Artikel

Identity & Access Management in de Cloud

Binnen een voortdurend veranderende zakelijke omgeving is het verre van een makkelijke opgave om ervoor te zorgen dat de juiste mensen toegang tot de juiste gegevens hebben. Wat ooit een gesloten lokaal netwerk was, is inmiddels uitgegroeid tot een wereldwijd web van mensen en apparatuur. Het wordt steeds moeilijker om alle verschillende gebruikersidentiteiten en toegangspunten te beheren. Hierdoor stijgt de kans op beveiligingsincidenten. En nu steeds meer bedrijven hun netwerken openstellen voor externe gebruikers zoals partners en leveranciers, wordt het risico van gegevenslekken er alleen maar groter op.

IAM: een onvervulde belofte

Volgens recent onderzoek1 van Verizon was 48% van alle gegevenslekken te wijten aan interne medewerkers. 11% van alle incidenten werd veroorzaakt door zakelijke partners. Misbruik van toegangsrechten blijkt de belangrijkste oorzaak voor dergelijke incidenten. Dit hoeft geen verbazing te wekken, gezien de complexiteit die gepaard gaat met het beheren van de toegang voor een voortdurend veranderend gebruikersbestand. De noodzaak om toegang te bieden aan mobiele toestellen, telewerkers, partners en leveranciers vergroot de complexiteit en gaat gepaard met hogere kosten en grotere risico’s.

Identity and Access Management (IAM) is een beveiligingsdiscipline die belooft om het beheer van de gebruikerstoegang efficiënter en veiliger te maken. Door het gebruikersbeheer vanaf een centrale locatie te regelen, kunnen ondernemingen een stapje dichterbij komen bij de realisatie van het zo ongrijpbare single (of simple) sign-on en daarmee het aantal benodigde aanmeldingsgegevens te reduceren. IAM kan bedrijven helpen om het toegangsbeheer te integreren voor de gehele ‘extended enterprise’, oftewel de onderneming met al zijn vertakkingen, met inbegrip van de toegang voor partners en leveranciers en de toegang tot back office-bronnen zoals bestandsservers en toepassingen op externe locaties.

Veel ondernemingen maken reeds gebruik van software die centraal beheer van de gebruikerstoegang mogelijk maakt. De meeste van zulke softwaretoepassingen bieden op beleidsregels gebaseerd gebruikersbeheer, single sign-on voor internettoepassingen, op standaarden gebaseerde integratie van identiteiten en rapportage voor compliance-doeleinden.

Helaas heeft IAM-software alle hype nog niet volledig weten waar te maken. Vaak gaan IAM-projecten mank aan organisatorisch landjepik, lange implementatietrajecten voor het integreren van alle toepassingen en moeizame ontwikkelings- en onderhoudsprocessen. Hierdoor duurt het langer voordat de toegevoegde waarde van de oplossing kan worden aangetoond. Bovendien kunnen de totale eigendomskosten hoger uitvallen als gevolg van de aanvankelijke installatiekosten, een groot aantal licenties en de noodzaak van gespecialiseerd ondersteunend personeel.

Deze problemen kunnen verergeren wanneer voltallige afdelingen gebruik beginnen te maken van in de cloud gehoste toepassingen zoals software voor CRM en de salarisadministratie. Terwijl bedrijven een bepaalde mate van controle over hun eigen firewalls kunnen uitoefenen, zijn ze slechts in beperkte mate in staat om poorten binnen de firewalls van hun cloud computing-aanbieder te openen, bijvoorbeeld voor het automatiseren van de toekenning en intrekking van gebruikersrechten en -instellingen.

De ICT-branche heeft dit probleem reeds lang onderkend. Er zijn gestandaardiseerde protocollen ontwikkeld die de mogelijkheid bieden van federatieve identiteit en beleidsregels voor het toegangsbeheer. Relevante standaarden zijn onder meer:

  • SAML
  • XACML
  • Liberty Alliance
  • ADFS / WS-Security
  • Information Cards / OpenID

Hierbij dient te worden opgemerkt dat de bovengenoemde branche-initiatieven weliswaar een veilige en gestandaardiseerde manier bieden om informatie over gebruikers en hun rollen uit te wisselen, maar geen van allen zijn ontwikkeld om op elk gewenst moment een nieuwe gebruiker met de juiste toegangsrechten voor toepassingen in de cloud te creëren. Hiermee zijn we aanbeland bij een specifiek probleem van in de cloud gehoste software en SaaS-oplossingen.

