Dynamic Access Control : Part 1 - Présentation

Envoyer

Sommaire

 

 

Introduction

Le présent article va nous permettre d’introduire la nouvelle solution de gouvernance des données (dossiers ou fichiers) de Microsoft introduite avec Windows Server 2012. L’article s’appuie exclusivement sur la documentation officielle de Microsoft:

 

 

Qu’est-ce que le “Dynamic Access Control”?

« Dynamic Access Control »  (DAC) est une solution de gouvernance des données ou plus simplement un ensemble de fonctionnalités nous permettant d’organiser, gérer, distribuer et sécuriser les dossiers et fichiers au sein de notre infrastructure. L’enjeu principal ? Pouvoir gérer le cycle de vie et l’intégrité de l’information au sein d’une organisation.

Avec « Dynamic Access Control », on retrouve les 4 principaux points d’une solution de gouvernance de données:

  • L’Identification : à l’aide de la classification des données de manière automatique ou manuelle (File Classification Infrastructure).
  • La gestion et la distribution : en définissant des politiques d’accès centralisées au niveau de l’entreprise et provisionnant automatiquement les accès.
  • La sécurisation : en améliorant la pertinence des  journaux d’audits et en permettant l’encryptage automatique des données sensibles de l’entreprise.

 

Les composants de « Dynamic Access Control »

« Dynamic Access Control » n’est pas une fonctionnalité à proprement parlé mais un regroupement d’améliorations et de nouveautés introduites avec Windows Server 2012. Nous retrouvons entre autres :

  • Active Directory : pour la gestion centralisée des règles d’accès, des propriétés de ressources et des revendications utilisateurs.
  • Kerberos : pour le support des nouvelles revendications d’accès.
  • File Server : pour autoriser les accès s’appuyant sur les nouvelles autorisations d’accès et les nouveaux types de revendication.
  • File Server Ressources Manager : pour classifier les données automatiquement et assurer une meilleure gestion des serveurs de fichiers.

En surface, le fonctionnement est assez simple. Vous devez disposer d’au moins  un contrôleur de domaine sous Windows Server 2012 qui va vous permettre dans un premier temps de déclarer toutes les propriétés de ressources possibles au sein de votre organisation. Elles seront ensuite automatiquement mises à la disposition de vos serveurs de fichiers, eux-mêmes impérativement sous Windows Server 2012. Ces propriétés de ressources seront exploitées sur ces serveurs de fichiers pour la classification de vos données.

Toujours depuis un contrôleur de domaine, vous allez ensuite définir que, désormais, certains attributs utilisateurs vont être exploités pour l’attribution d’autorisation. En clair, nous pouvons par exemple faire en sorte que l’attribut « Country » de nos objets utilisateurs au sein de l’annuaire Active Directory soit exploité pour réaliser du contrôle d’accès. Lorsque l’utilisateur s’authentifiera, son ticket Kerberos sera constitué désormais de cette nouvelle revendication.

Enfin, nous poussons des règles d’accès sur nos serveurs de fichiers, à base d’expressions conditionnelles mettant en relation les propriétés de ressources et les nouvelles revendications utilisateur.

Lorsque l’utilisateur tente d’accéder à une donnée sur le serveur de fichiers, ce dernier va autoriser ou non l’accès aux données en fonction des propriétés de la ressource, des revendications de l’utilisateur et surtout selon les règles d’accès définies.

 

 

 

 

 

 

 

 

Remarque : Nous verrons de manière plus approfondie les prérequis du « Dynamic Access Control » dans un article dédié.

 

 


Un exemple de contrôle d’accès

Le type de contrôle d’accès introduit par DAC en est, bien entendu, la clé de voute. Elle démultiplie les possibilités dans ce sens et en simplifie grandement la gestion. Cela essentiellement par l’identification des ressources, l’extension des revendications utilisateurs et la gestion centralisée.

Prenons le cas concret suivant :

  1. Vous disposez de deux comptes utilisateurs Active Directory qui ont les attributs Active Directory « Country » et « Department » renseignés.  D’un autre côté, vous disposez également de deux dossiers qui ont été classifiés à l’aide de  propriétés.
  2. Vous créez une règle d’accès spécifiant que les attributs  « Country » et  « Department » de l’utilisateur doit correspondre aux propriétés désirées de chaque dossier.
  3. Le serveur de fichiers vérifie à chaque tentative d’accès que les revendications utilisateurs (attributs AD) correspondent avec les règles d’accès.

 

 

 

 

 

 

Nous voyons donc que, d’après le schéma ci-dessus, l’utilisateur « Sophie » accède au dossier  « Marketing » car la demande respecte la règle d’accès. Cela n’est pas le cas  avec le dossier « Finance ». La propriété de ressources « Department » ne correspond pas à l’attribut « Department » de l’utilisateur.

Dans cet exemple, nous retrouvons donc :

  • La classification des données à l’aide de propriétés personnalisées.
  • L’extension des revendications utilisateurs qui ne s’appuient plus exclusivement sur son identifiant de sécurité ou sur son appartenance à des groupes de sécurité.
  • Des règles d’accès mettant en relation les propriétés des données avec les revendications utilisateurs.

Bien entendu, ceci n’est qu’un bref aperçu mais vous vous en rendrez compte tout au long de nos articles traitant le sujet que le point fort de Dynamic Access Control est la mise en corrélation dynamique des données et des utilisateurs en améliorant les moyens de les identifier.

 

 


Pourquoi se tourner vers « Dynamic Access Control » ?

Le « Dymanic Access Control » représente tout simplement l’opportunité tant espérée de pousser vers la sortie la méthode AGDLP.

Pour bref rappel, la méthode AGDLP est une bonne pratique Microsoft pour la gestion des accès aux données de l’entreprise et pour la mise en place d’un contrôle d’accès sur rôle (RBAC). La méthode passe exclusivement par la nidification de groupes Active Directory. Elle se définie simplement de la manière suivante : les comptes utilisateurs ou ordinateurs (Account) sont rattachés à des groupes globaux (Global)  représentatifs de la structure organisationnelle de l’entreprise et qui seront intégrés eux-mêmes à des groupes de domaine local (Domain Local)  définissant les permissions (Permissions)  à une ressource.

Malheureusement AGDLP n’est qu’une méthode qui s’appuie sur un modèle très rigide et qui peut s’avérer extrêmement complexe à gérer. De plus, elle ne peut pas garantir l’intégrité des informations de l’entreprise.

Grâce à « Dynamic Access Control » Nous allons désormais pouvoir :

  • Limiter l’usage de groupes en s’appuyant un  contrôle d’accès dit « claim-based » et étendre les possibilités.
  • S’affranchir des contraintes techniques et coller au mieux aux besoins métiers grâce à aux expressions conditionnelles.
  • Garantir une politique d’accès à l’information au niveau de l’entreprise.

 

Conclusion

Dans ce premier article sur « Dymanic Access Control », nous avons pu survoler les nouveautés introduites. L’objectif étant par la suite de s’intéresser spécifiquement à chacun des composants le constituant.

Mise à jour le Dimanche, 20 Mai 2012 14:34