La gestion des identités privilégiées pensent en premier lieu va bien au-delà gestion des comptes locaux : Elle inclut la gestion des comptes privilégiés, mais aussi les emplacements où ils sont utilisés. Cela suppose de localiser chaque compte, de savoir où, pourquoi et comment les comptes sont utilisés et de savoir modifier l’ensemble de leurs identifiants – le tout sans provoquer de bugs et d’interruptions des opérations.

De nombreux serveurs utilisent des comptes locaux, comme root sous Linux et administrator sous Windows, afin de faire tourner les applications persistantes, qu’un opérateur se connecte à la machine ou pas. Un site web est ainsi un bon exemple d’une application persistante. De même qu’une base de données ou une autre application métier interne.

C’est là qu’interviennent les comptes de service. Les applications persistantes en ont besoin pour effectuer des actions pour le compte des utilisateurs de l’application. Dans les faits, ces comptes sont des proxies qui effectuent des actions limitées pour les utilisateurs n’ayant pas accès aux données et systèmes sensibles.

Dans de nombreux cas, la mécanique de ces comptes de service fait qu’un compte doit être connu et vérifiable par l’application, mais aussi par tout ce avec quoi l’application interagit. Par conséquent, le compte de service est généralement un domaine Windows puissant, Kerberos, LDAP ou un identifiant d’accès à une base de données.

Changer régulièrement les identifiants des comptes de service

Les applications utilisant des comptes de service doivent conserver une copie des identifiants nécessaires pour réaliser leurs actions. Ces identifiants sont généralement chiffrés ou obfusqués. Mais ils doivent être disponibles à la demande de l’application ou du service.

De par sa structure, chaque changement de mot de passe d’un super-utilisateur doit donc se faire non seulement dans le système d’authentification (ex. Active Directory), mais aussi dans chaque service/application qui stocke le mot de passe pour ce même identifiant. Il faut non seulement mettre à jour l’authentifiant, mais aussi toutes les références. La mise à jour de tous les emplacements où un compte de service est stocké s’appelle la propagation.

Pourquoi les comptes de service peuvent gêner les équipes IT

Pour réussir à changer le mot de passe d’un compte, il faut le changer là où il est stocké, mais aussi partout où il est fait référence à ce compte. Si on omet un endroit où un mot de passe est stocké, le mauvais mot de passe sera utilisé et le service ne fonctionnera pas correctement. Dans certains cas, l’utilisation d’un mot de passe incorrect par un service peut amener le système d’exploitation à penser que le compte est attaqué et à le bloquer. Ce dernier scénario signifie que tout service qui utilisera ce compte bloqué échouera également.

Le premier challenge en matière de gestion des comptes de service concerne la découverte et la corrélation. Ceci suppose de comprendre quels identifiants sont présents dans les systèmes et où ils sont utilisés. Le second challenge est celui de la propagation : comprendre comment changer les références à ces identifiants sans n’en manquer aucune.

La solution pour une gestion efficace et automatisée des comptes de service

Si changer régulièrement les identifiants engendre systématiquement des problèmes parce que ces changements provoquent des pannes, il ne faut pas perdre espoir. Il existe des solutions, même s’il y en a peu, pour automatiser la gestion des comptes de service et ainsi faire gagner du temps aux équipes IT et éliminer les interruptions.

Ces solutions analyseront automatiquement les comptes de service et l’endroit où ils se trouvent, et injecteront automatiquement de nouveaux mots de passe sur l’ensemble des instances sans que cela n’impacte les processus.

Dans les grandes et très grandes entreprises ayant plusieurs milliers de comptes de service, automatiser ces opérations à grande échelle génère des gains de temps et de ressources considérables puisque ce type de solutions se substitue à leur gestion et à leur maintenance manuelle, sans interaction humaine.

__________
William Culbert est Directeur Commercial Europe du Sud, Bomgar