cours 02 IAM

Question 1

Donnez des exemples d’entités

Answer 1

can be real: employees, contractors, customers, business
partners, external parties
can be virtual: service, application

Question 2

Qu’est-ce qu’une identité?

Answer 2

Une entité peut avoir plusieurs identités.
Par exemple, l’identité peut être le nom dusager, le numéro d’assurance sociale

Question 3

Donnez un exemple d’un attribut

Answer 3

rôle, age, sexe, location, biometrique

Question 4

What are the security mechanisms to verify the claim of an attribute by an entity is correct ?

Answer 4

authentification (valider l’identité en validant les attributs), access control (verifier que la personne a les droits d’acces pour la ressource)

Question 5

Qu’est-ce que le discretionary access control (DAC)?

Answer 5

vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter. Utilisé sous Linux. Les utilisateurs peuvent changer les permissions de leurs fichiers (chnmod). DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE

Question 6

Qu’est-ce que le mandatory access control (MAC)?

Answer 6

MAC ajoute des étiquettes à chaque sujet et objet. Une politique d’accès contient les règles d’accès permises pour chaque sujet et objet. Politique par défaut: DENY

classifications avec des étiquettes public<confidentiel<secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes.

Les utilisateurs recoivent un niveau d’habilitation (ex: secret) et s’engagent à ne pas diffuser l’info qu’ils détiennent.

Les règles et étiquettes peuvent seulement être changées par un administrateur avec un logiciel de confiance.

Question 7

Quels sont les types de contrôle d’accès?

Answer 7

-RBAC: Role-based,
-DAC: Discretionary access control (vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter),
-MAC: mandatory access control (classifications secret, top secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes),
-ABAC:
Attribute-based access control: donner acces a tous ceux qui ont un attribut (protocole SAML). Il y a des attributs liés à l’utilisateur, aux actions, aux ressources et à l’environnement.
Ex: permettre à un professeur (utilisateur) d’emprunter un livre (action) sur une ressource d’un certain type entre des heures spécifiques (environnement).

Question 8

Quel est le concept de Separation of Duty (SoD)?

Answer 8

Contrainte du modèle RBAC: si une entité a un certain rôle, elle doit être restreinte à obtenir un second rôle.

SOD statique (SSOD): séparation s’applique en toute situation.
SOD dynamique (DSOD): séparation s’applique uniquement dans une même session.

Question 9

Qu’est-ce que le Single Sign On?

Answer 9

Un seul credential pour acceder à plusieurs ressources. Peut être implémenté de différentes façons: token, 2 factors, etc.

Question 10

Qu’est-ce que les Federated Identities?

Answer 10

Federated identity allows authorized users to access multiple applications and domains using a single set of credentials. It links a user’s identity across multiple identity management systems so they can access different applications securely and efficiently.

Relation de confiance entre un système et un autre système. Vérification uniquement des identités.

Question 11

Quels sont les types de SSO (single sign on) ?

Answer 11

types: internal SSO on-prem, inbound SSO for
service providers, and outbound SSO for external partners

Question 12

Qu’est-ce que le CSA?

Answer 12

Cloud Security Alliance : organisme qui définit plusieurs standards pour le cloud.Similarité entre les fournsseurs

Question 13

Quelle est la différence entre Web SSO et Federated SSO?

Answer 13

web SSO: permet de gérer plusieurs applications WEB (ex avec l’adresse gmail) : contacte les centre donnees au canada
federated SSO: contacte les contres de données partout dans le monde pour donner les accès au ressources.

Différence: la région

Question 14

Quel est le concept de virtualisation dans le contexte des identités?

Answer 14

permet abstraction de plus haut niveau.
Ex: l’entreprise ne peut pas toucher les données par restriction mais peuvent toucher les métadonnées (ex: nb d’utilisateurs, région, etc). Agréger les informations par site ou autre particularité (heure de connexion). Faire des jointures entre plusieurs sites. Vue de plus haut niveau sur les statistiques.

