Sophos simplifie et centralise la gestion des comptes AWS à l'aide d'AWS IAM Identity Center

Sophos, une société native cloud de sécurité informatique qui fournit une protection, une surveillance et une réponse aux menaces 24h/24, 7j/7, dans des environnements de cloud hybride, a connu une croissance rapide grâce à Amazon Web Services (AWS). L'étape suivante de son parcours a consisté à simplifier l'intégration des comptes et à centraliser la gestion des comptes. Dans le passé, Sophos utilisait la fédération d'identités compte par compte pour accorder l'accès à AWS. Cela a permis à Sophos de gérer l'accès aux comptes AWS de manière simple et sécurisée, mais l'entreprise souhaitait un moyen encore plus simple et plus évolutif de gérer l'accès sur un nombre croissant de comptes AWS. Dans le même temps, Sophos devait conserver un contrôle d'accès précis sur la configuration des nouveaux comptes AWS, les rôles de gestion des identités et des accès, les autorisations et les informations d'identification utilisateur temporaires.

Pour simplifier et centraliser la gestion des comptes AWS et bénéficier d'options plus flexibles lors de l'attribution des rôles et des autorisations aux utilisateurs, Sophos a implémenté AWS IAM Identity Center (successeur d'AWS Single Sign-On). IAM Identity Center est un service qui facilite la gestion centralisée de l'accès à plusieurs comptes AWS et applications métier. Au lieu de configurer la fédération d'identité pour chaque compte, Sophos a configuré la fédération d'identité une seule fois via IAM Identity Center afin de gérer l'accès à plusieurs comptes AWS, ce qui a considérablement simplifié le processus d'intégration des nouveaux comptes et d'attribution de rôles distincts avec des privilèges limités. Désormais capable de gérer l'accès aux comptes de manière centralisée depuis la console IAM Identity Center ou l'interface de ligne de commande, Sophos n'a plus besoin de recourir à des extensions tierces pour attribuer des informations d'identification temporaires aux développeurs. « Nos collaborateurs sont vraiment satisfaits de l'apparence d'IAM Identity Center », déclare Guy Davies, architecte principal du cloud chez Sophos. « Et le temps de création de comptes a considérablement diminué, car la majeure partie est désormais automatisée. »

Sophos a vu le jour en 1985 et ses produits contribuent aujourd'hui à protéger plus de 400 000 entreprises et plus de 100 millions d'utilisateurs dans plus de 150 pays contre les cybermenaces avancées. Avant d'utiliser IAM Identity Center, Sophos utilisait la fédération d'identités compte par compte pour gérer en toute sécurité ses 250 comptes AWS, auxquels accèdent 1 500 utilisateurs internes. Le processus d'intégration, de gestion et de modification de ses comptes AWS prenait beaucoup de temps et nécessitait la participation des équipes de développement informatique et du cloud. Sophos cherchait des moyens de se mettre à l'échelle encore plus rapidement avec l'agilité dont elle avait besoin.

Sophos utilisait déjà les services AWS, notamment AWS Organizations, un service qui aide les entreprises à gérer et à gouverner de manière centralisée leurs environnements AWS à mesure qu'elles font évoluer leurs ressources AWS. En outre, Sophos souhaitait centraliser la gestion de ses comptes AWS et éviter des étapes supplémentaires lors de l'intégration de nouveaux comptes et de la modification des autorisations des rôles. Sophos possède plus de 500 groupes Azure Active Directory qu'elle utilise pour contrôler l'accès aux comptes. Ainsi, en 2019, lorsque IAM Identity Center a commencé à prendre en charge la spécification System for Cross-domain Identity Management, Sophos a trouvé sa solution pour simplifier l'intégration des comptes et la gestion des accès à grande échelle. Elle peut désormais synchroniser ses groupes Azure Active Directory existants avec AWS. « Nous avons les compétences nécessaires pour créer une solution par nous-mêmes, mais nous comptons également 1 500 personnes disposant de compétences sur AWS », explique Davies. « En commençant dans l'environnement AWS, il est plus facile pour nous de faire des choses intéressantes. »