IAM migreert naar de cloud

Cloud computing-diensten staan momenteel vol- op in de belangstelling, en daar is een goede reden voor. Door over te stappen naar een cloud computing-model met een op een vast abonnementstarief gebaseerde kostenstructuur, kunnen bedrijven meer grip krijgen op de kapitaaluitgaven en operationele kosten en hun operationele en beheeroverhead reduceren. Bovendien krijgt de organisatie hierdoor de vrijheid om zich op haar sterkste punt te concentreren. Het feit dat bedrijven meerwaarde in cloud computing zien, blijkt wel uit een enquête die IDG in 2009 onder grote ondernemingen uitvoerde. Circa 30% van de respondenten bleek reeds bedrijfstoepassingen aan de cloud te hebben toevertrouwd. Nog eens 16% gaf aan plannen te hebben om het volgende jaar naar de cloud over te stappen.

Zoals veel andere diensten is identiteits- en toegangsbeheer ook beschikbaar in de vorm van een cloud computing-oplossing. Door een beroep te doen op een leverancier die zowel expert is op het gebied van cloud computing als op het gebied van beveiliging, kunnen ondernemingen profiteren van uiterst geavanceerde beveiliging en een einde maken aan de noodzaak om additionele hardware en software aan te schaffen. En zoals bij de meeste cloud computing-diensten is het mogelijk om een oplossing sneller te implementeren, iets wat enorm van pas komt wanneer de bedrijfsvoering om een snelle reactie vraagt.

Een voorbeeld:

Een grote fabrikant van farmaceutische producten begon steeds grotere moeite te krijgen met het identiteits- en toegangsbeheer toen zijn overnametempo op drie tot vier bedrijven per kwartaal kwam te liggen. De overname- en ICT-teams realiseerden zich dat ze veel tijd en geld kwijt waren aan hun pogingen om de overgeërfde gebruikers-repositories en toepassingen te integreren. Door gebruik te maken van IAM in de vorm van een cloud computing-dienst kon deze onderneming voor de integratie van het toegangsbeheer en het voortdurende onderhoud een beroep doen op experts op het gebied van identiteits- en toegangsbeheer. Hiermee kreeg het bedrijf de vrijheid om zich volledig op de zakelijke aspecten van zijn overnames te richten.

Hoewel grote Software as a Service (SaaS)-leveranciers mogelijk niet over de benodigde bandbreedte beschikken om afzonderlijke klanten de mogelijkheid te bieden om hun firewall te openen voor het uitvoeren van IAM-taken, staan ze er wellicht wel voor open om zaken te doen met een grote Identity as a Service Provider (IdaaS). Een dergelijke partner zou namelijk voor een groot aantal klanten tegelijk alle problemen kunnen oplossen die gepaard gaan met het toekennen en intrekken van gebruikersrechten en - instellingen.

Nadelen van cloud-gebaseerde IAM

Uit een enquêterapport uit 2008 van IDC Enterprise Panel2 blijkt dat de respondenten aangaven dat beveiligingsproblemen het grootste probleem vormden van een negental veel voorkomende problemen op het gebied van cloud computing. Je zou dus kunnen verwachten dat het migreren van IAM naar de cloud tegen hun gevoel indruist. Je kunt echter eveneens stellen dat een op veilige wijze in de cloud gehoste gateway voor internettoegang aantrekkelijk is voor het bedrijfsleven. Dit zou bedrijven namelijk in staat stellen om andere, niet-bedrijfskritische infrastructuren en diensten op gecontroleerde wijze naar de cloud te migreren op basis van ruimschoots in de praktijk bewezen federatieprotocollen zoals SAML V2.0. Als ze dit niet doen, bestaat de kans dat ze er veel te laat achterkomen dat hun marketingafdeling gevoelige klanteninformatie binnen de cloud heeft ondergebracht die louter met een gebruikersnaam en wachtwoord is beveiligd. Helaas is dit nog altijd de heersende authenticatiemethode binnen de cloud.

