24/05/2019
Kubernetes: veilig werken in een cloudneutrale omgeving
Als het om Kubernetes-gedreven containerplatformen gaat, dan hebben veel Nederlandse ontwikkelaars inmiddels het licht gezien.
Blog
Een van de concepten binnen Security By Design is het vaststellen van de identiteit van gebruikers en het veilig verlenen van toegang en rechten. Dit heet Identity & Access Management (IAM). Het gaat hierbij om het voorkomen dat ongeautoriseerde personen toegang krijgen en dat personen rechten krijgen binnen een applicatie die zij niet zouden moeten hebben. Maar ook hoe je dat inzichtelijk, controleerbaar en beheersbaar houdt. Er zijn steeds meer systemen en technieken die dit mogelijk maken, maar zoals altijd: het gaat erom dat je een oplossing creëert die aansluit bij jouw organisatie.
De behoefte aan een robuuste strategie voor identiteitscontrole en toegangsbeheer is een integraal onderdeel geworden van bedrijfsstrategieën, ongeacht de grootte van de organisatie of de sector. Als het goed wordt gedaan levert het veel voordelen op. Niet alleen op het gebied van veiligheid, maar ook door de productiviteit en gebruiksvriendelijkheid te verhogen.
Met het gebruik van cloud computing, een alsmaar groeiend aantal applicaties en een steeds meer verspreid mobiel personeelsbestand is identiteits- en toegangsbeheer echter steeds complexer geworden. Het is daarom van belang om een IAM-raamwerk te bouwen dat niet alleen de techniek implementeert, maar ook aansluit bij de steeds veranderende wensen en kenmerken van de organisatie.
Een veelgebruikte maatregel binnen IAM is het toevoegen van two-factor authenticatie (2FA) voor toegang tot applicaties en systemen. De technische implementatie hiervan is in veel gevallen niet veel meer dan het zetten van een vinkje in de bewuste toepassing. De gebruiker stelt vervolgens zijn of haar 2FA device in en een extra laag van veiligheid is geboren. Een IAM-strategie zal echter meer bevatten dan dat. Er is namelijk ook behoefte aan een centrale registratie van gebruikers en hun rechten en rollen binnen de context van een toepassing. Meestal wordt dit daarnaast gecombineerd met een uniforme, gecentraliseerde manier van authenticeren. Het gebruik van Single Sign-On (SSO) en een Identity Provider (IdP) voor de registratie en toewijzing van de juiste rollen en rechten hoort daarom ook bij je IAM-strategie. Dat vraagt alleen om meer voorbereiding dan het activeren van een vinkje.
Het implementeren van een IAM-oplossing vereist planning en strategische focus. Je moet ervoor zorgen dat het bruikbaar, veilig, gemakkelijk te automatiseren en kostenefficiënt is. Je zult een overzicht moeten maken van alle systemen, applicaties en databronnen die je wilt integreren en daarvan bepalen welke bronnen leidend zijn. Daarnaast heb je rekening te houden met de manier waarop jouw implementatie zal moeten voldoen aan compliance-eisen en welke impact het heeft op bestaande activiteiten.
IAM is een raamwerk waarin identiteiten worden georganiseerd zoals die zich verhouden tot het beleid van jouw organisatie en de gebruikte applicaties en systemen. Iedereen daarbinnen gebruikt alleen de relevante delen van het raamwerk die voor hem of haar van toepassingen zijn.
Denk hierbij bijvoorbeeld aan:
Zoals je ziet, de implementatie van IAM raakt de gehele organisatie en heeft daarom ook een breed draagvlak nodig. Zowel functioneel, operationeel als technisch is het belangrijk dat alle neuzen dezelfde kant op staan.
Het implementeren van een IAM-framework gebeurt in fases. Beoordeel eerst de huidige status. Hierbij gaat het zowel om het analyseren van de zakelijke vereisten als het beoordelen van bestaande systemen. Betrek vervolgens alle relevante stakeholders. Het is absoluut noodzakelijk om te luisteren naar de behoeften en meningen van gebruikers en niet dingen door te drukken op basis van aannames. Het doel moet zijn om de huidige pijnpunten op het gebied van identiteitsbeheer eruit te halen, zodat je kan investeren in oplossingen die specifiek zijn voor jouw zakelijke uitdagingen.
Nadat je dit hebt gedaan, bevestig je de scope en bepaal je hoe je het succes van de implementatie meetbaar wilt maken. Na het vaststellen van de scope en de succesfactoren kan het projectteam het projectplan en de roadmap opstellen die nodig zijn voor de volledige implementatie.
Bij het aanpakken van een IAM-project is het belangrijk om een stapsgewijze aanpak te volgen en niet te proberen de hele oplossing in één keer te implementeren. Door de scope in beheersbare fases te verdelen, vergroot je de kans op succes en zorg je ervoor dat de implementatie zo min mogelijk impact heeft op de dagelijkse bedrijfsvoering. Natuurlijk moet het mogelijk zijn om nieuwe services snel te kunnen implementeren, zolang het maar goed wordt gedaan. Zorg voor de juiste balans tussen snelheid en operationele impact. IAM moet aan de voorkant geen overbodige barrières opwerpen, en aan de achterkant een afspiegeling zijn van de structuur en werkwijze van de organisatie.
IAM is een cruciaal element om de toegang te beheren voor organisaties met een steeds complexer en meer gedistribueerd IT landschap. Maar zowel organisaties als de systemen die zij gebruiken zijn nooit statisch. IAM-oplossingen moeten daarom aangepast kunnen worden aan veranderende omstandigheden. Je kan enorme tijd- en kostenvoordelen behalen door de juiste IAM-oplossing te gebruiken die mee kan schalen met jouw organisatie. Een goede IAM-oplossing moet de mogelijkheid hebben om te integreren met zowel huidige als toekomstige services en applicaties die je nodig hebt om jouw bedrijfsdoelen te blijven behalen.
Bij de analyse en implementatie raak je processen en techniek die bijzonder gevoelig kunnen liggen binnen je eigen organisatie. Het is daarom verstandig om niet je eigen vlees te keuren en de implementatie geheel zelf uit te voeren. Neem daarvoor een derde partij zoals Cyso in de hand die met een objectieve blik naar de situatie kijkt. Zij zijn beter in staat om kritische vragen te stellen, verborgen pijn bloot te leggen en tegen heilige huisjes aan te schoppen. Zij helpen je ook met het kiezen van de beste technische implementatie binnen het steeds maar uitdijend landschap van mogelijke toepassingen en hulpmiddelen.
Besef je dat jouw IAM-systeem meer voor je kan doen dan alleen maar het vaststellen van iemands identiteit en het daaraan koppelen van de juiste rollen en rechten. Het kan provisioning van gebruikers en applicaties versnellen en versimpelen. Het stelt je in staat om controles op cruciale handelingen procedureel af te dwingen. En het brengt afwijkingen en uitzonderingen in kaart en dwingt je hierover opnieuw na te denken.
Met een verkeerde IAM-implementatie bereik je precies het tegenovergestelde. Het leidt tot frustratie van gebruikers die omwegen gaan zoeken om toch hun werk te kunnen doen. En daarmee creëer je nieuwe beveiligingsrisico’s.
Wil je weten hoe wij je kunnen helpen bij het aanpakken van jouw IAM-uitdagingen? Neem gerust contact met ons op.