Nous allons aujourd’hui abordé la suite EMS de manière high level, ensuite je ferais des article Deep-dive sur chaque composant de cette suite.
Vous pouvez déjà retrouver mes 4 premiers articles sur Azure Ad ( série en cours de finalisation ) :
La sécurité de nos jours est omniprésente, elle touche toutes les
briques de nos systèmes d’information.
Nous rencontrons de plus en plus
de cyberattaques, ces attaques peuvent être de tout genre, ce qui obligent les
éditeurs à innover afin de proposer à leur clients les meilleurs moyens afin de
se protéger contre ces attaques.
Microsoft mis à disposition pour ces clients la suite EMS ( Entreprise
Mobility + Security) ce qui permet d’offrir un monde d’entreprise mobile, donc
productif et surtout sécurisé.
Entreprise Mobility + Security
EMS est une suite de
composants qui permet de répondre à plusieurs besoins des entreprises en terme
de mobilité, productivité, et sécurité.
EMS se compose
de :
- · Azure Active Directory : C’est le point central, C’est annuaire qui permet de gérer l’identité cloud, cette identité peut être from cloud ou alors synchronisée depuis un Active Directory local , c’est le point centrale de cette suite
Vu globale d’un annuaire AD local synchronisé vers azure AD :
- Azure information protection : Solution qui permet de faire de la data classification au sein des systèmes d’information, elle permet de classifier les documents, les e-mails. AIP permet également de chiffrer les documents et e-mails afin d’apporter de la sécurité au niveau de la consultation et de gérer les droits des accès aux documents internes de l’entreprise.
AIP
fonctionne avec Azure AD en mode full cloud ou alors avec un Azure AD avec des utilisateurs synchronisées depuis
un AD Local :
Le
mode de déploiement d‘Azure Information Protection :
o
Full Cloud
o
Hybride,
afin de connecter vos serveurs on-prem : serveur Exchange, serveur de
fichier ou encore votre SharePoint à AIP via un RMS Connector, comme ci-dessous :
- · Cloud App Security : Elément essentiel dans un monde qui devient de plus en plus cloud, car cette solution va permettre de garder le contrôle des activités des utilisateurs internes, elle est capable de proposer des rapports complets sur l’utilisation des applications cloud des utilisateurs, ce qui permet de mieux contrôler ces données, elle permet également de se protéger en détectant des anomalies et incidents basée sur une analyse comportementale des utilisateurs et de leur accès.
- · Intune : Intune est un MDM ( Mobile Device Management ) composant bien connu qui permet de gérer les appareils d’entreprise ( iPhone, Android, Windows 10 ), Intune permet également de faire du MAM ( Mobile Application Management) afin de gérer les applications d’entreprise de façon sécurisée ; Intune permet de garder le contrôle sur les devices d’entreprise et également faire du BYOD, ce qui offre à vos utilisateurs une mobilité saine sans corrompre la sécurité de votre système d’information.
- · Microsoft Advanced Threat Analytics : Microsoft ATA est une solution basée sur du machine Learning qui via une analyse comportemental va permettre de sécuriser votre système d’information en se basant sur un élément essentiel : l’Active Directory interne. ATA va collecter et analyser tous le Traffic de l’AD et en fonction de ce qu’il aura appris, il va vous alerter sur les incidents et anomalies que vous avez en interne
- L’architecture de Microsoft ATA est composée de plusieurs éléments :
·
D’un ATA
center , le cerveau de la solution qui traite le trafic reçue, analyse, envoi
les alertes et les stockent également dans une base de données MongoDB
·
La
passerelle ATA, l’ATA Gateway, c’est un élément important, car c’est lui qui capture le trafic de l’AD ( Kerberos, DNS, et tout ce qui passe dans l’AD) et
l’envoi pour analyse à l’ATA Center. On distingue deux types , la Gateway classique et l’ATA LightWeight Gateway , celle-ci capture
de le trafic des DCs via du port mirroring au niveau physique si nous sommes
dans une architecture virtualisée, ou alors via un switch physique dans le cas
ou nous avons une infrastructure physique. L’ATA LightWeight est un agent
directement installé sur le DC, et c’est le DC via cet agent qui se chargera de
capturer et d’envoyer son trafic à l’ATA center
- · Azure Threat Protection : Azure ATP est un ATA as a Service basé sur le cloud de Microsoft, qui permet via des sensor installés sur des ATA Gateway classique ou sur les DC de capturer le trafic AD et de l’analyser comme le fait Microsoft ATA, il aussi capable de briser les chaines de cyberattaques telle que la reconnaissance, le mouvement latéral et la persistance.
Azure AATP est
disponible avec EMS E 5.
NB : Faut savoir que
tous ces composants sont cloud based, sauf la solution Microsoft ATA , qui
reste une solution on-prem. Mais Azure ATP vient pallier ce manque et propose
un ATA as a Service dans le cloud de Microsoft.
EMS et les licences
Microsoft à mis au point deux niveaux de
licence, à savoir :
- · EMS E3
- · EMS E 5
Le mode EMS E3
offre :
- Azure AD P1
- Intune
- Azure Information Protection P1 ( AIP)
- Advanced Threat Analytics (ATA)
Tandis que EMS
E5 :
- Azure AD P1
- Intune
- Azure Information Protection P2 ( AIP)
- Cloud App Security
- Azure Advanced Threat Analytics (Azure ATP)
Conclusion
Les briques EMS
peuvent s’implémenter de manière complètement indépendantes, il faut savoir que
la base est Azure AD, une fois azure AD déployé, il est possible de mettre en
place les briques EMS step by step, cette méthode permet d’appréhender au mieux
ces nouvelles technologies et mieux les implémenter afin de répondre à vos
besoins de mobilité et de sécurité.
D'autres articles viendront compléter cette introduction à EMS :)
Stay connected
Cdt,
ST,
Microsoft MVP
