Met alle aandacht voor de voordelen van Bring Your Own Device wordt steeds duidelijker wat er technisch gezien nodig is om die voordelen ook daadwerkelijk te genieten. Voor de verandering kijk ik niet naar de beveiliging van Bring Your Own Device, al heeft het er wel mee te maken. Het gaat over de toegang van al die verschillende apparaten tot het netwerk. Het goed regelen van die toegang is namelijk allesbehalve vanzelfsprekend en een organisatie moet er wel wat voor doen.
De tijd van één (vast) netwerk en één, door het bedrijf opgelegd pc-model en mobiele telefoon is nu echt wel voorbij. De bijbehorende eenvoudige toegangscontrole is daarmee ook verdwenen. We hebben nu te maken met vaste en met draadloze netwerken, binnen en buiten het bedrijf, toegang buiten kantooruren en talloze verschillende apparaten die deels alleen draadloos toegang kunnen krijgen. Deze apparaten zijn gekozen door de medewerkers zelf. En niet door de IT-afdeling, die ze anders uitvoerig getest zou hebben en ze van alle juiste software voorzien.
We werken vanuit huis, onderweg of op kantoor. Het maakt niet meer uit waar je je begeeft. Je moet kunnen werken, en wel op je eigen apparaat. Wie bekijkt er niet even zijn mail, op zaterdag langs de lijn bij het sporten van de kinderen? Idealiter moeten al deze vormen van toegang, locaties, en devices door het netwerk herkend worden, waarna de gebruiker op de juiste manier – dat wil zeggen met de relevante rechten of restricties – op het bedrijfsnetwerk wordt toegelaten. Een taak dus voor de netwerkinfrastructuur.
En daar beginnen de problemen. Denk alleen maar aan de verschillende mogelijke verbindingen, remote VPN, public WiFi, private WiFi, kantoornetwerken. Dan zijn er nog de uiteenlopende authenticatiemethoden. Ook kunnen de devices zelf allerlei voor de toegang relevante informatie doorgeven, maar er zijn nog weinig netwerken die iets met deze informatie kunnen.
Voor een werkelijk universele toegang is een centraal punt nodig en een database met daarin onder meer informatie uit de bedrijfsdirectory en informatie die uit het netwerk komt, zoals de aard van de verbinding, tijdstip en locatie. Op grond van al die informatie wordt centraal bepaald of de gebruiker wordt toegelaten en zo ja, wat hij wel en wat hij niet mag. Zoals gezegd, dit moet dus kunnen voor álle vormen van toegang en voor álle devices.
Wie werkelijke universele toegang wil (of moet) regelen, zal moeten nagaan of de netwerkapparatuur de hiervoor benodigde functionaliteit ondersteunt en bijvoorbeeld iets kan met de gegevens die een device verstrekt op het moment dat om toegang tot het netwerk wordt gevraagd. Over het netwerk heen moet dus een goede beveiligingsschil worden gelegd. Zo ontstaat er een universele toegangscontrole.
Het goede nieuws is dat het niet bijzonder complex is om universele toegang te realiseren. Natuurlijk moet je het een en ander van netwerken afweten en moet je weten hoe je het centrale punt aan een Corporate Directory moet koppelen. Mijn ervaring is dat de bedrijven nogal eens terugschrikken voor universele toegang uit onbekendheid of angst voor complexiteit. Dat is niet nodig, maar nog beter nieuws is daarom wellicht dat universele toegang ook heel goed als een service (Universal Access-as- a-Service, UAaaS of ‘U, triple a, S’?) kan worden aangeboden door een provider.
BYOD en de wens om dat eenvoudiger te maken zullen voor veel organisaties de reden zijn om met universele toegang aan de slag gaan. Maar ik zie ook nog een andere drijfveer: de behoefte aan een verfijning van het toegangsbeleid. En daar ligt dan ook de link met de beveiliging waar ik het in de inleiding over had.
Michel Schaalje (1970), Technisch Manager, Cisco
