BLOG – Een losgeraakt moertje uit een wiel lijkt kleinschalig maar kan totale chaos veroorzaken. Hetzelfde geldt voor het over het hoofd zien van machine-identiteiten, zeker als het gaat om de beveiliging ervan. Zero-trust-policies worden lang niet altijd doorgevoerd voor deze identiteiten en zo ontstaat een toegangspoort tot bedrijfsdata.
Terug naar de basis. Zero-trust is het principe dat standaard geen enkele entiteit binnen of buiten de netwerkperimeter wordt vertrouwd. De traditionele netwerkperimeter is echter verdwenen als gevolg van het gebruik van cloudservices, werken op afstand en mobiele toegang. Dit vergroot de noodzaak voor het toepassen van zero-trust.
Unieke identificatiecode
Een machine-identiteit is een unieke identificatiecode die softwarecode, applicaties, virtuele machines of zelfs fysieke iot-apparaten onderscheidt op een netwerk. Het wordt gebruikt om de machine te authenticeren en autoriseren, om toegang te krijgen tot bronnen en diensten. Machine-identiteiten maken gebruik van api-keys, cloud access keys, digitale certificaten, secrets en andere referenties om machines veilig te laten communiceren met andere systemen.
Naarmate organisaties digitaal transformeren, groeit het aantal ‘machines’-applicaties, containers, automatiseringsscripts, virtuele machines, lambda-services en andere computerfuncties – exponentieel. Er zijn gemiddeld 45 machine-identiteiten op één enkele menselijke identiteit. Daarom kunnen we aannemen dat ze ook meer of vaker toegang hebben tot gevoelige gegevens dan menselijke identiteiten. Zonder het juiste beleid en automatisering, vergroten machine-identiteiten steeds verder het aanvalsoppervlak voor cyberaanvallers.
Saas
De meeste organisaties werken met saas-toepassingen – waarbij ze gegevens opslaan in een of meer clouds – en ontwikkelen zelf softwareapplicaties om hun klanten van dienst te zijn. Uit het rapport ‘CyberArk 2023 Identity Security Threat Landscape’ blijkt dat organisaties een toename van ruim twee derde verwachten in het aantal saas-applicaties dat in hun omgeving wordt ingezet. Daarnaast geeft een ander CyberArk-rapport aan dat tachtig procent van de organisaties drie of meer cloudserviceproviders al gebruiken. Deze digitale transformatie leidt tot een toename van het aantal machine-identiteiten in onze netwerken en de bijbehorende groei van het aantal secrets dat nodig is om veilig toegang te krijgen tot it en andere middelen.
Handmatige processen kunnen de snelheid waarmee moderne it-omgevingen veranderen niet bijhouden
Deze snelle groei is groter dan ons vermogen om handmatig het aantal, het doel en de locatie van machines en hun secrets bij te houden. Daarom is het niet verwonderlijk dat 65 procent van de organisaties vorig jaar stappen heeft ondernomen om machine-identiteiten te beschermen of van plan is dat de komende twaalf maanden te doen.
De dynamische aard van hybride en multi-cloudomgevingen, en devops-praktijken vereist geautomatiseerde rotatie van secrets en uitgifte, en vernieuwing en intrekking van machine-identiteiten. Handmatige processen zijn gevoelig voor fouten en kunnen de snelheid waarmee moderne it-omgevingen veranderen niet bijhouden. Om de digitale middelen van je organisatie holistisch te beschermen, is het noodzakelijk dat je een robuuste zero-trust-strategie implementeert die een plan bevat voor het beveiligen en beheren van machine-identiteiten en hun secrets.
Machine-identiteitbeheer
Machine-identiteiten en secrets-management zijn essentiële onderdelen van een zero-trust-beveiligingsstrategie, omdat ze een manier van authenticatie en veilige communicatie tussen machines op een netwerk bieden. Let er dus op dat bij het opstellen van de zero-trust-roadmap machine-identiteiten en secrets-management specifiek worden genoemd in je identity governance-beleid en procedures. Door machine-identiteiten en secrets-management op te nemen in je zero-trust-strategie, laten organisaties alleen vertrouwde machines communiceren op het netwerk en om zo ongeautoriseerde toegangspogingen te detecteren en voorkomen.
Beleidsregels voor het beheer van machine-identiteiten moeten worden opgesteld om het genereren, vernieuwen en intrekken van machine-identiteiten te regelen. Regelmatige audits en monitoring moeten ook worden uitgevoerd om abnormale of ongeautoriseerde activiteiten te identificeren.
Vier doelen
Het is cruciaal om ten minste de onderstaande vier doelen na te streven bij het uitwerken van het machine-identiteitsbeleid.
