2022 - PARIS Identity Days 2022
  • 3. Mehdi DAKHAMA Expert AD Chercheur Cyber Sécurité Thierry DEMAN MS MVP depuis 2002 Senior System Architect • Présentation rapide de l’AD • Rappel des enjeux de l'Active Directory • Pourquoi doutons nous de l'AD ? • Quelques alternatives de l'AD ? • Azure AD remplacera-til l'AD ? • Conclusions Plan de présenation 27 octobre 2022 - PARIS Identity Days 2022
  • 4. Présentation rapide de l’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 5. Rôle de l'Active Directory L'Active Directory est service d'annuaire responsable de la gestion d'identité apparu sur Windows 2000 pour la première fois. Active directory (Kerberos+LDAP) est basé sur des Contrôleurs de domaine, qui constituent le cœur de notre infrastructure sous Microsoft (appelé aussi domaine) Identity Days 2022 27 octobre 2022 - PARIS
  • 6. Les avantages de l'Active Directory L'Active Directory permet de gérer l'ensemble du parc informatique dans un périmètre (domaine). Les objets sont contrôlés à partir de l'annuaire, et des actions sont automatisés à partir des gestionnaires offerts (GPO ..). Cette gestion se fait en suivant le principe AAA. Identity Days 2022 27 octobre 2022 - PARIS
  • 7. Fonctionnalités de l'Active Directory L'Active Directory est un gestionnaire d'identité et d'accès (Identity and Access Management), c'est une incarnation du modèle AAA. Authentification : Secret (MDP, Login, …) Autorisation : (ACL, DACL, NTFS …) Compte : Jetons (TGT) Identity Days 2022 27 octobre 2022 - PARIS
  • 8. Rappel des enjeux de l'Active Directory Identity Days 2022 27 octobre 2022 - PARIS
  • 9. Pourquoi Active Directory? L’administration au premier niveau est assez facile (les Admins faciles à trouver) L’architecture des Unités d’Organisation permet une délégation facile L’administration des stratégies permet de gérer des combinaisons infinies et complexes de situation Une quantité importante d’applications « prêtes », « compatibles » (Legacy) La possibilité de « scripter » et de vérifier différentes situations. La possibilité de s’adapter à l’implantation de l’entreprise (Sites, Domaines,Forêts) Les interactions entre entités (Approbation, Fédération, partages et migration) Intégration de nombreux services : DNS, DHCP, PKI, IIS, FS, IMP, Radius, ADFS, etc Identity Days 2022 27 octobre 2022 - PARIS
  • 10. Quand peut on et doit arrêter AD? Impression de risques trop importants, non gérés sur AD. AD corrompu, non fiable avec bascule en urgence Les applications utilisées sont toutes accessibles sur le web Les outils d’administration sur le cloud deviennent suffisants (Intune-MEM) Compliance et sécurité bien gérées sur le cloud (Outils matures) Possibilité de remplacer TOUS les services (qui étaient fournis par AD) Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
  • 11. Pourquoi doutons nous de l’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 12. Le problème Active Directory est de plus en plus pris pour cible d'attaque, non pour sa vulnérabilité ou sa faiblesse (OS ou rôles), mais plutôt pour l’intérêt qu'ils représentent (gestionnaires d'accès, coffre-fort), prendre la main sur un AD ouvrira des portes. Identity Days 2022 27 octobre 2022 - PARIS
  • 13. Les inquiétudes La sécurité d'Active Directory n'est pas si simple à atteindre. L'embarras du choix: - Faut-il un Budget ? - Quelle solution/protection (AI, EDR) ? - Quelles charges (nouveaux recrutements, former les salariés)?? Rappel : un AD en mode suivant suivant n'est pas un AD mais plutôt une passoire 27 octobre 2022 - PARIS Et si j'abandonne L'AD
  • 14. Configuration « trop » simple Historiquement les administrateurs configuraient AD à leur guise. - On cherchait la simplicité et la rapidité en détriment de la sécurité et des bonnes pratiques. Ex : Désactiver le pare-feu, mettre tout le monde Admin du domaine, les clusters Dans l'opérateur de compte … Identity Days 2022 27 octobre 2022 - PARIS
