cours 02 IAM Flashcards

1
Q

Donnez des exemples d’entités

A

can be real: employees, contractors, customers, business
partners, external parties
can be virtual: service, application

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Qu’est-ce qu’une identité?

A

Une entité peut avoir plusieurs identités.
Par exemple, l’identité peut être le nom dusager, le numéro d’assurance sociale

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Donnez un exemple d’un attribut

A

rôle, age, sexe, location, biometrique

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

What are the security mechanisms to verify the claim of an attribute by an entity is correct ?

A

authentification (valider l’identité en validant les attributs), access control (verifier que la personne a les droits d’acces pour la ressource)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qu’est-ce que le discretionary access control (DAC)?

A

vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter. Utilisé sous Linux. Les utilisateurs peuvent changer les permissions de leurs fichiers (chnmod). DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qu’est-ce que le mandatory access control (MAC)?

A

MAC ajoute des étiquettes à chaque sujet et objet. Une politique d’accès contient les règles d’accès permises pour chaque sujet et objet. Politique par défaut: DENY

classifications avec des étiquettes public<confidentiel<secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes.

Les utilisateurs recoivent un niveau d’habilitation (ex: secret) et s’engagent à ne pas diffuser l’info qu’ils détiennent.

Les règles et étiquettes peuvent seulement être changées par un administrateur avec un logiciel de confiance.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Quels sont les types de contrôle d’accès?

A

-RBAC: Role-based,
-DAC: Discretionary access control (vieux modele pas tres securitaire: quelqu’un attribue les permissions et peut les consulter),
-MAC: mandatory access control (classifications secret, top secret qui permettent de classifier les donnees pour donner acces a un groupe de personnes),
-ABAC:
Attribute-based access control: donner acces a tous ceux qui ont un attribut (protocole SAML). Il y a des attributs liés à l’utilisateur, aux actions, aux ressources et à l’environnement.
Ex: permettre à un professeur (utilisateur) d’emprunter un livre (action) sur une ressource d’un certain type entre des heures spécifiques (environnement).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Quel est le concept de Separation of Duty (SoD)?

A

Contrainte du modèle RBAC: si une entité a un certain rôle, elle doit être restreinte à obtenir un second rôle.

SOD statique (SSOD): séparation s’applique en toute situation.
SOD dynamique (DSOD): séparation s’applique uniquement dans une même session.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Qu’est-ce que le Single Sign On?

A

Un seul credential pour acceder à plusieurs ressources. Peut être implémenté de différentes façons: token, 2 factors, etc.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Qu’est-ce que les Federated Identities?

A

Federated identity allows authorized users to access multiple applications and domains using a single set of credentials. It links a user’s identity across multiple identity management systems so they can access different applications securely and efficiently.

Relation de confiance entre un système et un autre système. Vérification uniquement des identités.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Quels sont les types de SSO (single sign on) ?

A

types: internal SSO on-prem, inbound SSO for
service providers, and outbound SSO for external partners

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Qu’est-ce que le CSA?

A

Cloud Security Alliance : organisme qui définit plusieurs standards pour le cloud.Similarité entre les fournsseurs

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Quelle est la différence entre Web SSO et Federated SSO?

A

web SSO: permet de gérer plusieurs applications WEB (ex avec l’adresse gmail) : contacte les centre donnees au canada
federated SSO: contacte les contres de données partout dans le monde pour donner les accès au ressources.

Différence: la région

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Quel est le concept de virtualisation dans le contexte des identités?

A

permet abstraction de plus haut niveau.
Ex: l’entreprise ne peut pas toucher les données par restriction mais peuvent toucher les métadonnées (ex: nb d’utilisateurs, région, etc). Agréger les informations par site ou autre particularité (heure de connexion). Faire des jointures entre plusieurs sites. Vue de plus haut niveau sur les statistiques.

