Oplossingen voor toegangsbeheer worden door bedrijven gebruikt om de toegang tot applicaties en IT-systemen te verifiëren, autoriseren en controleren. Ze worden vaak geleverd als onderdeel van een oplossing voor identiteits- en toegangsbeheer (IAM) en helpen de beveiliging te vergroten en risico's te verkleinen door de toegang tot on-premises en cloudgebaseerde applicaties, services en IT-infrastructuur nauwkeurig te beheren. Ze helpen ook om ervoor te zorgen dat de juiste gebruikers op het juiste moment en om de juiste redenen toegang hebben tot de juiste bronnen. In deze blogpost wordt toegangsbeheer in detail uitgelegd, inclusief de prijzen voor bevoorrecht toegangsbeheer.
Wat is toegangsbeheer?
Toegangsbeheer is het proces van het identificeren, volgen, reguleren en beheren van toegestane of gespecificeerde gebruikerstoegang tot een systeem, applicatie of een IT-instantie.
Het is een alomvattend begrip dat alle regels, methoden, methodologieën en technologieën omvat die worden gebruikt om toegangsrechten in een IT-omgeving veilig te houden.
Toegangsbeheer is in wezen een procedure voor informatiebeveiliging, IT en gegevensbeheer die geldige gebruikers toegang geeft en ongeldige gebruikers verbiedt. AM wordt doorgaans gebruikt in combinatie met Identity Access Management (IAM). AM garandeert dat deze rollen en beleidsregels worden nageleefd, terwijl identiteitsbeheer verschillende gebruikers, rollen, groepen en beleidsregels ontwikkelt, inricht en reguleert. Een op AM gebaseerde applicatie/systeem slaat de verschillende gebruikersrollen en profielen op en verwerkt vervolgens toegangsverzoeken van gebruikers op basis van de gegevens/profielen/rollen.
Identity en Access Management
Identiteits- en toegangsbeheer (IAM) is een cyberbeveiligingsdiscipline die zich richt op het beheer van gebruikersidentiteiten en netwerktoegangsrechten. Hoewel IAM-beleid, -processen en -technologieën per bedrijf verschillen, is het doel van elk IAM-initiatief ervoor te zorgen dat de juiste gebruikers en apparaten op het juiste moment en om de juiste redenen toegang hebben tot de juiste bronnen.
IAM kan helpen om toegangscontrole te vereenvoudigen in multi-cloud setups die complex zijn. Bedrijfsnetwerken zijn nu gekoppeld aan lokale, externe en cloudgebaseerde (SaaS) software en gegevensbronnen. Menselijke gebruikers (werknemers, klanten, aannemers) en niet-menselijke gebruikers (bots, IoT-apparaten, geautomatiseerde workloads, API's) hebben om verschillende redenen toegang tot deze bronnen nodig.
IAM-systemen stellen bedrijven in staat om elke gebruiker één digitale identiteit te geven en toegangsrechten voor elke gebruiker te bepalen. Als gevolg hiervan hebben alleen geautoriseerde gebruikers toegang tot bedrijfsmiddelen en kunnen ze die middelen alleen gebruiken op manieren die de organisatie toestaat.
Hoe IAM werkt
In wezen streeft IAM ernaar om hackers buiten de deur te houden, terwijl geautoriseerde gebruikers gewoon alles kunnen doen wat ze moeten doen zonder hun machtigingen te overschrijden.
Het netwerk van elk bedrijf is uniek, evenals het beleid, de processen en de tools die worden gebruikt om een identiteits- en toegangsbeheersysteem te ontwikkelen. Dat gezegd hebbende, hebben de meeste, zo niet alle, IAM-implementaties betrekking op vier belangrijke functies:
#1. Beheer van identiteitslevenscyclus
Het proces van het ontwikkelen en onderhouden van een digitale identiteit voor elke menselijke of niet-menselijke entiteit op een netwerk staat bekend als identiteitslevenscyclusbeheer.
Een digitale identiteit informeert het netwerk over wie of wat elke entiteit is en wat ze op het netwerk mogen doen. De identificatie bevat vaak basisgegevens van het gebruikersaccount - naam, ID-nummer, inloggegevens, enzovoort - evenals informatie over de organisatorische functie, taken en toegangsrechten van de entiteit.
