cours 02 IAM Flashcards
Donnez des exemples d’entités
can be real: employees, contractors, customers, business
partners, external parties
can be virtual: service, application
Qu’est-ce qu’une identité?
Une entité peut avoir plusieurs identités.
Par exemple, l’identité peut être le nom dusager, le numéro d’assurance sociale
Donnez un exemple d’un attribut
rôle, age, sexe, location, biometrique
What are the security mechanisms to verify the claim of an attribute by an entity is correct ?
authentification (valider l’identité en validant les attributs), access control (verifier que la personne a les droits d’acces pour la ressource)
Qu’est-ce que le discretionary access control (DAC)?
vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter. Utilisé sous Linux. Les utilisateurs peuvent changer les permissions de leurs fichiers (chnmod). DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE
Qu’est-ce que le mandatory access control (MAC)?
MAC ajoute des étiquettes à chaque sujet et objet. Une politique d’accès contient les règles d’accès permises pour chaque sujet et objet. Politique par défaut: DENY
classifications avec des étiquettes public<confidentiel<secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes.
Les utilisateurs recoivent un niveau d’habilitation (ex: secret) et s’engagent à ne pas diffuser l’info qu’ils détiennent.
Les règles et étiquettes peuvent seulement être changées par un administrateur avec un logiciel de confiance.
Quels sont les types de contrôle d’accès?
-RBAC: Role-based,
-DAC: Discretionary access control (vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter),
-MAC: mandatory access control (classifications secret, top secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes),
-ABAC:
Attribute-based access control: donner acces a tous ceux qui ont un attribut (protocole SAML). Il y a des attributs liés à l’utilisateur, aux actions, aux ressources et à l’environnement.
Ex: permettre à un professeur (utilisateur) d’emprunter un livre (action) sur une ressource d’un certain type entre des heures spécifiques (environnement).
Quel est le concept de Separation of Duty (SoD)?
Contrainte du modèle RBAC: si une entité a un certain rôle, elle doit être restreinte à obtenir un second rôle.
SOD statique (SSOD): séparation s’applique en toute situation.
SOD dynamique (DSOD): séparation s’applique uniquement dans une même session.
Qu’est-ce que le Single Sign On?
Un seul credential pour acceder à plusieurs ressources. Peut être implémenté de différentes façons: token, 2 factors, etc.
Qu’est-ce que les Federated Identities?
Federated identity allows authorized users to access multiple applications and domains using a single set of credentials. It links a user’s identity across multiple identity management systems so they can access different applications securely and efficiently.
Relation de confiance entre un système et un autre système. Vérification uniquement des identités.
Quels sont les types de SSO (single sign on) ?
types: internal SSO on-prem, inbound SSO for
service providers, and outbound SSO for external partners
Qu’est-ce que le CSA?
Cloud Security Alliance : organisme qui définit plusieurs standards pour le cloud.Similarité entre les fournsseurs
Quelle est la différence entre Web SSO et Federated SSO?
web SSO: permet de gérer plusieurs applications WEB (ex avec l’adresse gmail) : contacte les centre donnees au canada
federated SSO: contacte les contres de données partout dans le monde pour donner les accès au ressources.
Différence: la région
Quel est le concept de virtualisation dans le contexte des identités?
permet abstraction de plus haut niveau.
Ex: l’entreprise ne peut pas toucher les données par restriction mais peuvent toucher les métadonnées (ex: nb d’utilisateurs, région, etc). Agréger les informations par site ou autre particularité (heure de connexion). Faire des jointures entre plusieurs sites. Vue de plus haut niveau sur les statistiques.
CSA architecture supports Identity virtualization that
allows abstraction of multiple identity services (e.g., LDAP
services, federated identities)
allows a local and global view of aggregated/correlated
identities
often coupled with contexts such as geographic location for
data enrichment
contexts improve identity queries by selecting the identity
provider nearest to the user/entity
Quelles valeurs peuvent prendre le champs principal dans le fichier config.json
Id utilisateur ou nom de ressource ou ensemble d’utilisateurs. Définit une entité à partir de son identifiant.
Account ID(s) or name(s) of the user(s) authorized
to access resources e.g., root, 1224455994
Qu’est-ce qui permet de gérer les authorisations d’accès aux ressources dans AWS?
Les politiques de sécurité .
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“s3:CreateBucket”,
“s3:ListBucket”,
“s3:DeleteBucket”,
“s3:GetObject”,
“s3:PutObject”,
],
“Resource”: “arn:aws:s3:::dms-*”
}
]
}
Qu’est-ce qu’une architecture multi-cloud?
Utiliser les services de plusieurs fournisseurs dans une infrastucture cloud.