CSA architecture supports Identity virtualization that
allows abstraction of multiple identity services (e.g., LDAP
services, federated identities)
allows a local and global view of aggregated/correlated
identities
often coupled with contexts such as geographic location for
data enrichment
contexts improve identity queries by selecting the identity
provider nearest to the user/entity

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quelles valeurs peuvent prendre le champs principal dans le fichier config.json

A

Id utilisateur ou nom de ressource ou ensemble d’utilisateurs. Définit une entité à partir de son identifiant.

Account ID(s) or name(s) of the user(s) authorized
to access resources e.g., root, 1224455994

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Qu’est-ce qui permet de gérer les authorisations d’accès aux ressources dans AWS?

A

Les politiques de sécurité .

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“s3:CreateBucket”,
“s3:ListBucket”,
“s3:DeleteBucket”,
“s3:GetObject”,
“s3:PutObject”,
],
“Resource”: “arn:aws:s3:::dms-*”
}
]
}

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Qu’est-ce qu’une architecture multi-cloud?

A

Utiliser les services de plusieurs fournisseurs dans une infrastucture cloud.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Quels sont les avantages d’une architecture multi-cloud?

A

Plus de flexibilité par rapport à ce qui est offert. Ex: profiter du fait que les instances VM sont moins chères sur AWS et que le active directory de Microsoft Azure est plus mature.

19
Q

Quels sont les inconvénients d’une architecture multi-cloud?

A

Entraîne une complexité architecturale et un coût élevé de recrutement / formation.

20
Q

Quel est le rôle du Active Directory?

A

gère les utilisateurs, les rôles pour pouvoir accéder aux ressources.

21
Q

Qu’est-ce que l’accès Just-in-Time

A

Un rôle est donné seulement pour le temps d’une tâche spécifique.

For example, an Admin role is assigned to an employee with
role User to do a specific task
the Admin role is automatically revoked after task is done
and the role User is reassigned to the employee

22
Q

Comment s’appelle le processus qui contrôle les rôles dans le cas de l’accès Just-In-Time?

A

priviledged identity management PIM

Gestion d’entités des comptes privilégiés

23
Q

Nommez 2 vulnérabiités au niveau du contrôle d’accès .

A
  • Des accès non protégés aux APIs. Il est alors possible de modifier la BD.
  • La possibilité d’élever ses droits d’accès (ex: utilisateur qui obtient des droits admin)
  • Modification de paramètres URL
    -Trop de privilèges
  • Manipulation des metadatas.
24
Q

Nommez 2 vulnérabilités au niveux de l’échec de l’authentification ou de l’identification.

A

-brute-force/automated attacks is allowed during
logging/authentication
-authentication with default, weak, or well-known passwords
- missing or ineffective multi-factor authentication
- session identifier exposed via URL or reused after login
- manipulation of metadata such as cookie, access token

25
Q

Quel est l’avantage du consistent hashing

A

Ajouter des serveurs ou en enlever requiert seulement une redistribution minime des donnees. Ceci est vrai puisque les donnees seraient normalement associees à un hash % nbServeurs. Ici, les données sont organisées sur un cercle et sont associées à un serveur de proximité.

With consistent hashing, adding a new server only requires redistribution of a fraction of the keys.

With sinple hashing, when a new server is added, almost all the keys need to be remapped.

26
Q

Qu’est-ce que le SSPR?

A

Self-service Password Reset (SSPR) allows users to modify
their password

27
Q

Nommez 2 vulnérabilités au niveau des configuration insécures

A

-improper permissions set on resources
-principal or resource fields in security policies are configured
with ”*” to grant access to any user or any resource
- root profile is used by default
- over-permissive IAM role configuration

28
Q

Qu’est-ce que LDAP?

A

Lightweight Directory Access Protocol

centrally manages authentication
and access on Directories

permet de gérer des annuaire avec les profils d’utilisateurs. Souvent utilisé sur un serveur d’authentification.

29
Q

Quels sont les vulnerabilités de LDAP?

A

vulnerable to
injection via query
manipulation

remote code execution via
client redirection to a
malicious LDAP server

30
Q

Qu’est-ce que le protocole SAML2?

