De nieuwe IT-omgeving stelt niet alleen het IT-beheer maar ook de gebruiker voor nieuwe uitdagingen. Nog niet zo lang geleden, toen alle gebruikers en applicaties zich grotendeels ‘binnenshuis’ bevonden, was de toegang tot data relatief eenvoudig.
Over deze blogger
René Klomp is werkzaam bij Dell Software en als Solution Architect verantwoordelijk voor het Security portfolio binnen EMEA. Als zodanig werkt hij met veel van Dell’s key accounts op het gebied van Identity & Access Management. Hij is een Certified Information Security Systems Professional (CISSP). Voor Dell heeft René bij respectievelijk Oracle en Sun Microsystems diverse rollen gehad in onder andere Identity & Access Management (IAM), Desktop (Virtualisatie) en SOA. Op het gebied van Security heeft hij gewerkt met veel klanten op het vlak van bijvoorbeeld User Provisioning, RBAC, GRC, SSO, Federatie en vele andere onderwerpen op dit gebied.
René behaalde een doctoraat in de Theoretische Hoge-Energiefysica.
Nu vragen steeds vaker verschillende gebruikersgroepen mondiaal, via een groeiend en in diversiteit toenemend aantal devices, toegang tot bedrijfsdata waarbij het gebruik van bedrijfsapplicaties zich niet langer beperkt tot interne applicaties maar in toenemende mate tot cloud-gebaseerde applicaties, zoals bijvoorbeeld SalesForce, Google Apps en Microsoft Office 365. Aan de ene kant eisen gebruikers dat ze via verschillende devices overal en altijd toegang hebben tot deze applicaties en data. In de tussentijd nemen de eisen ten aanzien van de beveiliging toe. In een eerdere blog schetste Jos Akkermans van Grabowsky hetzelfde probleem. De vraag is hoe de toegang tot een dergelijk complex systeem met lokale-, remote-, en cloud-gebaseerde applicaties, eenduidig en gecontroleerd kan worden beheerd.
Het toegangsprobleem
Voor de toegang tot applicaties moet de gebruiker in de basis vaak talrijke gebruikersnamen en wachtwoorden onthouden. Want, elk business platform stelt zijn eigen voorwaarden voor de toegang. Het is aan IT-beheer om er voor te zorgen dat de gebruiker zo efficiënt en veilig mogelijk toegang wordt geboden tot al deze verschillende platforms.
Om dit mogelijk te maken is een systeem nodig dat uniforme toegang biedt tot de verschillende type platforms, ongeacht het type gebruiker, locatie of applicatie. Het moet een uniform toegangssysteem zijn dat alle platforms onder dezelfde beveiliging en beheerparaplu onderbrengt. Naast het afdwingen van centrale policies moet het overweg kunnen met de verschillende toegangsprotocollen, een systeem op basis van single sign-on ondersteunen en zorgen voor cloud toegang provisioning.
Federated Identity Management
Met de komst van cloud services zijn de grenzen van vertrouwen verlegd. Dat vertrouwen broos is en geregeld moet worden hersteld, zagen we onlangs bij het op straat komen te liggen van de Zwitserse bankgegevens. De controle over de cloud-omgeving is verschoven en voor een deel buiten het bereik van IT-beheer komen te liggen. Het bewaken van de identiteit en de toegang tot gevoelige data zijn van cruciaal belang in de cloud-omgeving. Tot voor de komst van de cloud voldeden traditionele systemen als een lokale Active Directory of LDAP, maar wat als gebruikers en resources zich in verschillende organisaties en op verschillende plekken bevinden? Het gebruik van enkel een traditionele beveiliging is niet meer toereikend buiten de lokale omgeving. Daarnaast vormen cloud-gebaseerde applicaties ook een probleem omdat de toegang tot externe service providers vaak een apart account vereist.
Federated Identity Management kan behulpzaam zijn om de credentials en de data op een vaste en veilige plek op te slaan. Met federated identity is de identiteit naar verschillende security domains over te brengen door middel van ‘claims’ en ‘assertions’ door van een digitaal ondertekende identity provider gebruik te maken. Claim-gebaseerde authenticatie vormt de basis van een federated identity. Identity federation ondersteunt daarnaast de mogelijkheid om de informatie over de identiteit van een gebruiker te delen tussen een cloud service provider of elke andere resource binnen het Internet.
Gecentraliseerd, risico-gebaseerd toegangsbeheer
Een gecentraliseerd toegangsbeheersysteem moet in real-time antwoorden kunnen geven op vragen als: welke gebruiker is er ingelogd, waar heeft hij toegang toe, vanaf wat voor device zoekt hij toegang, waartoe is hij geautoriseerd, is de context van de gebruiker anders dan normaal en wat betekent dit voor de toegang, etc.?
In een dergelijk toegangsbeheersysteem kan, afhankelijk van al deze factoren een risico worden vastgesteld en op basis daarvan de mate en tijdsduur van de toegang dynamisch worden aangepast. Ook kan de authenticatie bij een verhoogd risico worden verhoogd door middel van ‘step up‘ authenticatie gebruiken; bijvoorbeeld logt de gebruiker in vanuit een land van waaruit hij nog nooit eerder heeft ingelogd? De gebruiker zal in dat geval door middel van multi-factor authenticatie moeten inloggen waar hij normaal een gebruikersnaam en wachtwoord kan gebruiken. Ook kunnen hierdoor dynamisch gebruikersrechten worden verhoogd of verlaagd. Met een dergelijk toegangsbeheersysteem kan elke gebruiker een ‘op maat gemaakte’ gebruikersvriendelijke toegang worden geboden waarbij de veiligheid gewaarborgd blijft. Gebruikers zijn ten aanzien van de toegang nu eenmaal niet onder één noemer te vangen.
