Het antwoord op deze vraag is lastiger dan je zou denken. IAM is een breed vakgebied waar veel disciplines onder vallen. Om met wat gerelateerde termen en afkortingen te gooien:
AD, AAD, MFA, IGA, ILM, FIDO2, SAML, OAUTH, OpenID Connect, Microsoft Entra, SSO, Conditional Access, ByoI enzovoorts. Je zou er bijna van gaan duizelen. Eén ding staat echter voorop: je kunt het niet meer negeren!
Microsoft stelt het heel duidelijk: “Identity is the new battleground”.
Waar we vroeger ons uiterste best deden om onze systemen en data te beschermen tegen virussen en onze netwerken zoveel mogelijk dicht timmerden, moeten we nu kijken hoe we de accounts van onze gebruikers zo goed mogelijk beveiligen. Natuurlijk blijven antimalware en firewalls erg belangrijk, maar het maakt niet uit hoeveel sloten je plaatst, als iemand de sleutels heeft komt hij toch wel binnen.
Dus wat hebben we dan zoal beschikbaar om deze accounts te beveiligen?
- Wachtwoorden
De klassieke beveiliging, maar helaas al lang niet meer voldoende. Wachtwoorden kunnen lekken, met trucjes worden achterhaald (phishing), van gedeelde systemen worden afgeplukt (Mimikatz) en noem maar op. Bovendien kun je met een wachtwoord vaak vanaf elk willekeurig systeem bij de data waar de gebruiker toegang toe heeft. - MFA
Met MFA zorg je ervoor dat alleen het wachtwoord weten niet voldoende is. Je beschermt de toegang hiermee al heel veel beter dan met dat wachtwoord, maar zelfs MFA kent z’n zwakke kanten. Je kunt bijvoorbeeld verleid worden om op een nep-website aan te loggen met MFA, waarna een hacker op de echte website vrije toegang tot je data krijgt. Wanneer dat gebeurt heb je het pas in de gaten als het te laat is. - Passwordless
Bij passwordless logon werkt het net iets anders. Simpel gezegd beveilig je een sleutel die toegang biedt tot je data of werkplek. Die sleutel kan met biometrics (fingerprint, irisscan, gezichtsherkenning) of met een PIN worden beveiligd. Wat dit beter maakt, is dat de sleutel en het apparaat waar deze zich bevindt aan elkaar gekoppeld zijn. Daarnaast herkent de sleutel het “slot” en kun je er dus niet mee op een nep site aanloggen. - Conditional Access
Conditional Access combineert verschillende methoden met elkaar, waarbij ook andere factoren worden meegenomen. Zo kun je hiermee bepalen dat je alleen vanaf een bepaalde locatie bij je data mag of alleen vanaf een vertrouwd systeem. Kom je van ergens anders, dan worden er eventueel beperkingen opgelegd (geen data synchronisatie) of extra bevestigingen zoals MFA gevraagd.
Naast het beveiligen van de accounts, speelt Identity Lifecycle Management ook een belangrijke rol. Helaas komen we het nog te vaak tegen. Iemand komt in dienst (joiner) en kan de eerste week niet productief zijn omdat zijn account en/of rechten niet goed geregeld is. Iemand gaat uit dienst (leaver) en het account wordt niet goed opgeruimd of er blijken meer accounts voor deze persoon te bestaan dan verwacht (zoals admin accounts). Access Creep is vervolgens een fenomeen wat je ziet wanneer iemand langere tijd in dienst is en een hele waslijst aan rechten heeft verworven door functie- of afdelingswijzigingen (mover), die al lang niet meer noodzakelijk of wenselijk zijn.
Hier komt Identity Governance & Administration aan bod. Het Joiner/Mover/Leaver proces kan hierin worden vastgelegd en geautomatiseerd. Door een goede koppeling met een HR-systeem (of een andere “bron van waarheid”) kan bij indiensttreding op basis van de functie en afdeling een account worden aangemaakt met de juiste rechten en applicaties. Bij een functiewijziging worden nieuwe rechten toegekend en onnodige rechten verwijderd en bij uitdiensttreding worden alle rechten verwijderd en het account dichtgezet of opgeruimd.
IGA-oplossingen zijn niet goedkoop en het juist inregelen kan een flink project zijn, maar wanneer het eenmaal goed draait, is het van grote meerwaarde voor het bedrijf.
Zoals je ziet is de taak van een IAM-consultant al lang niet meer alleen het inregelen van bijvoorbeeld een Active Directory, maar komt er steeds meer bij kijken om een gedegen advies te geven. Nieuwe ontwikkelingen volgen elkaar in rap tempo op. Bring your own Identity en de European Digital Identity zijn wat voorbeelden die interessant zijn om in de gaten te houden.
Zijn dit onderwerpen die jou bezighouden en wil je eens sparren? Laat het weten via de comments!