A

provides XML-based authentication between client, identity provider (IDP), and
service provider (SP)

31
Q

Quelle est la vulnérabilité de SAML2?

A

XML injection

32
Q

Quelle est la différence entre basic auth et OAuth2?

A

Basic auth:
l’utilisateur envoie son username et password via https et recoit une réponse du serveur

OAuth2:
L’utilisateur envoie une demande au serveur d’autorisation. Après validation, il reçoit un token. L’utilisateur demande accès à la ressource à l’aide de son token.

33
Q

Quels sont les désavantages de basic auth et OAuth2?

A

basic auth: Easy to break, Very insecure even when
used over HTTPS

OAuth2: attacker can steal OAuth
Token via URI redirection

34
Q

Quels sont les composents de Access governance?

A
  • Identity governance and administration : create policies for
    users based on least privilege and RBAC, conduct access
    review, produce reports of authentication/ authorization
    activities

-Data access management: identify who has access and permissions to given resources

-Reporting and compliance: provide compliance reports that
outline user access and permissions, adapt to data privacy laws
and new regulations.

35
Q

What are the federated identity protocol ?

A

OAuth2 SSO, SAML2 SSO
OpenID Connect SSO

36
Q

The policy enforcement point (PEP) control accesses (e.g.,
deny, allow) based on instructions from the …

A

policy decision
point (PDP)

In the PDP, a policy administrator takes ultimate decision (e.g., grant, deny, revoke) based on the policy engine

37
Q

Pourquoi choisir RBAC?

A

Les employés sont affectés à des rôles. Les rôles sont organisés en hiérarchies. Des permissions sont attribuées aux rôles. Le rôle est un intermédiaire entre l’utilisateur et les permissions. En changeant de session, un usager peut activer de nouveaux rôles.

Ceci simplifie la gestion de la politique d’authorisation car le nombre de rôles est inférieur au nb d’employés et les permissions associées aux rôles changent peu fréquemment.

38
Q

Quels sont les inconvénients de DAC

A

DAC implique une gestion difficile pour grandes entreprises car chaque usager est un cas individuel. De plus, DAC suppose que les usagers sont propriétaires des ressources et peuvent transférer les droits alors que normalement c’est l’organisation qui est propriétaire des ressources.

DAC fonctionne correctement sous 2 conditions: les usagers ne font pas d’erreurs et sont complètement dignes de confiance…. IMPOSSIBLE

39
Q

Qu’est-ce que l’IAM? Quel est le principe de base?

A

IAM = Identity and Access Management

Principe de base de l’IAM:
Séparer l’implémentation des applications et de la sécurité.

40
Q

Nommez 2 fonctions de l’IAM

A

Fonctions de l’IAM:
-Provisionnement : créer, mettre à jour automatiquement les comptes, synchroniser les mots de passe entre les applications.
-Réconciliation: s’assurer que le déploiement réel de la politique de sécurité correspond à ce qui est décrit dans la politique d’autorisation.
-Gestion des identités: réconcilier les annuaires des utilisateurs et gestion du SSO
-Gestion des autorisations: RBAC, ABAC…

41
Q

Sur quel protocole repose https

A

SSL/TLS
le serveur présente son certificat SSL. Le client peut alors savoir qu’il est en communication avec un serveur légitime et non un serveur pirate.

42
Q

Quelle est la différence entre SSO et federated identities?

A

While SSO allows a single authentication credential to access different systems within a single organization, a federated identity management system provides single access to multiple systems across different enterprises.

43
Q

Quelle est la différence entre LDAP et Active Directory

A

LDAP and Active Directory are two common terms in Identity and Access Management (IAM). Whereas Active Directory is a directory server that stores user information such as usernames, phone numbers, and email addresses, LDAP is a protocol that allows reading and modifying that information. You can also use LDAP to authenticate users using the Bind operation. Although LDAP is the core protocol behind Active Directory, you can use LDAP to query any other directory database that supports it, e.g., OpenLDAP and FreeIPA