Bij uitbestedingscontracten vergeten it-managers van vooral kleinere tot middelgrote organisaties iets af te spreken over het beheer van Microsoft Active Directory en een disaster recovery plan. Dit houdt grote beveiligingsrisico’s in, aldus security-expert John Craddock. IBM en HP onderstrepen het belang van deze punten.
Een hele dag lang sprak John Craddock een kleine driehonderd belangstellenden toe over het opbouwen van een complete, veilige it-infrastructuur met gebruikmaking van Windows XP, Vista, Server 2003 en Active Directory (AD). De bijeenkomst was gesponsord door Microsoft TechNet. Craddock is principle systems consultant bij Kimberry Associates in Londen. Hij adviseert organisaties over het opzetten van een veilige Windows-omgeving, geeft wereldwijd lezingen over dit onderwerp en heeft samen met onafhankelijk consultant Sally Storey (die hem begeleidt tijdens lezingen) de boekenserie Active Directory Forestry geschreven.
Microsoft Active Directory (in 2000 voor het eerst op de markt) is een hiërarchisch framework van objecten die grofweg in drie categorieën zijn te verdelen: bronnen (zoals printers), diensten (zoals e-mail) en gebruikers (accounts, of gebruikers en groepen). AD geeft informatie over de objecten, organiseert deze, controleert toegang tot de objecten en het netwerk, en regelt de beveiliging. De hiërarchische structuur bestaat uit een forest, een tree en een domain. De forest staat bovenaan en is de verzameling van elk object, samen met zijn eigenschappen en regels.
In een Windows-omgeving kunnen beheerders met AD binnen de gehele organisatie rechten en plichten toekennen, programmatuur activeren op alle beheerde computers, en kritische updates over de hele organisatie verspreiden.
“Ja, dat is nou het hele punt”, zegt Craddock. “Vroeger was AD eigenlijk niet meer dan een lijstje met namen. Maar tegenwoordig zitten al jouw bedrijfsregels erin. Tegenwoordig kun je de opbouw van een organisatie eruit destilleren. Als je aan iemand vraagt wat hij in een computeromgeving moet beveiligen, dan krijg je tal van antwoorden. Bijna nooit zit de Active Directory daarbij. Terwijl dat een schat aan informatie in zich draagt.”
In een kluis
Hoewel zijn betoog doorspekt is met hands-on informatie (hij laat bijvoorbeeld zien hoe je Windows Server Update Services zo moet instellen dat niemand er misbruik van kan maken) is zijn lezing er vooral op gericht mensen op een andere manier over beveiliging te laten denken. Feitelijk gaat het niet om de technologie, maar om het besef van de waarden die in een organisatie zijn te vinden. “Als je iemand vraagt naar zijn beveiliging, dan komt hij aanzetten met sterke wachtwoorden, tweevoudige authenticatie, firewalls, bestandsversleuteling, enzovoorts. Maar ik wil weten wát beveiligd is en tegen wie. Hoe je zeker weet dat het veilig is en dat het veilig blijft. Ik wil een due diligence zien, een studie of alle gegevens wel kloppen.”
In een beveiligingsplan staat opgenomen wat er beveiligd moeten worden (op grond van een risicoanalyse) en hoe. “En die krijg ik soms toegestuurd. Dan wil de it-manager graag laten zien dat hij het voor elkaar heeft. Hij mag van mij trots zijn op zijn werk, maar een dergelijk plan is wel het laatste dat je aan niet-belanghebbenden laat zien. Dat hoort in een kluis te liggen.”
Aparte afspraken
Het vreemde is, aldus Craddock, dat bij het uitbesteden van (onderdelen van) de it vrijwel nooit wordt stil gestaan bij het bijzondere aspect van Active Directory. “Dat komt, omdat er dan geen onderzoek is gedaan naar de bedrijfswaarden. Toch zul je in het contract aparte afspraken moeten maken over AD. Over het beheer ervan, over wie er toegang toe heeft, over de beveiliging van die gegevens, want het is de ziel van jouw organisatie.”
Even merkwaardig vindt hij het dat bij uitbestedingscontracten nauwelijks aandacht is voor een disaster recovery plan. “Wat doe je als er iets mis gaat bij de dienstverlener; een brand in zijn delivery center bijvoorbeeld? Hoe krijg je dan jouw AD weer terug, met het juiste forest, de juiste trees en de juiste domains. Met al jouw bedrijfsregels erin? Daar moeten duidelijke afspraken over worden gemaakt.”