2024 est à peine là, mais certaines choses ne changent pas. La sécurité IT reste encore au cœur des préoccupations pour cette nouvelle année. Les façons de consommer la donnée au travers des outils informatiques ont été bouleversées depuis l’arrivée des Cloud publics. Mais ces usages doivent s’accompagner de mesures de sécurité toujours plus performantes.
Microsoft veut changer la partie avec son Global Secure Access. Parcourons ensemble quelques notions sur ce sujet.
Pourquoi Microsoft s’intéresse aux réseaux ?
L’émergence des outils 365, les nombreuses applications disponibles sous format SaaS, les ressources hébergées sur Azure, ou encore les effets du COVID ont fait voler en éclat les approches réseaux traditionnelles.
Partant de ce constat, la sécurité des réseaux, pensée de manière centralisée, a dû elle aussi s’adapter face à au nouveaux usages et fait face à de nouvelles menaces potentielles.
Microsoft est un acteur majeur du Cloud public, et la nouvelle approche sécuritaire des réseaux au-delà de leurs centre de données est donc une évidence pour eux.
Secure Access Service Edge (SASE) vs Security Service Edge (SSE) ?
Il s’agit avant tout de structurer les produits et les services de manière plus cohérentes selon les besoins :
Le SSE définit un cadre limité de la sécurité réseau convergente, qui allie des fonctions SWG, CASB/DLP et ZTNA dans un service cloud natif. Il permet un accès sécurisé aux applications Web, SaaS et métier internes, sans prise en charge directe des ressources WAN. Ce dernier aspect relève toujours d’une solution technologique distincte, englobant des fonctions comme le SD-WAN, les pare-feux nouvelle génération et les backbones réseau globaux.
Cato Networks
Voici d’ailleurs une vidéo pour vous en faire une meilleure idée :
On peut donc voir le SSE comme un pan clé du pilier sécurité du SASE :
Qu’est-ce que le Zéro Trust (ZT) ?
Le concept Zéro Trust vous dit peut-être déjà quelque chose (ou pas encore) ? Une règle simple et appliquée tout le temps : Ne jamais faire confiance, toujours vérifier.
Considérez simplement chaque demande d’accès comme suspecte :
Qu’est-ce que le Zéro Trust Network Access (ZTNA) ?
L’accès au réseau sans confiance (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP), est un ensemble de technologies et de fonctionnalités qui permettent un accès sécurisé aux applications internes pour les utilisateurs distants. Il fonctionne sur la base d’un modèle de confiance adaptatif, où la confiance n’est jamais implicite et où l’accès est accordé en fonction du besoin de savoir, sur la base du moindre privilège défini.
Zscaler
De manière plus simple, ZTNA reprend l’approche de ZT en y intégrant en tant que signal d’entrée la couche réseau, afin de rendre les décisions d’accès ou d’interdiction encore plus précises et donc plus sécurisantes :
Qu’est-ce que le Global Secure Access proposé par Microsoft ?
Voyant l’évolution des besoins de sécurité réseaux et la demande grandissante du Cloud, Microsoft a souhaité apporter sa propre solution SSE basée sur ZTNA :
Global Secure Access est l’emplacement unifié du centre d’administration Microsoft Entra et repose sur les principes fondamentaux de confiance zéro, d’utiliser le moindre privilège, de vérifier explicitement et de supposer une violation.
Microsoft Learn
Comme le montre le schéma ci-dessous, Global Secure Access regroupe 2 principaux services :
- Accès Internet Microsoft Entra : apporte un accès à Internet via Microsoft Entra et sécurise l’accès aux services Microsoft 365.
- Accès privé Microsoft Entra : apporte via Microsoft un accès sécurisé à vos ressources locales et privées.
Voici d’ailleurs un excellent webinar animé par Seyfallah Tagrerout sur le Global Secure Access :
Afin de se faire une meilleure idée sur le Global Secure Access encore en préversion, je vous propose de réaliser un petit exercice. Mon premier but étant de mesurer son impact dans l’accès aux services 365 en simulant des postes utilisateurs ayant le client Windows Global Secure Access d’installé.
