Bedrijfsnetwerken bestaan tegenwoordig uit eigen diensten, clouddiensten of een combinatie daarvan. Al deze diensten bevatten gevoelige en vertrouwelijke gegevens, waar organisaties aantoonbaar zorgvuldig mee om moeten gaan. Het beheren van identiteiten en toegang tot private, hybride en clouddiensten vraagt om een complexe set unieke procedures. Er moet orde en inzicht komen in vaak chaotische en ondoorzichtige systemen.
In mijn vorige blog besprak ik de basis van identiteiten- en toegangbeheer, of identity and access management (IAM). IAM regelt wie, wat, waar, wanneer en waarom (of hoe) toegang krijgt tot het bedrijfsnetwerk. Hardware, personen, computeraccounts, gebruikersgroepen, etc. krijgen allemaal een eigen identiteit in de Active Directory (AD). Met IAM koppel je deze op basis van regels aan elkaar en gaan de juiste deuren naar applicaties open.
Dit proces is voor een ‘eigen’ bedrijfsnetwerk, met allerlei gebruikers, apparaten en applicaties, al erg lastig te realiseren. Dat wordt nog eens vele malen complexer nu er steeds meer mobiele en draadloze apparaten, en steeds meer clouddiensten, komen. Hierdoor worstelen veel bedrijven met een grote hoeveelheid verschillende inlogsystemen en verbindingen. Deze werken niet altijd even goed samen met interne IAM-systemen.
Clouddiensten beheer je per definitie niet zelf, je gebruikt de netwerken en applicaties van derden. Dat heeft een flinke impact op de beveiliging en de privacy van gegevens. Lees bijvoorbeeld maar eens de kleine lettertjes van cloudopslagdiensten zoals Dropbox. Daarin staat dat alle gegevens die je opslaat het eigendom worden van die dienst. Als je dat niet wilt, zul je ervoor moeten zorgen dat medewerkers geen toegang hebben tot dergelijke clouddiensten.
Voor alle applicaties die wel gebruikt mogen worden moet streng beleid bestaan dat veelal op functies of op de ‘rol’ in de organisatie gebaseerd is. Of het nu gaat om het private netwerk, om clouddiensten of een combinatie daarvan, je moet altijd rechten toewijzen aan gebruikers die informatie nodig hebben om hun werk te doen. Je moet die rechten bovendien automatisch weer in kunnen trekken als mensen het bedrijf verlaten of als hun rol verandert.
Identity en access management is de kern van IT-beveiliging. Daarom verdient de manier waarop je identiteiten beheert bijzondere aandacht. Vooral in omgevingen die zowel clouddiensten als bedrijfsnetwerken bevatten. In deze hybride wereld is een doordacht accountbeheer de ‘bottleneck’ van de veiligheid. Je moet namelijk aantoonbaar grip hebben en houden op alle identiteiten.
Natuurlijk bestaat er binnen elke organisatie een proces voor het beheren van nieuwe software-installaties. Er zijn meestal ook maatregelen voor het beheren van wachtwoorden en gebruikersaccounts. Maar het is veel minder vanzelfsprekend dat er een procedure is voor het toevoegen (en verwijderen) van gebruikers aan clouddiensten, die middels infrastructure-as-a-service(IAAS) of software-as-a-service(SAAS) in aantal en gebruik enorm aan het toenemen zijn.
De cloud maakt het noodzakelijk om de kloof tussen oplossingen voor bedrijfs-IAM en de applicaties van cloudproviders te overbruggen. Maar dan wel zodanig dat het bedrijf de controle behoudt over de eigen identiteiten en de eigen authenticatie. Tenslotte blijft het de verantwoordelijkheid van elke organisatie om te monitoren wie er wanneer toegang had tot exact welke clouddienst die beschikbaar wordt gesteld.
Cloudproviders kunnen aan deze eis tegemoet komen door standaarden te omarmen zoals SAML, OAuth en OpenID. Deze vereenvoudigen de uitwisseling van authenticatiegegevens tussen de cloudproviders en hun klanten. Deze standaarden maken een koppeling met bijvoorbeeld de Active Directory van een bedrijf. In veel gevallen bepaalt het feit dat je een account hebt in de AD of je kunt inloggen in gekoppelde cloudapplicaties. Medewerkers die afscheid nemen van een bedrijf of afdeling worden normaal gesproken verwijderd uit AD en kunnen daarom niet meer in de cloudapplicaties komen. Zo kun je langzamerhand bouwen aan een modulair ‘framework’ voor het beheren van alle identiteiten en reguleren van toegang tot de cloud en alle clouddiensten die men in gebruik wil nemen.
Dat IAM-systeem kan vervolgens zelf ook als clouddienst ingericht worden. Net als bij andere clouddiensten kan deze IAM-cloudservice ook afgerekend worden naar gebruik per periode. Binnen de IAM-wereld is dat nog een revolutionaire gedachte. In mijn volgende blog zal ik daarom het belang van identiteitenbeheer op abonnementenbasis gaan toelichten.
Bram Haasnoot, RealOpenIT