Centraal identiteitsbeheer en een gebruikersgericht kader verrijken IAM

Naast de toepassing van IAM kan federatieve identiteit de last van het beheer van de gebruikerstoegang verder verlichten. Voor dit doel wordt er authenticatie ingesteld voor systemen of zelfs voor hele ondernemingen. Door een wederzijdse vertrouwensband tussen systemen te creëren, hoeven zakelijke gebruikers zich slechts één keer aan te melden. Deze authenticatie wordt vervolgens doorgegeven aan de andere vertrouwde systemen. Federatieve identiteit zorgt niet alleen voor een reductie van het aantal aanmeldingsgegevens dat gebruikers moeten onthouden, maar versnelt bovendien de toegang tot bedrijfskritische systemen.

Federatieve identiteit kan het complexiteitsniveau van de beveiliging echter vergroten, aangezien elk systeem via een vertrouwde verbinding aan alle andere systemen moet worden gekoppeld. Dit resulteert in een wirwar aan verbindingen. Cloud-gebaseerde IAM haalt de complexiteit uit federatieve identiteit door als intermediair de authenticatie tussen de verschillende systemen waar te nemen, zoals een wielas alle spaken met elkaar verbindt. Door de complexiteit weg te nemen is het mogelijk om nieuwe ‘spaken’ op snelle en eenvoudige wijze toe te voegen, of het nu gaat om aanvullende interne systemen of de toevoeging van nieuwe systemen als gevolg van een samenwerking of fusie. Het cloud-gebaseerde authenticatieknooppunt biedt daarnaast een ideaal uitgangspunt voor het beheer van de uiteenlopende identiteitsoplossingen en gebruikerstokens. Dit biedt de mogelijkheid van een meer gebruikersgerichte aanpak van IAM binnen de consumentenmarkt. Voorbeelden zijn Information Cards en OpenID, die qua populariteit steeds meer aan terrein winnen.

De bescherming van bedrijfs- en klantgegevens vormt de grootste prioriteit

Doordat bedrijven hun systemen voor uiteenlopende gebruikers blijven openstellen, is het voor hen van cruciaal belang om voldoende aandacht te besteden aan identiteits- en toegangsbeheer. Als gevolg van de financiële druk van de afgelopen tijd kan het verleidelijk zijn om IAM lager op de prioriteitenlijst voor de ICT-organisatie te zetten. Het beschermen van gevoelige bedrijfs- en klantgegevens dient echter een hoge prioriteit te behouden. Een cloud-gebaseerde IAM-oplossing kan bedrijven snel op weg helpen met het beheer van de gebruikerstoegang en hun kosten en risico’s terugdringen. Daarnaast kunnen ze op deze manier nieuwe gebruikers sneller toegang verlenen, waardoor ze sneller een bijdrage aan de onderneming kunnen leveren.

Categorie:   
Auteur(s)
afbeelding van marcuslasance
Marcus Lasance
Verizon Business - Principal Consultant

Marcus Lasance is werkzaam bij Verizon Business als principal consultant op het gebied van Identity and Access Management. Hij is het verantwoordelijk voor het uitdenken van de nieuwe gebruikersgerichte, vanuit de cloud gehoste identiteitsbeheerdiensten van Verizon. Marcus was van 2002 tot 2007 lid van de Raad van Bestuur van het Noorse Maxware AS. De producten die hij voor dit bedrijf ontwikkelde vormen inmiddels onderdeel van het NetWeaver-aanbod van SAP.

Zijn ervaring strekt van de ontwikkeling van HR-systemen tot X.500, LDAP, Meta Directories, lifecycle management en de toekenning van rechten. Marcus is afgestudeerd aan de Universiteit Nijenrode en de RSM Rotterdam School of Management. Hij beschikt over een diepgaande kennis van de Identity and Access Management-branche en was reeds lang actief op dit gebied voordat de term IAM ook maar was bedacht.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.