- Meer zichtbaarheid
Op dit moment werkt 62 procent van de beveiligingsteams met een beperkte zichtbaarheid in hun omgeving, waardoor de taak van het beveiligen van menselijke en vooral machine-identiteiten omslachtig en inefficiënt is. Een uitgebreid beleid voor secrets-management en machine-identiteitbeheer kan organisaties meer zichtbaarheid geven in hun netwerk, zodat ze beheerde en onbeheerde secrets en machineactiviteit nauwgezet kunnen bewaken en volgen. Door de zichtbaarheid te verbeteren, kunt u de levering van certificaten op alle gebieden van de it-infrastructuur garanderen, inclusief hybride en multi-cloud-omgevingen.
- Verbeterde beveiliging
Gecentraliseerd beheer van secrets en machine-identiteiten is een belangrijk element van een allesomvattende Zero Trust-strategie. Functies zoals gecentraliseerde rotatie van secrets helpen het probleem van hard-coded secrets te elimineren en stellen organisaties in staat te controleren welke applicaties en machines gebruik maken van welke secrets.
- Digitale transformatie met lager risico mogelijk maken
De dynamiek van hybride en multi-cloudomgevingen en DevOps-praktijken vraagt om flexibel centraal beheer van secrets en machine-identiteiten. Het automatisch integreren van identity security in bijvoorbeeld CI/CD-pipelines zorgt ervoor dat identiteitsintegriteit een vast onderdeel is van development-processen en niet slechts een bijzaak.
- Verbeterde operationele efficiëntie
Automatiseringstools verbeteren de efficiëntie. Daarnaast zorgen native integraties met DevOps-tools en de ingebouwde (native) services van de cloudprovider ervoor dat ontwikkelaars veiliger code bouwen, waardoor uiteindelijk de algehele productiviteit toeneemt en nieuwe services sneller kunnen worden uitgerold.
Uiteindelijk kan de integratie van machine-identiteiten en secrets-management in een Zero Trust-strategie uw organisatie helpen een robuustere en veiligere netwerkarchitectuur op te zetten. Hierbij kunnen de kosten worden verlagen die gepaard gaan met traditionele beveiligingsbenaderingen, terwijl de tijd om nieuwe diensten in te zetten wordt verkort. Een uitgebreid beleid voor het beheer van machine-identiteiten kan organisaties helpen hun netwerken te beveiligen en te beschermen tegen cyberbedreigingen. Nogmaals, door machine-identiteiten en –secrets proactief te beheren, ontstaat een situatie waarin alleen vertrouwde machines op het netwerk communiceren en worden pogingen tot ongeautoriseerde toegang snel gedetecteerd.
Bart Bruijnesteijn is solutions engineering director North Europe bij CyberArk
“…en andere referenties om machines veilig te laten communiceren met andere systemen.” Als mijn referentiekader juist is dan is niet de mens de zwakste schakel maar de ‘legacy’ van wachtwoorden die gekoppeld aan service accounts voor een onderlinge communicatie tussen systemen zorgt. Wat betreft een beleid aan de voordeur in een zero-trust-strategie nemen hackers de achterdeur omdat organisaties te goed van vertrouwen zijn in het management van de geheimen.
Dat gezegd hebbende ben ik het 100% eens met meer inzichtelijkheid in de keten door een grotere zichtbaarheid in het netwerk hoewel ik geen voorstander ben van ‘Big Brother’ om een dilemma kenbaar te maken in het probleem van wantrouwen binnen een Europese regelgeving de aangaande privacy. Wat betreft ‘Need to know’ misschien daarom de focus verleggen naar fenomeen van informatiebeveiliging want traditionele beveiligingsbenaderingen bieden geen oplossing voor een groeiend probleem van moderne datasynthese middels AI.
Geen advertorial maar “de opinie” van CyberArk.
Lijkt toch meer evangelisch compleet met want er staat geschreven, in hun eigen rapporten.
“Er zijn gemiddeld 45 machine-identiteiten op één enkele menselijke identiteit.” dus die zwakke wachtwoorden van mensen kunnen we verwaarlozen 😉 Ik denk dat mensen bedoelen of zouden ze het voor de gezelligheid menselijke entiteiten noemen ? Misschien wordt de vraag in de nieuwe Ghostbusters beantwoord.
Voor het filosofische aspect is het verschil tussen mens als zwakste schakel en de wachtwoorden van de service accounts. Of waren die SA wachtwoorden door zelf ontstane AI bedacht 😉
Ik ga het pas zien als ik door heb dat ik blijkbaar CyberArk nodig heb omdat in hun rapporten staat dat ik heel veel kwetsbare machine identiteiten nodig heb.