  • 15. Les faiblesses d’AD Pas assez sécurisé par défaut, pas d’outils « in the box », pas de MFA. Souvent mal géré, mauvaises pratiques des admins et utilisateurs  Mise à jour des failles « tardives », patchs pas ou mal gérés Beaucoup de composants externes (Pilotes, Applications, Matériels) Cible privilégiée, il est fortement attaqué. Pas d’outil de compliance par défaut Pas de centralisation native des événements/risques/alertes Souvent très ouvert sur l’extérieur (ADFS, VPN, …): Effet Covid/Travail à distance  Nouvelles conditions d’utilisation d’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 16. Les faits Le problème d’origine est souvent « humain » : Phishing, Laxisme Certains comptes ont trop de privilèges, pas assez de segmentation La détection des intrusions est souvent tardive, voire trop tard. Il faut investir dans des outils d’analyse, de surveillance, sécurisation, compliance Certains de ces problèmes sont communs à toutes les solutions ! Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
  • 17. Quelques alternatives de l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
  • 18. Quelques alternatives De nombreuses alternatives existent pour la gestion d'accès. Une analyse du besoin est primordiale (parc informatique OS, compatibilité, applications, taille, budget). DIRaaS, IDaaS: Annuaire et identité en tant que services, disponibles sur le web. Quel(s) gestionnaire(s) d'identité (parfois/souvent combinés): - Azure AD, - JumpCloud - Okta - OneLogin - PingIdentity - OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
  • 19. Open LDAP + Samba La solution Miracle à 0€ et plein de soucis. OpenLdap a été conçu à la base comme alternative à l'AD dans l'environnement Linux. Quelques uns l'associent à Samba pour gérer des parcs de milliers de machines (généralement les universités). Cette solution gratuite mais plus couteuse pour la gestion n'est pas recommandée ni adaptée au monde professionnel. Limites : - Difficile à configurer pour les débutants - Pas de compatibilité avec des extensions Cloud - Pas de GPO sans Samba (versions anciennes, pas de hardening/baseline, admx pas toujours compatibles et beaucoup moins complet) - Niveau de forêt et fonctionnalité en décalage (exp Silos, PAM, identité etc…) Identity Days 2022 27 octobre 2022 - PARIS 27 octobre 2022 - PARIS
  • 20. JumpCloud Un concurrent « sérieux » à l'AD basé sur le SaaS, facile à gérer, sécurisé et pas encombrant au niveau des patches et de maintenance, il authentifie et connecte l'ensemble des utilisateurs aux systèmes, fichiers et applications. Avantages : - Prend en charge du MFA - Compatible avec les versions Windows les plus récentes - Prend en charge plusieurs protocole d'authentification - Prend en charge LDAP, SAML - Multi plateformes, gestion centralisée des objets. - Compatible avec des applications Cloud telles que : (AWS, Azure, O365, Gsuite, Saleforce,…) Identity Days 2022 27 octobre 2022 - PARIS
  • 21. Identity Days 2022 27 octobre 2022 - PARIS Exemple de gestion de périphériques
  • 22. Azure Active Directory Domain Service Une autre belle alternative prométeuse permettant de remplacer en quelque sorte Notre AD. Avantages : - Permet d’installer des applications nécessitant un domaine - Permet des requêtes LDAP (sécurisée) - On retrouve Kerberos (natif) - Permet de gérer serveurs et stations intégrées à Azure. AADS n'a pas pu s'imposer ou pas encore rencontré son public. Identity Days 2022 27 octobre 2022 - PARIS
  • 23. Identity Days 2022 27 octobre 2022 - PARIS On retrouve de l’Admin classique
  • 24. Identity Days 2022 27 octobre 2022 - PARIS Non disponible Standard Entreprise Premium AAD DS Core Service Charge d’authentification suggérée (pic, par heure) 1 De 0 à 3,000 De 3 000 à 10 000 De 10 000 à 70 000 Nombre d’objets suggéré 2 De 0 à 25,000 De 25 000 à 100 000 De 100 000 à 500 000 Fréquence de sauvegarde Tous les 5 jours Tous les 3 jours Quotidiennement 3 Approbations de forêt de ressources S.O. 5 10 Instances Forêt utilisateur 4 113,71 €/mois/jeu 303,21 €/mois/jeu 1 212,82 €/mois/jeu Forêt de ressources 4 S.O. 303,21 €/mois 1 212,82 €/mois Tarification abordable
