Introduction de l’IAM

La gestion des identités et des accès (IAM) est un cadre de politiques conçus pour répondre aux exigences de cybersécurité en gérant la façon dont les utilisateurs interagissent avec les ressources numériques et en contrôlant leurs actions autorisées. Cette fonctionnalité est maintenant disponible dans les routeurs DrayOS 5, offrant une nouvelle approche de la gestion du réseau. Cet article montre comment utiliser IAM sur le routeur DrayOS 5.

IAM offre un ensemble complet d’améliorations de sécurité puissantes pour les routeurs DrayOS 5. Avec IAM, les administrateurs ont la possibilité de contrôler les privilèges d’utilisateur, de définir des politiques d’accès et de coordonner de manière transparente les politiques de groupe avec le pare-feu et les paramètres d’accès conditionnel. Par rapport au pare-feu hérité des routeurs DrayOS 4, IAM permet aux administrateurs de gérer la base du réseau sur les rôles. L’option Utilisateurs et groupes permet aux administrateurs d’attribuer différents niveaux de privilèges aux comptes d’utilisateurs.

De plus, DrayOS5 est prêt pour Zero Trust ! L’esprit d’IAM n’est jamais de faire confiance, de toujours vérifier. Sous Stratégies IAM, vous trouverez les politiques d’accès, les politiques de groupe et les politiques d’accès conditionnel.
Les politiques d’accès garantissent que seuls les utilisateurs ou les appareils autorisés peuvent accéder à des ressources et aux services tels que les utilisateurs par connexion ou point d’accès invité et les appareils par liste d’adresses MAC.
Les stratégies de groupe combinent les filtres IP et de contenu ainsi que les paramètres d’accès conditionnel.
Les politiques d’accès conditionnel peuvent obliger les utilisateurs à fournir plusieurs formes d’authentification avant de bénéficier d’un accès à une ressource. Les politiques peuvent également être appliquées aux VLAN.
L’option Ressources permet d’enregistrer les adresses IP et MAC des appareils locaux tels que les postes de travail, les serveurs, etc., ce qui peut également améliorer considérablement l’efficacité de vos politiques d’accès.

Exemple de configuration

L’exemple suivant montre comment autoriser les utilisateurs LAN privilégiés à accéder aux ressources du serveur interne.

1. Allez sur la page IAM / Utilisateurs et groupes / Utilisateurs, cliquez sur le bouton “Ajouter” pour créer un profil d’utilisateur IAM comme suit :
   1. Entrez le nom d’utilisateur et le mot de passe.
   2. Activer l’AMF avec TOTP.
      
   3. Cliquez sur Appliquer et validez le jeton TOTP avec l’application Authenticator.
      
2. Accédez à la page IAM / IAM Policies / Access Policies, cliquez sur le bouton “Add” pour créer le profil de politique d’accès comme suit :
   1. Entrez le nom du profil de politique.
   2. Sélectionnez Connexion avec la fonction utilisateur intégrée en mode de contrôle d’accès.
   3. Sélectionnez Multi-Facteur en mode d’authentification.
   4. Cliquez sur “Appliquer” pour enregistrer le profil.
      
3. Allez sur la page IAM / Ressources, cliquez sur le bouton “Ajouter” pour créer la ressource comme suit :
   1. Vous pouvez choisir le type de ressource et entrer l’adresse en fonction de votre environnement.
   2. Ici, nous utilisons un serveur ACS3, adresse IP : 192.168.36.100 à titre d’exemple.
   3. Cliquez sur “Appliquer” pour enregistrer le profil.
      
4. Accédez à la page IAM / IAM Policies / Conditional Access Policy, cliquez sur le bouton “Add” pour créer un profil de politique d’accès conditionnel comme suit :
   1. Entrez le nom du profil de politique.
   2. Activer la condition MFA pour demander MFA lors de l’accès aux ressources.
   3. Il est facultatif de configurer l’adresse IP source et le calendrier pour permettre l’accès de l’utilisateur à partir d’une adresse IP et d’une heure spécifiques.
      
5. Allez sur la page IAM / IAM Policies / Group Policies, cliquez sur le bouton “Add” pour créer un profil de politique de groupe comme suit :
   1. Entrez le nom du profil de politique.
   2. Activez l’horaire pour restreindre l’accès pendant les heures de bureau.
   3. Appliquer la politique de ressource et d’accès conditionnel dans la ressource autorisée.
   4. Il est facultatif de configurer un filtre de pare-feu de groupe personnalisé pour restreindre l’accès Internet de l’utilisateur.
      
6. Accédez à la page IAM / IAM Policies / Apply Policies to LAN, appliquez le profil de politique d’accès et le profil de stratégie de groupe au LAN2.
   
7. Les utilisateurs privilégiés sont désormais tenus de se connecter avec 2FA pour accéder au serveur interne.