Sophos souhaitait continuer à utiliser ses fournisseurs de services d'identité existants, notamment Azure Active Directory, un service d'identité d'entreprise, ainsi que l'authentification Jira et les dispositifs d'authentification matériels YubiKey. Ces outils d'identification et IAM Identity Center fonctionnent ensemble de manière fluide, ce qui permet une authentification multifactorielle sécurisée. Après avoir effectué une preuve de concept et avoir reçu des commentaires internes positifs, Sophos a procédé à la transition vers IAM Identity Center. La configuration a été achevée en quelques semaines, en septembre 2020. Ensuite, au cours de la première semaine d'octobre, Sophos a demandé à ses 1 500 utilisateurs internes de procéder à la transition avant la fin du mois. Sophos a connu une adhésion initiale rapide, suivie d'un ralentissement de la transition de certains utilisateurs, mais les réactions ont été unanimement positives. « Je ne pense pas que nous ayons reçu de retours négatifs concernant IAM Identity Center », déclare Davies. « C'est sans précédent pour un changement qui affecte le flux de travail journalier d'environ 1 500 personnes. »

La transition vers IAM Identity Center a considérablement simplifié tous les aspects de la gestion des comptes AWS pour l'équipe Sophos, réduisant le temps nécessaire à l'intégration de nouveaux comptes AWS de plusieurs jours à moins d'une journée et permettant la révocation quasi instantanée de l'accès aux comptes AWS au fur et à mesure que les contractants arrivent et partent. Dans le passé, la révocation de l'accès d'un utilisateur nécessitait de passer au peigne fin tous les groupes Azure Active Directory qui contrôlent l'accès à des comptes individuels afin de révoquer complètement l'accès à chaque compte, puis d'attendre la synchronisation d'Azure Active Directory. Cela pouvait prendre jusqu'à une heure. Après avoir créé deux groupes Azure Active Directory – l'un contenant tous les utilisateurs individuels et donnant accès à la console IAM Identity Center et l'autre qui se synchronise via le System for Cross-domain Identity Management et donne accès aux comptes et autorisations AWS – Sophos peut désormais simplement retirer un utilisateur du groupe IAM Identity Center, et l'accès est immédiatement révoqué, sans avoir à attendre une synchronisation. Dans l'ensemble, les développeurs ont économisé des centaines d'heures sur la création de comptes AWS et n'ont plus besoin de l'équipe informatique pour procéder à l'intégration des comptes AWS. Cela a entraîné une réduction des coûts de ressources et a permis à Sophos d'évoluer avec plus d'agilité.

Grâce à IAM Identity Center, Sophos a également bénéficié d'un avantage important en matière de sécurité : la société peut désormais offrir à ses utilisateurs la possibilité de créer des informations d'identification temporaires pour accéder aux ressources AWS. Sophos n'a pas besoin d'effectuer la rotation des informations d'identification ni de les révoquer lorsqu'elles ne sont plus nécessaires. IAM Identity Center permet également aux administrateurs de comptes de modifier leurs autorisations depuis un emplacement central, ce qui leur donne la possibilité d'ajuster rapidement les autorisations des rôles. « Nous pouvons désormais être plus granulaires dans les autorisations que nous attribuons, car nous pouvons créer sans difficulté autant d'ensembles d'autorisations que nous le souhaitons », explique Davies. « Nous pouvons limiter l'accès des utilisateurs à leurs comptes AWS, ce qui réduit la surface d'attaque. »

Pour Sophos, la mise en œuvre d'IAM Identity Center s'est traduite par une gestion des comptes AWS beaucoup plus rapide et rationalisée, qui a permis aux développeurs de passer moins de temps à attendre les autres équipes et de se concentrer davantage sur des innovations passionnantes. Sophos prévoit également d'utiliser les API IAM Identity Center pour renforcer l'automatisation et accélérer les processus d'intégration et d'accès aux comptes AWS à l'avenir. Par exemple, elle prévoit d'automatiser un moyen de fournir l'accès au compte, ce qui est utile si quelqu'un fait une demande après les heures normales de bureau.

« C'est le genre de chose que nous cherchons à faire pour adopter une approche plus granulaire et dynamique de la gestion des privilèges pour nos comptes AWS », ajoute Davies. « Tout cela est parfaitement possible avec IAM Identity Center. »