Identity management

Verplaatsen van IT naar de business managers?

In de huidige werkomgeving voldoen de traditionele provisioning technieken niet langer. Veel IT-omgevingen gebruiken nog steeds het klassieke rolgebaseerde user account management systeem. Aan dit model kleven talrijke risico’s. Bovendien is het een inefficiënt beheersysteem dat al vaak heeft geleid tot ernstige ‘security breaches’ waarvan meerder factoren de oorzaak zijn.

Zo wisselt de gemiddelde werknemer tijdens zijn werkzame leven tientallen malen van baan of positie. Dat betekent, opnieuw de provisioning van gebruikers met systemen en applicaties. Bij elk klassiek identity management systeem zijn er een of meer ‘superuser’-accounts die niet aan een individuele gebruiker, maar aan het systeem zelf zijn gekoppeld. Dit soort privileged accounts hebben de volledige ‘superuser’-rechten, zoals bijvoorbeeld bij Unix de root en bij Windows de Active Directory account. Deze accounts zijn aan het systeem zelf gekoppeld en niet aan individuele gebruikers. Sterker nog, ze worden meestal door meerdere systeembeheerders gedeeld. In een grote IT-omgeving kunnen daardoor, tijdens een security-incident, wel tientallen superusers ingelogd zijn. Bij een security- probleem is het dan niet zo eenvoudig om de exacte bron (de beheerder) te traceren. Elke beheerder kan de sporen van zijn activiteiten wissen door bijvoorbeeld de systeemlogbestanden aan te passen of geheel te wissen.

Huidige systemen inefficiënt

Grote ondernemingen kennen vaak tientallen systeembeheerders en duizenden gebruikers. Dan wordt het bijna onmogelijk om de bevoegdheden van elke individuele gebruiker bij te houden. Sommige gebruikers hebben een of meer accounts met verschillende bevoegdheden, andere een tijdelijke account, zoals parttimers of zzp’ers. In het laatste geval worden na het beëindigen van de samenwerking de accounts soms niet, of te laat verwijderd, met alle gevolgen van dien. Accounts worden op verschillende niveaus of afdelingen gecreëerd, waardoor vaak geen algemeen overzicht bestaat van alle actieve en niet meer actieve gebruikers en hun bevoegdheden. In het algemeen werkt een management systeem op basis van identiteit inefficiënt en introduceert allerlei potentiële beveiligingsproblemen. Het is duidelijk: IT-beheer is niet goed in staat om handmatig provisioning uit te voeren. De problemen bij het traditionele privileged account systemen zijn onder meer: te veel bevoegdheden, de deling van system accounts door meerdere gebruikers, de anonimiteit van superusers en een gebrek aan goede auditing-faciliteiten.

Governance consistency

In een poging het gebruikersbeheer efficiënter te maken brengt IT-beheer de gebruikers met dezelfde toegangsrechten meestal in groepen onder. Dit maakte het mogelijk om snel een gebruiker toe te voegen door ze eenvoudig aan een groep te koppelen. Het probleem is echter dat elke gebruiker uniek is, want vaak hebben gebruikers voor elke applicatie een andere identiteit. Gebruikers in een groep onderbrengen maakt het beheer wel efficiënter, maar er zijn altijd wel een paar gebruikers die voor een bepaalde taak net iets andere bevoegdheden nodig hebben. De meest voor de hand liggende oplossing is om weer een aparte groep te maken. Het duurt niet lang of er bestaan meer groepen dan gebruikers! Hoe kun je er zeker van zijn dat iedere gebruiker in de juiste groep is opgenomen, en wie bepaalt de deelname aan een groep? Het resultaat is dat we weer terug zijn bij de provisioning-problemen die we nu juist met groepen hebben getracht op te lossen. Het is duidelijk, er is een andere methode van provisioning nodig. De sleutel daartoe is de implementatie van governance consistentie: één identiteit voor elke gebruiker.

Privileged User Management System

Inmiddels zijn er moderne security systemen beschikbaar, de zogenoemde Privileged User Management systemen. Deze kunnen de genoemde risico’s en problemen verkleinen. In een privileged user management systeem vindt de delegatie van bevoegdheden niet langer plaats vanuit het gezichtspunt van IT-beheer maar vanuit de business. Door unieke accounts voor elke gebruiker toe te kennen, in plaats van generieke accounts, is de gebruikerstoegang beter controleerbaar en traceerbaar. Een dergelijk systeem met gecontroleerde toegang biedt de mogelijkheid om een governance policy te definiëren waarin de vijf W’s staan beschreven: Wie, Wat, Waar, Waarom en Wanneer. Gartner omschrijft dit nieuwe Identity en Access Management (IAM) systeem als, ‘the security discipline that enables the right individuals to access the right resources at the right times for the right reasons’.

“In de nieuwe IAM-omgeving worden authenticatie en autorisatie samengevoegd”

Samengaan IAM en Access Governance

Authenticatie en autorisatie werden traditioneel als volledig aparte services beschouwd. Authenticatie werd als een ‘directory service’ afgehandeld en autorisatie binnen een file storage system op basis van Access Control Lists (ACL), geassocieerd met files en folders. In de nieuwe IAM-omgeving worden authenticatie en autorisatie samengevoegd. Security, risico’s en identiteit zullen onlosmakelijk met elkaar worden verbonden en als basis fungeren voor services als Software Defined Networking (SDN), Software Defined Computing Infrastructures (SDCI) en data sharing services. Het landschap van identity management systemen is voortdurend aan het veranderen. Het jongste fenomeen is de samensmelting van IAM met Access Governance (inclusief autorisatie, scheiding van bevoegdheden, compliance auditing en monitoring) en Acces Control systemen (risico-, attribuut en rolgebaseerd). Een voorbeeld van een IAM systeem is Dell One Identity. In een dergelijk Access Governance systeem is de aanvraag van accounts volledig geautomatiseerd.

Conclusie

Business users, niet IT, moeten gaan bepalen wie toegang krijgt en tot wat. IT-beheer gaat daarbij als ‘gatekeeper’ fungeren. De verantwoordelijkheden van IT komen te liggen in de ontwikkeling en het beheer van computergebaseerde informatiesystemen. Ze blijven uiteraard wel betrokken bij de provisioning van gebruikers, maar nemen daarover geen beslissingen meer. Met de invoering van de nieuwe IAM-systemen zullen we in de komende tijd een verschuiving gaan zien in de macht van IT-beheer naar de Line Of Business (LOB).