Waar vroeger de grens tussen het bedrijfsnetwerk en internet simpelweg werd bewaakt door een firewall, is dat tegenwoordig een stuk complexer geworden. Bij veel bedrijven werden sites geblokkeerd en werd er gescand op virussen en hackpogingen. Dit gaat tegenwoordig niet meer.
Medewerkers die altijd en overal willen werken – binnen en buiten de firewall – hebben overal toegang nodig. Hoofdkantoren, kleine vestigingen, flexkantoren en vpn-verbindingen voor veilige toegang vanuit huis hebben allemaal andere ip-adressen. Firewalls hebben een specifiek beleid voor elke afzonderlijke locatie om te bevestigen dat de toegang toegewezen kan worden aan een specifieke medewerker. Dit is onwerkbaar en hierdoor hebben medewerkers steeds vaker toegang tot applicaties en apparaten die niet beveiligd kunnen worden.
Hoe kun je dan wel je bedrijfsgegevens beschermen? Je ziet steeds vaker dat bedrijven gebruik maken van een identity firewall. Op basis van de identiteit van je medewerkers kun je namelijk de bedrijfsgegevens beschermen. Om in te loggen moeten ze allemaal langs één punt en daar kun je de grens bewaken. Met de identity firewall zijn er drie scenario’s die toegepast kunnen worden:
1. Risicogebaseerde toegang:
Bij risicogebaseerde toegang wordt er naar de context gekeken. Als iemand ‘s ochtends in Nederland inlogt en ’s middags in China, dan is dat verdacht. Er wordt dus rekening gehouden met locatie, tijd en gedrag. Een meerdere keren verkeerd ingevoerd wachtwoord is ook verdacht. Vaak wordt dan gevraagd om een extra actie, zoals het overtypen van een nummer of een bevestiging via een ander device. De context geeft aan of de bedrijfsgegevens gevaar lopen of niet.
2. Identity tracking:
Door het installeren van specifieke software kan het gedrag van de gebruiker geïnventariseerd worden. Er worden dan log files gecreëerd waarin alle activiteiten binnen een applicatie worden geregistreerd. Na een paar maanden is al een duidelijk patroon te zien. Als het gedrag van een gebruiker ineens afwijkt wordt dit gerapporteerd. Een hacker zal hele andere dingen op een computer doen dan de gemiddelde medewerker. Deze optie is privacy gevoelig, maar kan wel hackpogingen signaleren en blokkeren.
3. Red button scenario:
Met het rode knop scenario kunnen mensen die uit dienst gaan of waar een conflict mee is, direct geblokkeerd worden zodat zij nergens meer bij kunnen. Zelfs hun mobiel kan direct uitgeschakeld worden door op een denkbeeldige rode knop te drukken. Hierdoor kunnen bedrijven direct en op een adequate manier hun data beschermen.
Met identity firewall is er maar één stelregel nodig: de medewerker moet toegang krijgen tot het bedrijfsnetwerk. Hierbij kunnen ze bepaalde rechten krijgen op het gebied van toegang tot functie gerelateerde bestanden. Met deze drie scenario’s hebben bedrijven drie krachtige middelen in handen om – ondanks de snelle groei van het aantal devices en werklocaties – ervoor te zorgen dat bedrijven virussen en hackers buiten de deur houden.
Peter,
Identity Firewall lijkt me beetje ouderwets en inflexibel. Afhankelijk van je architectuur, je applicatielandschap en nog veel andere zaken heb je verschillende scenario`s voor je toegang, beveiliging en de plek van je Identity Store. Soms is een IDaaS een betere oplossing dan een interne IAM/IdM. Ik zou zeggen overleg eerst met een specialist om kennis te maken met de nieuwe mogelijkheden voor de inrichting van je diensten en infrastructuur.
Wat is er mis met traditioneel VPN + IAM + A/R-BAC ?
