cours 02 IAM Flashcards
Donnez des exemples d’entités
can be real: employees, contractors, customers, business
partners, external parties
can be virtual: service, application
Qu’est-ce qu’une identité?
Une entité peut avoir plusieurs identités.
Par exemple, l’identité peut être le nom dusager, le numéro d’assurance sociale
Donnez un exemple d’un attribut
rôle, age, sexe, location, biometrique
What are the security mechanisms to verify the claim of an attribute by an entity is correct ?
authentification (valider l’identité en validant les attributs), access control (verifier que la personne a les droits d’acces pour la ressource)
Qu’est-ce que le discretionary access control (DAC)?
vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter. Utilisé sous Linux. Les utilisateurs peuvent changer les permissions de leurs fichiers (chnmod). DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE
Qu’est-ce que le mandatory access control (MAC)?
MAC ajoute des étiquettes à chaque sujet et objet. Une politique d’accès contient les règles d’accès permises pour chaque sujet et objet. Politique par défaut: DENY
classifications avec des étiquettes public<confidentiel<secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes.
Les utilisateurs recoivent un niveau d’habilitation (ex: secret) et s’engagent à ne pas diffuser l’info qu’ils détiennent.
Les règles et étiquettes peuvent seulement être changées par un administrateur avec un logiciel de confiance.
Quels sont les types de contrôle d’accès?
-RBAC: Role-based,
-DAC: Discretionary access control (vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter),
-MAC: mandatory access control (classifications secret, top secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes),
-ABAC:
Attribute-based access control: donner acces a tous ceux qui ont un attribut (protocole SAML). Il y a des attributs liés à l’utilisateur, aux actions, aux ressources et à l’environnement.
Ex: permettre à un professeur (utilisateur) d’emprunter un livre (action) sur une ressource d’un certain type entre des heures spécifiques (environnement).
Quel est le concept de Separation of Duty (SoD)?
Contrainte du modèle RBAC: si une entité a un certain rôle, elle doit être restreinte à obtenir un second rôle.
SOD statique (SSOD): séparation s’applique en toute situation.
SOD dynamique (DSOD): séparation s’applique uniquement dans une même session.
Qu’est-ce que le Single Sign On?
Un seul credential pour acceder à plusieurs ressources. Peut être implémenté de différentes façons: token, 2 factors, etc.
Qu’est-ce que les Federated Identities?
Federated identity allows authorized users to access multiple applications and domains using a single set of credentials. It links a user’s identity across multiple identity management systems so they can access different applications securely and efficiently.
Relation de confiance entre un système et un autre système. Vérification uniquement des identités.
Quels sont les types de SSO (single sign on) ?
types: internal SSO on-prem, inbound SSO for
service providers, and outbound SSO for external partners
Qu’est-ce que le CSA?
Cloud Security Alliance : organisme qui définit plusieurs standards pour le cloud.Similarité entre les fournsseurs
Quelle est la différence entre Web SSO et Federated SSO?
web SSO: permet de gérer plusieurs applications WEB (ex avec l’adresse gmail) : contacte les centre donnees au canada
federated SSO: contacte les contres de données partout dans le monde pour donner les accès au ressources.
Différence: la région
Quel est le concept de virtualisation dans le contexte des identités?
permet abstraction de plus haut niveau.
Ex: l’entreprise ne peut pas toucher les données par restriction mais peuvent toucher les métadonnées (ex: nb d’utilisateurs, région, etc). Agréger les informations par site ou autre particularité (heure de connexion). Faire des jointures entre plusieurs sites. Vue de plus haut niveau sur les statistiques.
CSA architecture supports Identity virtualization that
allows abstraction of multiple identity services (e.g., LDAP
services, federated identities)
allows a local and global view of aggregated/correlated
identities
often coupled with contexts such as geographic location for
data enrichment
contexts improve identity queries by selecting the identity
provider nearest to the user/entity
Quelles valeurs peuvent prendre le champs principal dans le fichier config.json
Id utilisateur ou nom de ressource ou ensemble d’utilisateurs. Définit une entité à partir de son identifiant.
Account ID(s) or name(s) of the user(s) authorized
to access resources e.g., root, 1224455994
Qu’est-ce qui permet de gérer les authorisations d’accès aux ressources dans AWS?
Les politiques de sécurité .
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“s3:CreateBucket”,
“s3:ListBucket”,
“s3:DeleteBucket”,
“s3:GetObject”,
“s3:PutObject”,
],
“Resource”: “arn:aws:s3:::dms-*”
}
]
}
Qu’est-ce qu’une architecture multi-cloud?
Utiliser les services de plusieurs fournisseurs dans une infrastucture cloud.
Quels sont les avantages d’une architecture multi-cloud?
Plus de flexibilité par rapport à ce qui est offert. Ex: profiter du fait que les instances VM sont moins chères sur AWS et que le active directory de Microsoft Azure est plus mature.
Quels sont les inconvénients d’une architecture multi-cloud?
Entraîne une complexité architecturale et un coût élevé de recrutement / formation.
Quel est le rôle du Active Directory?
gère les utilisateurs, les rôles pour pouvoir accéder aux ressources.
Qu’est-ce que l’accès Just-in-Time
Un rôle est donné seulement pour le temps d’une tâche spécifique.
For example, an Admin role is assigned to an employee with
role User to do a specific task
the Admin role is automatically revoked after task is done
and the role User is reassigned to the employee
Comment s’appelle le processus qui contrôle les rôles dans le cas de l’accès Just-In-Time?
priviledged identity management PIM
Gestion d’entités des comptes privilégiés
Nommez 2 vulnérabiités au niveau du contrôle d’accès .