Processen voor het onboarden van nieuwe entiteiten, het upgraden van hun accounts en machtigingen in de loop van de tijd, en het offboarden of uitschrijven van gebruikers die geen toegang meer nodig hebben, maken allemaal deel uit van identiteitslevenscyclusbeheer.
#2. Toegangscontrole
Zoals eerder vermeld, heeft elke digitale identiteit verschillende toegangsniveaus tot netwerkbronnen op basis van de toegangsbeperkingen van het bedrijf. Een consument heeft mogelijk alleen toegang tot zijn persoonlijke account en gegevens op een cloudplatform. Medewerkers hebben mogelijk toegang tot klantendatabases en tot interne tools zoals HR-portals. Een systeembeheerder heeft mogelijk toegang tot en kan alles op het netwerk wijzigen, inclusief klant- en werknemersaccounts, interne en externe services en netwerkapparatuur zoals switches en routers.
Om toegangsregels op te stellen en af te dwingen, maken veel IAM-systemen gebruik van op rollen gebaseerde toegangscontrole (RBAC). De rechten van elke gebruiker in RBAC worden bepaald door hun functie of functietitel. Stel dat een bedrijf toegangsrechten voor de netwerkfirewall configureert. Het is onwaarschijnlijk dat een vertegenwoordiger toegang heeft omdat zijn beroep dit niet vereist. Een beveiligingsanalist op junior niveau kan mogelijk firewallconfiguraties bekijken maar niet wijzigen. De CISO zou alle administratieve bevoegdheden hebben. Een API die de SIEM van het bedrijf met de firewall verbindt, kan mogelijk de activiteitenlogboeken van de firewall lezen, maar niets anders zien.
#3. Authenticatie en authorisatie
IAM-systemen doen meer dan alleen identiteiten genereren en machtigingen afgeven; ze helpen ook bij het afdwingen van die machtigingen door middel van authenticatie en autorisatie.
Authenticatie is het proces waarmee gebruikers aantonen dat ze zijn wie ze zeggen dat ze zijn. Wanneer een gebruiker toegang zoekt tot een bron, vergelijkt het IAM-systeem zijn inloggegevens met die in de directory. Toegang wordt verleend als ze overeenkomen.
Hoewel een combinatie van gebruikersnaam en wachtwoord een basisauthenticatieniveau biedt, maken de meeste kaders voor identiteits- en toegangsbeheer tegenwoordig gebruik van extra authenticatielagen om extra beveiliging tegen cyberdreigingen te bieden.
Meervoudige authenticatie.
Gebruikers moeten twee of meer authenticatiefactoren indienen om hun identiteit te bewijzen bij gebruik van multi-factor authenticatie (MFA). Een beveiligingscode die aan de telefoon van de gebruiker wordt gegeven, een fysieke beveiligingssleutel of biometrische gegevens zoals vingerafdrukscans zijn allemaal veelvoorkomende factoren.
SSO (eenmalige aanmelding)
Met SSO hebben gebruikers toegang tot tal van apps en services met een enkele set inloggegevens. De SSO-portal verifieert de identiteit van de gebruiker en genereert een certificaat of token dat dient als beveiligingssleutel voor andere bronnen. Veel SSO-systemen gebruiken open protocollen zoals Security Assertion Markup Language (SAML) om serviceproviders in staat te stellen vrijelijk sleutels te delen.
Adaptieve identificatie
Wanneer het risico verandert, verandert adaptieve authenticatie, ook wel 'risicogebaseerde authenticatie' genoemd, de authenticatievereisten in realtime. Een gebruiker hoeft mogelijk alleen een gebruikersnaam en wachtwoord in te voeren bij het inchecken vanaf zijn normale apparaat. Als dezelfde gebruiker inlogt vanaf een niet-vertrouwd apparaat of probeert om gevoelige informatie te zien, zijn mogelijk extra authenticatiefactoren vereist.
Het IAM-systeem controleert de directory op toegangsrechten van een gebruiker nadat deze is geverifieerd. Het IAM-systeem machtigt de gebruiker vervolgens om alleen de taken te openen en uit te voeren waarvoor zijn machtigingen zijn toegestaan.
#4. Identiteitsbeheer
Het proces waarbij wordt bijgehouden wat mensen doen met hun toegang tot bronnen, staat bekend als identiteitsbeheer. IAM-systemen houden gebruikers in de gaten om er zeker van te zijn dat ze geen misbruik maken van hun privileges en om eventuele hackers die het netwerk zijn binnengedrongen te vangen.
