Intégration de RSA Authentication Manager à une solution de PAM

La solution PAM (pour Privileged Access Management) de WALLIX s’intègre à RSA Authentication Manager, et vient de recevoir le label « RSA Ready ».

Visionnez notre nouvelle vidéo didactique sur le sujet.

À présent, si vous souhaitez connaître les implications, imaginez ceci :

Si vous regardez un film de guerre, vous verrez sans doute une scène dans laquelle un soldat endosse l’uniforme ennemi et tente d’infiltrer les lignes de l’adversaire. Si ce stratagème réussit, il fera beaucoup de dégâts dans le camp ennemi. Dans le cadre de la cybersécurité, ce scénario est susceptible de se présenter à chaque instant de la journée.

Qui est réellement qui ? L’admin qui vient de se connecter via VPN est-il vraiment un employé de l’entreprise, ou bien un pirate qui a obtenu ces identifiants de façon frauduleuse ? Une variété de contremesures a été développée ces dernières années afin de réduire ce risque, l’une des plus efficaces étant l’authentification à deux facteurs, aussi appelé authentification forte.

Nécessité de l’authentification à deux facteurs

L’authentification à deux facteurs exige de l’utilisateur qu’il produise une preuve supplémentaire de son identité afin d’accéder à des ressources réseau ou d’application. Prenons l’exemple d’un distributeur automatique de billets. Vos identifiants de compte sont inscrits sur la bande magnétique de votre carte bancaire ; cependant, vous devez saisir le code PIN associé à cette carte pour que la banque vous permette d’accéder à votre compte.

L’authentification à deux facteurs s’appuie sur le fait qu’un simple mot de passe ne constitue pas une preuve suffisamment fiable de l’identité de l’utilisateur. Ce mot de passe peut en effet avoir été volé, ou piraté. Des solutions telles que RSA Authentication Manager contraignent les utilisateurs à saisir un identifiant unique, différent chaque fois, lorsqu’ils se connectent au système. Il existe pour cela une variété de mécanismes, dont les clés à puce et différents canaux de communication « hors bande ». Cette authentification supplémentaire rend les accès non autorisés au réseau infiniment plus complexes.

Le principe d’ « écouter qui écoute » porté à un niveau supérieur

Dans le cas où les utilisateurs possèdent des privilèges spéciaux, la nécessité de renforcer leur authentification est d’autant plus impérative. Vous ne souhaitez pas qu’une personne malveillante accède à la partie gestion (ou « back-end ») de votre réseau, de vos applications, de vos systèmes de stockage ou référentiels de données. Une solution PAM vise à contrôler et à surveiller les accès à cette partie gestion des systèmes. Elle permet de s’assurer que seules les personnes autorisées peuvent modifier les configurations système, créer ou supprimer des comptes, etc.

Une solution de PAM répond donc au principe d’« écouter qui écoute », mais son intégration à RSA pousse encore plus loin cette approche. Vous pouvez en effet vous assurer que les utilisateurs à privilèges sont bien ceux qu’ils prétendent être ; autrement dit, vous pouvez authentifier ceux qui sont autorisés à écouter ceux qui écoutent qui écoute. L’efficacité d’une solution de PAM est considérablement renforcée du fait que les utilisateurs à privilèges doivent s’identifier via une authentification à deux facteurs.

Comment RSA Authentication Manager s’intègre au Bastion de WALLIX

Les organisations qui s’appuient sur RSA Authentication Manager peuvent exiger des utilisateurs qu’ils s’identifient via RSA avant d’être autorisés à accéder à la solution. En conséquence, seuls les utilisateurs en mesure de s’identifier avec une authentification à deux facteurs peuvent accéder au Bastion pour gérer et surveiller les sessions des comptes à privilèges.

Le Bastion de WALLIX est une solution de PAM complète qui peut être déployée aussi bien dans le Cloud que sur site. La solution intègre un portail d’identification « single sign-on » (SSO), contrôlant l’accès des administrateurs système, quelle que soit leur localisation ou leur affiliation d’entreprise.

Le Bastion peut être configuré pour proposer une authentification à deux facteurs SecurID à l’aide des services RADIUS de RSA Authentication Manager. L’intégration est transparente. La Figure 1 montre le résultat final de l’intégration. L’utilisateur à privilèges obtient un code PIN unique par le widget RSA qui apparaît en bas à gauche de l’écran. Il lui suffit alors de copier/coller ce code dans le champ approprié de la page de login du Bastion.

Une fois identifié, l’utilisateur à privilèges peut utiliser la solution pour définir et appliquer les stratégies d’accès pour tout employé nécessitant un tel accès. Les privilèges peuvent être accordés et révoqués. Il est également possible de surveiller les sessions des comptes à privilèges, et d’obtenir le détail des actions entreprises par ces utilisateurs à privilèges. Le Bastion permet même à présent de renforcer l’authentification RSA pour chaque hôte ou application par transmission d’une clé SSH au format RSA, en activant simplement l’option appropriée.

Avantages de l’intégration RSA-PAM

Intégrer l’authentification RSA à une solution de PAM offre aux organisations un niveau de contrôle supplémentaire sur les accès à privilèges. Cette intégration offre une corrélation forte entre l’identité des utilisateurs et les sessions à privilèges, en associant le système global d’authentification RSA de l’organisation au contrôle des accès des comptes à privilèges. Cette approche réduit considérablement le risque qu’une personne non autorisée agisse en tant qu’administrateur du système. Pour parvenir à ses fins, un pirate devra pénétrer à la fois le système RSA et la solution de PAM. Cette approche multi-niveaux offre une défense en profondeur d’une très grande efficacité.

RSA est clairement l’un des fournisseurs d’authentification à deux facteurs les plus performants sur le marché, et chez WALLIX nous sommes heureux de proposer l’intégration à leur solution.