- Des accès non protégés aux APIs. Il est alors possible de modifier la BD.
- La possibilité d’élever ses droits d’accès (ex: utilisateur qui obtient des droits admin)
- Modification de paramètres URL
-Trop de privilèges - Manipulation des metadatas.
Nommez 2 vulnérabilités au niveux de l’échec de l’authentification ou de l’identification.
-brute-force/automated attacks is allowed during
logging/authentication
-authentication with default, weak, or well-known passwords
- missing or ineffective multi-factor authentication
- session identifier exposed via URL or reused after login
- manipulation of metadata such as cookie, access token
Quel est l’avantage du consistent hashing
Ajouter des serveurs ou en enlever requiert seulement une redistribution minime des donnees. Ceci est vrai puisque les donnees seraient normalement associees à un hash % nbServeurs. Ici, les données sont organisées sur un cercle et sont associées à un serveur de proximité.
With consistent hashing, adding a new server only requires redistribution of a fraction of the keys.
With sinple hashing, when a new server is added, almost all the keys need to be remapped.
Qu’est-ce que le SSPR?
Self-service Password Reset (SSPR) allows users to modify
their password
Nommez 2 vulnérabilités au niveau des configuration insécures
-improper permissions set on resources
-principal or resource fields in security policies are configured
with ”*” to grant access to any user or any resource
- root profile is used by default
- over-permissive IAM role configuration
Qu’est-ce que LDAP?
Lightweight Directory Access Protocol
centrally manages authentication
and access on Directories
permet de gérer des annuaire avec les profils d’utilisateurs. Souvent utilisé sur un serveur d’authentification.
Quels sont les vulnerabilités de LDAP?
vulnerable to
injection via query
manipulation
remote code execution via
client redirection to a
malicious LDAP server
Qu’est-ce que le protocole SAML2?
provides XML-based authentication between client, identity provider (IDP), and
service provider (SP)
Quelle est la vulnérabilité de SAML2?
XML injection
Quelle est la différence entre basic auth et OAuth2?
Basic auth:
l’utilisateur envoie son username et password via https et recoit une réponse du serveur
OAuth2:
L’utilisateur envoie une demande au serveur d’autorisation. Après validation, il reçoit un token. L’utilisateur demande accès à la ressource à l’aide de son token.
Quels sont les désavantages de basic auth et OAuth2?
basic auth: Easy to break, Very insecure even when
used over HTTPS
OAuth2: attacker can steal OAuth
Token via URI redirection
Quels sont les composents de Access governance?
- Identity governance and administration : create policies for
users based on least privilege and RBAC, conduct access
review, produce reports of authentication/ authorization
activities
-Data access management: identify who has access and permissions to given resources
-Reporting and compliance: provide compliance reports that
outline user access and permissions, adapt to data privacy laws
and new regulations.
What are the federated identity protocol ?
OAuth2 SSO, SAML2 SSO
OpenID Connect SSO
The policy enforcement point (PEP) control accesses (e.g.,
deny, allow) based on instructions from the …
policy decision
point (PDP)
In the PDP, a policy administrator takes ultimate decision (e.g., grant, deny, revoke) based on the policy engine
Pourquoi choisir RBAC?
Les employés sont affectés à des rôles. Les rôles sont organisés en hiérarchies. Des permissions sont attribuées aux rôles. Le rôle est un intermédiaire entre l’utilisateur et les permissions. En changeant de session, un usager peut activer de nouveaux rôles.
Ceci simplifie la gestion de la politique d’authorisation car le nombre de rôles est inférieur au nb d’employés et les permissions associées aux rôles changent peu fréquemment.
Quels sont les inconvénients de DAC
DAC implique une gestion difficile pour grandes entreprises car chaque usager est un cas individuel. De plus, DAC suppose que les usagers sont propriétaires des ressources et peuvent transférer les droits alors que normalement c’est l’organisation qui est propriétaire des ressources.
DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE
Qu’est-ce que l’IAM? Quel est le principe de base?
IAM = Identity and Access Management
Principe de base de l’IAM:
Séparer l’implémentation des applications et de la sécurité.
Nommez 2 fonctions de l’IAM
Fonctions de l’IAM:
-Provisionnement : créer, mettre à jour automatiquement les comptes, synchroniser les mots de passe entre les applications.
-Réconciliation: s’assurer que le déploiement réel de la politique de sécurité correspond à ce qui est décrit dans la politique d’autorisation.
-Gestion des identités: réconcilier les annuaires des utilisateurs et gestion du SSO
-Gestion des autorisations: RBAC, ABAC…
Sur quel protocole repose https
SSL/TLS
le serveur présente son certificat SSL. Le client peut alors savoir qu’il est en communication avec un serveur légitime et non un serveur pirate.
Quelle est la différence entre SSO et federated identities?
While SSO allows a single authentication credential to access different systems within a single organization, a federated identity management system provides single access to multiple systems across different enterprises.
Quelle est la différence entre LDAP et Active Directory
LDAP and Active Directory are two common terms in Identity and Access Management (IAM). Whereas Active Directory is a directory server that stores user information such as usernames, phone numbers, and email addresses, LDAP is a protocol that allows reading and modifying that information. You can also use LDAP to authenticate users using the Bind operation. Although LDAP is the core protocol behind Active Directory, you can use LDAP to query any other directory database that supports it, e.g., OpenLDAP and FreeIPA