Identiteitsbeheer is ook essentieel voor naleving van de regelgeving. Bedrijven kunnen activiteitsgegevens gebruiken om ervoor te zorgen dat hun toegangscontroles in overeenstemming zijn met gegevensbeveiligingsnormen zoals de Algemene Verordening Gegevensbescherming (AVG) of de Payment Card Industry Data Security Standard (PCI-DSS).
Bevoorrecht toegangsbeheer (PAM)
Privileged Access Management (PAM) is een informatiebeveiligingsmethode (infosec) die identiteiten beschermt met unieke toegang of mogelijkheden die verder gaan dan die van gewone gebruikers. PAM-beveiliging is, net als alle andere informatiebeveiligingsoplossingen, afhankelijk van een combinatie van mensen, processen en technologie.
We nemen extra voorzorgsmaatregelen met geprivilegieerde accounts vanwege het risico dat ze vormen voor de technische omgeving. Als bijvoorbeeld de inloggegevens van een beheerder of serviceaccount worden gecompromitteerd, kunnen de systemen en vertrouwelijke gegevens van de organisatie in gevaar komen.
Wanneer bedreigingsactoren accounts met geprivilegieerde toegang compromitteren, vinden er datalekken plaats. Omdat deze accounts de sleutels bevatten die elke deur in een technologische omgeving openen, moeten we extra beveiligingslagen toevoegen. Een Privileged Access Management systeem zorgt voor die extra beveiliging.
Wat is bevoorrechte toegang?
In een technologische context verwijst geprivilegieerde toegang naar accounts die meer mogelijkheden hebben dan reguliere gebruikers. In een Linux-omgeving kan de rootgebruiker bijvoorbeeld gebruikers toevoegen, bewerken of verwijderen; software installeren en verwijderen; en toegang krijgen tot beperkte delen van besturingssystemen die een gewone gebruiker niet kan. Windows-omgevingen hebben een vergelijkbaar beveiligingsmodel, maar de rootgebruiker wordt een beheerder genoemd.
Wat is het proces van Privileged Access Management?
Privileged Access Management is, zoals eerder gezegd, een combinatie van mensen, processen en technologie. Identificeren welke accounts bevoorrechte toegang hebben, is daarom de eerste stap bij het installeren van een PAM-oplossing. Daarna moet het bedrijf beslissen welk beleid op deze rekeningen zal worden toegepast.
Ze kunnen bijvoorbeeld bepalen dat serviceaccounts hun wachtwoord moeten vernieuwen telkens wanneer een gebruiker toegang krijgt tot zijn opgeslagen inloggegevens. Het afdwingen van Multi-Factor Authentication (MFA) voor alle systeembeheerders is een ander voorbeeld. Een andere regel die het bedrijf kan toepassen, is het bijhouden van een volledig logboek van alle geprivilegieerde sessies. Elk proces zou idealiter moeten worden afgestemd op een specifiek risico. Als u bijvoorbeeld een wachtwoordwijziging voor serviceaccounts vereist, verkleint u de kans op een aanval van binnenuit. Evenzo stelt het bijhouden van een logboek van alle geprivilegieerde sessies beveiligingsbeheerders in staat eventuele afwijkingen te identificeren, en het afdwingen van MFA is een beproefde oplossing om wachtwoordgerelateerde aanvallen te voorkomen.
Na het voltooien van de ontdekkingsstap van het vinden van geprivilegieerde accounts en het afronden van het PAM-beleid, kan het bedrijf een technologieplatform installeren om het Privileged Access Management te bewaken en af te dwingen. Deze PAM-oplossing automatiseert de regels van de organisatie en biedt een platform voor beveiligingsbeheerders om bevoorrechte accounts te beheren en te controleren.
Wat is de betekenis van PAM?
Bevoorrechte accounts vormen een enorm risico voor het bedrijf, daarom is bevoorrecht toegangsbeheer van cruciaal belang in elke organisatie. Als een bedreigingsactor bijvoorbeeld een normaal gebruikersaccount compromitteert, heeft hij alleen toegang tot de informatie van die specifieke gebruiker. Als ze erin slagen een geprivilegieerde gebruiker in gevaar te brengen, hebben ze aanzienlijk meer toegang en kunnen ze, afhankelijk van het account, zelfs systemen beschadigen.