CSA architecture supports Identity virtualization that
allows abstraction of multiple identity services (e.g., LDAP
services, federated identities)
allows a local and global view of aggregated/correlated
identities
often coupled with contexts such as geographic location for
data enrichment
contexts improve identity queries by selecting the identity
provider nearest to the user/entity

Question 15

Quelles valeurs peuvent prendre le champs principal dans le fichier config.json

Answer 15

Id utilisateur ou nom de ressource ou ensemble d’utilisateurs. Définit une entité à partir de son identifiant.

Account ID(s) or name(s) of the user(s) authorized
to access resources e.g., root, 1224455994

Question 16

Qu’est-ce qui permet de gérer les authorisations d’accès aux ressources dans AWS?

Answer 16

Les politiques de sécurité .

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“s3:CreateBucket”,
“s3:ListBucket”,
“s3:DeleteBucket”,
“s3:GetObject”,
“s3:PutObject”,
],
“Resource”: “arn:aws:s3:::dms-*”
}
]
}

Question 17

Qu’est-ce qu’une architecture multi-cloud?

Answer 17

Utiliser les services de plusieurs fournisseurs dans une infrastucture cloud.

Question 18

Quels sont les avantages d’une architecture multi-cloud?

Answer 18

Plus de flexibilité par rapport à ce qui est offert. Ex: profiter du fait que les instances VM sont moins chères sur AWS et que le active directory de Microsoft Azure est plus mature.

Question 19

Quels sont les inconvénients d’une architecture multi-cloud?

Answer 19

Entraîne une complexité architecturale et un coût élevé de recrutement / formation.

Question 20

Quel est le rôle du Active Directory?

Answer 20

gère les utilisateurs, les rôles pour pouvoir accéder aux ressources.

Question 21

Qu’est-ce que l’accès Just-in-Time

Answer 21

Un rôle est donné seulement pour le temps d’une tâche spécifique.

For example, an Admin role is assigned to an employee with
role User to do a specific task
the Admin role is automatically revoked after task is done
and the role User is reassigned to the employee

Question 22

Comment s’appelle le processus qui contrôle les rôles dans le cas de l’accès Just-In-Time?

Answer 22

priviledged identity management PIM

Gestion d’entités des comptes privilégiés

Question 23

Nommez 2 vulnérabiités au niveau du contrôle d’accès .

Answer 23

• Des accès non protégés aux APIs. Il est alors possible de modifier la BD.
• La possibilité d’élever ses droits d’accès (ex: utilisateur qui obtient des droits admin)
• Modification de paramètres URL
  -Trop de privilèges
• Manipulation des metadatas.

Question 24

Nommez 2 vulnérabilités au niveux de l’échec de l’authentification ou de l’identification.

Answer 24

-brute-force/automated attacks is allowed during
logging/authentication
-authentication with default, weak, or well-known passwords
- missing or ineffective multi-factor authentication
- session identifier exposed via URL or reused after login
- manipulation of metadata such as cookie, access token

Question 25

Quel est l’avantage du consistent hashing

Answer 25

Ajouter des serveurs ou en enlever requiert seulement une redistribution minime des donnees. Ceci est vrai puisque les donnees seraient normalement associees à un hash % nbServeurs. Ici, les données sont organisées sur un cercle et sont associées à un serveur de proximité.

With consistent hashing, adding a new server only requires redistribution of a fraction of the keys.

With sinple hashing, when a new server is added, almost all the keys need to be remapped.

Question 26

Qu’est-ce que le SSPR?

Answer 26

Self-service Password Reset (SSPR) allows users to modify
their password

Question 27

Nommez 2 vulnérabilités au niveau des configuration insécures

Answer 27

-improper permissions set on resources
-principal or resource fields in security policies are configured
with ”*” to grant access to any user or any resource
- root profile is used by default
- over-permissive IAM role configuration

Question 28

Qu’est-ce que LDAP?

Answer 28

Lightweight Directory Access Protocol

centrally manages authentication
and access on Directories

permet de gérer des annuaire avec les profils d’utilisateurs. Souvent utilisé sur un serveur d’authentification.

Question 29

Quels sont les vulnerabilités de LDAP?