Les tâches que nous allons réaliser sont donc les suivantes :
- Etape 0 – Rappel des prérequis
- Etape I – Configuration du tenant
- Etape II – Préparation de postes utilisateurs
- Etape III – Configuration du Profil d’accès à Microsoft 365
- Etape IV – Déploiement du client Global Secure Access
- Etape V – Test de Global Secure Access
- Etape VI – Global Secure Access + Accès Conditionnel
- Etape VII – Global Secure Access + Restriction au tenant
Etape 0 – Rappel des prérequis :
Pour réaliser cet exercice, il vous faudra disposer des éléments suivants :
- Un tenant Microsoft
- Une souscription Azure valide
- Une licence Microsoft Entra ID P1 licence (obligatoire)
- Une licence Microsoft 365 E3 (recommandée)
Etape I – Configuration du tenant :
Global Service Access est un service intégré à Microsoft Entra. Vous le trouverez donc uniquement dans ce portail.
Rendez-vous sur la page du portail d’Entra, puis cliquez-ici :
Certains prérequis sont vérifiés automatiquement. Une fois tous ces derniers en vert, cliquez sur le bouton Activer :
Attendez quelques secondes l’apparition de cette notification :
Cliquez-ici afin de continuer :
Cette page vous remontre les 2 principaux services de Global Secure Access :
Cliquez sur le service de votre choix pour en savoir un peu plus :
La documentation Microsoft correspondante s’ouvre alors dans un nouvel onglet :
De retour sur le portail d’Entra, continuer la configuration du Global Secure Access en cliquant sur Journalisation. Cette page nous informe que la Journalisation n’est pas encore activée sur Entra ID :
Activez la sauvegarde en passant par le menu suivant :
Configurez les Paramètres de diagnostic selon vos souhaits en cochant bien les logs nommées EnrichedOffice365AuditLogs :
Retournez sur la page de Journalisation de Global Secure Access afin de contrôler le bon changement :
La configuration de base de Global Secure Access est maintenant terminée.
Avant d’activer le service de Profil d’accès à Microsoft 365, nous allons créer 2 VMs dans Azure pour simuler des postes utilisateurs.
Etape II – Préparation de postes utilisateurs :
Depuis le portail Azure, créez 2 machines virtuelles sous Windows 11 sous un même réseau virtuel :
Sur ce réseau virtuel, déployer le service Azure Bastion afin de vous connecter à ces 2 VMs dépourvues d’IP publiques :
Joignez les deux machines virtuelles créées précédemment à Entra ID selon cet article, puis vérifiez leur présence sur cette page d’Entra ID :
Vérifiez également la présence de ces 2 VMs sur cette page de la console Intune :
Nos machines virtuelles de test sont prêtes.
Créez une premier groupe Entra ID contenant vos 2 utilisateurs de test :
Créez une second groupe Entra ID contenant vos 2 machines Azure de test :
L’environnement Azure est maintenant opérationnel. Retournons sur la configuration de Global Secure Access pour activer le profil dédié aux services Microsoft 365.
Etape III – Configuration du Profil d’accès à Microsoft 365 :
Retournez sur cette page d’Entra ID, puis cochez la case suivante pour activer ce profil sur votre tenant :
Confirmez votre action en cliquant sur OK :
Attendez quelques secondes l’apparition de cette notification :
Vérifiez le changement de statut pour le Profil d’accès à Microsoft 365 :
Pour gérer les détails de la politique de transfert de trafic Microsoft 365, sélectionnez le lien suivant :
Les utilisateurs peuvent toujours accéder au site, mais le service ne traite pas le trafic.
Continuons maintenant par l’installation du client Global Secure Access.
Etape IV – Déploiement du client Global Secure Access :
Ce client est nécessaire pour acheminer le trafic réseau vers le service Global Secure Access quand on souhaite s’y connecter en dehors d’un réseau d’entreprise.
Les différents clients de Global Secure Access sont disponibles sur cette page. Cliquez-ici pour télécharger la version Windows 10/11 :
Attendez que le téléchargement se termine :
Si vous le souhaitez, utilisez comme moi l’application Intunewin (Microsoft Win32 Content Prep Tool) afin de packager votre client Global Secure Access et de le déployer via Intune.