Vanwege hun rang en profiel richten fraudeurs zich op geprivilegieerde accounts om hele bedrijven aan te vallen in plaats van een enkel individu. Nu Forrester voorspelt dat geprivilegieerde accounts betrokken zijn bij 80% van de beveiligingsinbreuken, is het beschermen en bewaken van deze fundamentele organisatie-identiteiten van cruciaal belang. Een PAM-oplossing kan bijvoorbeeld beveiligingsfouten verhelpen, zoals meerdere mensen die toegang hebben tot hetzelfde beheerderswachtwoord en dit kennen voor een specifieke service. Het vermindert ook het risico dat beheerders weigeren lang bestaande statische wachtwoorden te wijzigen uit angst voor een onvoorziene storing.
PAM beheert belangrijke componenten van beveiligde toegang en stroomlijnt het aanmaken van beheerdersgebruikersaccounts, verhoogde toegangsmogelijkheden en configuratie van cloudapplicaties. PAM verkleint het aanvalsoppervlak van een organisatie op netwerken, servers en identiteiten in termen van IT-beveiliging. Het verkleint ook de kans op datalekken veroorzaakt door interne en externe cyberbeveiligingsbedreigingen.
Privileged Access Management-prijzen
Een privileged access management (PAM)-systeem kost meer dan alleen licentiekosten. Hoewel het verleidelijk kan zijn om u alleen op de kosten vooraf te concentreren, moet u bij het evalueren van de prijsstelling voor privileged access management rekening houden met andere factoren om te bepalen of de oplossing een echte Return on Investment (ROI) oplevert of meer problemen veroorzaakt dan oplost.
Daarom moeten bedrijven, naast het overwegen van de kosten voor privileged access management, bepalen wat voor soort ROI ze zouden ontvangen bij het selecteren van een PAM-systeem. Een ROI-calculator kan hen helpen bij het bepalen van de soorten rendementen die haalbaar zijn voor DevOps/Engineering-teams, beveiligingsteams en het bedrijf.
Wat kost een PAM-oplossing?
Privileged Access Management (PAM)-oplossingen kosten $ 70 per gebruiker per maand. Dit omvat auditing en integraties voor alle databases, servers, clusters, webapps en clouds. Er zijn ook geen meters, databeperkingen of professionele servicekosten.
Wat is de rol van toegangsbeheer?
Toegangsbeheer garandeert dat een persoon precies het niveau en de soort toegang krijgt tot een tool waar hij of zij recht op heeft.
Welke vaardigheden heb je nodig voor toegangsbeheer?
- Goed begrip en kennis van applicatiebeveiliging.
- Enige kennis van en/of expertise met op rollen gebaseerde toegangscontrolesystemen.
- Uitstekende mondelinge en schriftelijke communicatie, interpersoonlijke, organisatorische en tijdmanagementvaardigheden.
- Sterk vermogen om gecompliceerde technische problemen, problemen en alternatieve oplossingen over te brengen en uit te leggen aan anderen.
- Goede kennis van of ervaring met het werken met ERP-systemen in een hoger onderwijs of overheidsinstelling.
- Analytische en probleemoplossingsvaardigheden met gecompliceerde technische problemen en taken zijn vereist.
- Kennis van of ervaring als identiteitsbeheerder in een softwareontwikkelomgeving die met een ERP-systeem te maken heeft, strekt tot aanbeveling.
- Sterke kennis van of ervaring met nationale en federale regelgeving voor identiteitsbeheer.
- Weten wanneer op rollen gebaseerde toegangscontrolemaatregelen kunnen worden gebruikt om toegang te verlenen.
- Mogelijkheid om te bepalen wanneer een zaak moet worden ingediend bij het technische ondersteuningscentrum van de leverancier en/of wanneer een bestaand probleem moet worden geëscaleerd.
- Mogelijkheid om te beslissen of te escaleren of specifieke niveaus van risicobeperking toe te passen.
Gerelateerde artikelen
- EMPATHIE: Gebrek aan empathietekens en hoe deze te ontwikkelen
- IDENTITEITSMANAGEMENTSYSTEEM
- IDENTITEITS- EN TOEGANGSBEHEERTOOLS: Definities, Beste en Gratis Identiteits- en Toegangstools
- Bevoorrecht toegangsbeheer: hoe het werkt
Referenties