Answer 29

vulnerable to
injection via query
manipulation

remote code execution via
client redirection to a
malicious LDAP server

Question 30

Qu’est-ce que le protocole SAML2?

Answer 30

provides XML-based authentication between client, identity provider (IDP), and
service provider (SP)

Question 31

Quelle est la vulnérabilité de SAML2?

Answer 31

XML injection

Question 32

Quelle est la différence entre basic auth et OAuth2?

Answer 32

Basic auth:
l’utilisateur envoie son username et password via https et recoit une réponse du serveur

OAuth2:
L’utilisateur envoie une demande au serveur d’autorisation. Après validation, il reçoit un token. L’utilisateur demande accès à la ressource à l’aide de son token.

Question 33

Quels sont les désavantages de basic auth et OAuth2?

Answer 33

basic auth: Easy to break, Very insecure even when
used over HTTPS

OAuth2: attacker can steal OAuth
Token via URI redirection

Question 34

Quels sont les composents de Access governance?

Answer 34

• Identity governance and administration : create policies for
  users based on least privilege and RBAC, conduct access
  review, produce reports of authentication/ authorization
  activities

-Data access management: identify who has access and permissions to given resources

-Reporting and compliance: provide compliance reports that
outline user access and permissions, adapt to data privacy laws
and new regulations.

Question 35

What are the federated identity protocol ?

Answer 35

OAuth2 SSO, SAML2 SSO
OpenID Connect SSO

Question 36

The policy enforcement point (PEP) control accesses (e.g.,
deny, allow) based on instructions from the …

Answer 36

policy decision
point (PDP)

In the PDP, a policy administrator takes ultimate decision (e.g., grant, deny, revoke) based on the policy engine

Question 37

Pourquoi choisir RBAC?

Answer 37

Les employés sont affectés à des rôles. Les rôles sont organisés en hiérarchies. Des permissions sont attribuées aux rôles. Le rôle est un intermédiaire entre l’utilisateur et les permissions. En changeant de session, un usager peut activer de nouveaux rôles.

Ceci simplifie la gestion de la politique d’authorisation car le nombre de rôles est inférieur au nb d’employés et les permissions associées aux rôles changent peu fréquemment.

Question 38

Quels sont les inconvénients de DAC

Answer 38

DAC implique une gestion difficile pour grandes entreprises car chaque usager est un cas individuel. De plus, DAC suppose que les usagers sont propriétaires des ressources et peuvent transférer les droits alors que normalement c’est l’organisation qui est propriétaire des ressources.

DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE

Question 39

Qu’est-ce que l’IAM? Quel est le principe de base?

Answer 39

IAM = Identity and Access Management

Principe de base de l’IAM:
Séparer l’implémentation des applications et de la sécurité.

Question 40

Nommez 2 fonctions de l’IAM

Answer 40

Fonctions de l’IAM:
-Provisionnement : créer, mettre à jour automatiquement les comptes, synchroniser les mots de passe entre les applications.
-Réconciliation: s’assurer que le déploiement réel de la politique de sécurité correspond à ce qui est décrit dans la politique d’autorisation.
-Gestion des identités: réconcilier les annuaires des utilisateurs et gestion du SSO
-Gestion des autorisations: RBAC, ABAC…

Question 41

Sur quel protocole repose https

Answer 41

SSL/TLS
le serveur présente son certificat SSL. Le client peut alors savoir qu’il est en communication avec un serveur légitime et non un serveur pirate.

Question 42

Quelle est la différence entre SSO et federated identities?

Answer 42

While SSO allows a single authentication credential to access different systems within a single organization, a federated identity management system provides single access to multiple systems across different enterprises.

Question 43

Quelle est la différence entre LDAP et Active Directory

Answer 43

LDAP and Active Directory are two common terms in Identity and Access Management (IAM). Whereas Active Directory is a directory server that stores user information such as usernames, phone numbers, and email addresses, LDAP is a protocol that allows reading and modifying that information. You can also use LDAP to authenticate users using the Bind operation. Although LDAP is the core protocol behind Active Directory, you can use LDAP to query any other directory database that supports it, e.g., OpenLDAP and FreeIPA