Créez votre application sur la console Intune comme Microsoft le préconise :
Attendez environ 30 minutes que l’application se déploie automatiquement sur les 2 machines virtuelles précédemment créées :
L’environnement est enfin prêt pour tester la connexion aux services 365 via Global Secure Access.
Etape V – Test de Global Secure Access :
Ouvrez 2 sessions RDP via Azure Bastion sur les 2 VMs en utilisant respectivement vos 2 utilisateurs Entra ID de test :
Constatez l’ouverture d’une page d’authentification de Global Secure Access, puis connectez-vous-y en utilisant l’identité Entra ID proposée par Windows :
Vérifiez la bonne connexion grâce à l’icône présent dans la barre de tâches :
Afin de comparer les 2 environnements, activez le mode Pause sur l’une des 2 VMs de test :
Cliquez sur le menu suivant du client Global Secure Access afin d’obtenir plus d’informations sur le statut de la connexion :
Comparez les deux checklist et leurs différences :
Vérifiez la présence de la règle concernant le profil Microsoft 365 sur les 2 VMs :
Sur les 2 machines virtuelles de test :
- Ouvrez la page d’Outlook sur Edge afin de constater la connexion au service
- Lancez une requête PING afin de constater les variations d’adresses IP
Retournez sur la page de log suivante du service Global Secure Access d’Entra ID afin de constater l’apparition de plusieurs lignes de log :
En quelques clics, nous avons mis en place un client Global Secure Access. Continuons un autre test en combinant le Global Secure Access avec l’Accès Conditionnel d’Entra ID.
Etape VI – Global Secure Access + Accès Conditionnel :
La signalisation de Global Secure Access fournit des informations sur l’emplacement du réseau à l’accès conditionnel, ce qui permet aux administrateurs de créer des politiques qui limitent l’accès des utilisateurs à des applications spécifiques en fonction de leur utilisation du client Global Secure Access ou d’un réseau distant.
Microsoft Entra
La combinaison de Global Secure Access et de l’Accès Conditionnel va donc permettre de restreindre l’accès à certains services si la connexion via Global Secure Access n’est pas établie.
Pour cela, rendez-vous sur la page suivante d’Entra afin de constater la situation avant activation :
Activez l’option nommée Accès adaptatif sur cette page, puis sauvegardez :
Attendez quelques secondes l’apparition de cette notification :
Retournez sur page suivante d’Entra afin de constater la situation après activation :
Créez une nouvelle police d’accès conditionnel par le menu suivant :
Spécifiez le groupe d’utilisateurs de test concerné :
Définissez la ou les applications à protéger :
Excluez de cette police les connexions faites depuis Global Secure Access :
Bloquez l’accès pour les autres tentatives de connexion, activez la police puis sauvegardez-là :
Attendez quelques minutes, puis ouvrez Edge en navigation privée vers la page d’Outlook afin de constater les impacts :
Continuons avec un dernier test de restriction de tenant pour Global Secure Access.
Etape VII – Global Secure Access + Restriction au tenant :
Les restrictions imposées aux locataires permettent aux administrateurs de contrôler si leurs utilisateurs peuvent accéder aux ressources d’une organisation externe avec des comptes émis par cette dernière, tout en utilisant le réseau ou l’appareil de votre organisation.
Microsoft Entra
En d’autres termes, une fois connecté au Global Secure Access, plus moyen de s’authentifier sur un tenant tiers si cette option est activée et sans y ajouter le second tenant comme exception.
Pour cela, rendez-vous sur cette même page d’Entra ID, activez l’option suivante puis sauvegardez :
Attendez quelques minutes, puis réouvrez Edge en navigation privée vers la page d’Outlook afin de constater les impacts :
Conclusion
Par la mise à disposition du Global Secure Access, Microsoft apporte une brique manquante et attendue depuis longtemps dans son approche Zéro Trust. D’autres fonctionnalités comme Remote network vont s’avérer très utile pour sécuriser les connexions depuis et vers le Cloud sans obligatoirement investir dans des solutions de type MPLS.
Enfin, d’autres articles vont bientôt suivre sur la gestion de trafic des autres profils (Private access profile, Internet access profile) 😎