  • 25. Azure AD remplacera-til l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
  • 26. Azure Active Directory (Annuaire) Azure Active Directory est un service qui permet de gérer l'identité de l'utilisateur final à travers une synchronisation avec une source internet (AD), AAD permet de gérer l'accès aux applications Azure Cloud en appliquant IAM Avantages d'Azure AD - Utilisation du SSO pour une authentification unique à plusieurs services SaaS - MFA, gestion de groupes et utilisateurs - Rapport de sécurité et suivi d'utilisation - Protocoles pris en charges SAML 2,0, OAuth 2,0 - Hashage de MDP pas besoin d'ADFS Limites Azure AD - Nécessite une source d'authentification AD interne - Ne supporte pas NTLM, Kerberos, LDAP - Ne gère pas les objets directement, pas d'OU Identity Days 2022 27 octobre 2022 - PARIS
  • 27. MEM/Intune + 365 (Gestion des devices, …) Intune associé à Microsoft 365 offre une indépendance partielle à l'AD, on retrouve les avantages de l'Azure Active Directory, et la gestion des machines à distance (Stratégies, Autopilot, patching, inventaire …) Limites : Le service télémétrie doit synchroniser régulièrement avec le cloud pour récupérer les informations, Il est difficile de gérer d'autres objets comme les imprimantes, partages local (dfs …) Identity Days 2022 27 octobre 2022 - PARIS
  • 28. Exemple de possibilité d’administration dans Intune Convertir les GPOs en Packages (Group Policy analytics (preview))  Ceci a des limites Importation des fichiers ADMX (et ADML correspondant) Identity Days 2022 27 octobre 2022 - PARIS
  • 29. Préparer l’identité du futur Identity Days 2022 27 octobre 2022 - PARIS
  • 30. Quelle architecture pour l’identité? Le mode AD uniquement est de plus plus rare Le mode AD + ADFS a été la première étape Le mode AD Hébergé/centralisé sur Azure (VMs) Le mode Hybride (AD + synchronisation vers un Cloud ou fédération) Le mode « Cloud » + Azure Domain Services (Pour palier certains manques) Le mode « Cloud only » encore assez rare (Azure AD ou autres) Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS Axe d’évolu tion
  • 31. Plusieurs choix d’administration Gestionnaire d’identité (où placer les identités? Source principale?) => 1 ou plusieurs annuaires? Gestionnaire d’Authentification (Où placer la ou les authentifications?) => Plusieurs facteurs/modes Gestionnaire d’administration (Où placer la ou les administrations?)  Admins, supports, niveau de connaissances des produits  Qualité des Outils disponibles et automatisation Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
  • 32. Dans tous les cas, il faut améliorer et Protéger AD Mettre en place des nouvelles pratiques d’administration Utiliser et installer des outils de sécurisation et d’Audit: TENABLE-AD, Ping-Castle, PurpleKnight, Harden-AD (Voir session de Loic) Ceci est une quasi-obligation pour les 5 à 10 ans à venir. Pour donner une idée, il y a 7 millions d’Ads sont déjà (synchronisés) dans le cloud. 550 Millions de comptes s’authentifient tous les jours sur les 22 Datacenters. (Données 2016) (Et c’est géré par un AD! ☺ ) Identity Days 2022 27 octobre 2022 - PARIS
  • 33. Conclusions Identity Days 2022 27 octobre 2022 - PARIS
  • 34. Conclusions AD « on premises » (en mode hybride) va probablement rester le mode dominant sur 5 à 15 ans. (Equivalent de la migration Exchange 2010 vers Exchange OnLine) La bascule vers le mode « Cloud only » sera progressive, sauf s’il y a des attaques majeures sur les AD locaux. (Replis sur Azure AD en mode PHS) Les autres architectures vont répondre à des situations particulières (centralisation, vieille application non migrée en mode SAML). La bascule vers le cloud va dépendre de la vitesse d’adaptation des applications, des équipes IT et des outils d’administration. Sachant que le retour en arrière est difficile, les choix radicaux sont à éviter Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
  • 36. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022