Reza,
Je hoort steeds vaker mensen zeggen ‘identity is the new firewall’ en dan bedoelt men vaak een moderne en flexibele IDaaS-oplossing die on-premise en cloud apps afschermt. Hierdoor geïnspireerd heb ik de kreet ‘identity firewall’ gebruikt. Dat is dus geen apparaat, maar een dienst. Bij Capitar leveren we zo’n IDaaS-dienst inmiddels aan meerdere klanten. Zij sluiten al hun applicaties erop aan, van zeer moderne tot legacy.
Wellicht wekt mijn tekst een ander idee?
Hackers en virussen worden buiten de deur gehouden, data wordt adequaat beschermd en dit alles met één wachtwoord voor alle services?
Peter,
Zoals eerder aangegeven het is handiger om eerst met een specialist te overleggen over de plaatst en inrichting van je Identity Store. Deze zaak is afhankelijk van veel aspecten zoals inrichting van je diensten (nu en in de nabij toekomst/cloud/legacy etc), het soort van je business (financiële instellingen moeten zich aan andere regels houden) en nog meer (lees de reactie van Ewout) Doe je dat niet dan heb je incongruentie in je diensten en oplossing.
Het is mooi dat Capitar deze dienst levert (ook mooie marketing) maar dat vind ik geen valide argument voor je reactie en artikel.
Misschien is mijn reactie duidelijker als je het artikel hieronder leest:
I AM in de Cloud
https://www.computable.nl/artikel/opinie/infrastructuur/5029849/2379248/i-am-in-de-cloud.html
Tevens zijn er mooie reacties die complementair zijn aan het artikel.
@Reza
De afdeling marketing staat over het algemeen niet bekend als het ministerie van Waarheid hoewel de pot hier dus de ketel verwijt dat hij zwart ziet. Zo link je bijvoorbeeld naar je eerdere opinie waar ik in de reacties een vraag stelde waar ik nimmer antwoord op heb gehad, de beloofde vervolg opinie is er namelijk niet meer van gekomen. In de gegeven reacties probeerde ik dus complementair te zijn door te stellen dat er voor- en achteraf nog wat dingen zijn die ingevuld moeten worden om te voorkomen dat investeringen in een IAM/IdM systeem door onachtzaamheid waardeloos wordt.
Om een lang verhaal kort te maken aangaande dienst, middel en betrouwbaarheidsniveaus verwijs ik je naar een schrijven van onze overheid over de uitdagingen in digitale authenticatiesystemen:
https://www.forumstandaardisatie.nl/fileadmin/os/publicaties/HR_Betrouwbaarheidsniveaus_WEB.pdf
“No problem can be solved from the same level of consciousness that created it.” – Albert Einstein
Hele idee van een ‘identity firewall’ spreekt me namelijk aan maar dan dus wel op basis van het netwerk, in de kip-en-ei discussies over IAM/IdM gaat het teveel over eeneiïge tweelingen die zoals Felix al aangeeft hele idee van C/A/R-BAC betreffende de data zelf negeren. Wil je een ‘pivacy-by-design’ architectuur dan zul je moeten beginnen met een ommekeer in denken door niet de data naar de gebruiker te brengen maar de gebruiker naar de data. Hele ‘red button’ concept van auteur is namelijk nogal reactief als ik overweeg dat 90% van het dataverlies veroorzaakt wordt door het feit dat de data zelf teveel verspreidt ligt.
Om nog een aanbeveling in lectuur aangaande complexe onderwerp te geven:
http://download.springer.com/static/pdf/416/bok%253A978-3-642-20898-0.pdf?auth66=1426756494_81f5a12b062c0dc9861a29200c083926&ext=.pdf
Leeswijzer die ik betreffende bovenstaande link meegeef is Content-Aware-Storage (REST versus SOA?) in combinatie met een ‘identity (actor?) firewall’ welke aan de persoon/rol in plaats van het device is gekoppeld. Met het risico dat ik weer de gebruikelijke ‘WC-eend’ verwijten krijg misschien toch goed om eens te kijken wat Unisys hier biedt?
Ewout,
1- Vergeetachtigheid kent verschillende oorzaken zoals ouderdom, alcohol en nog andere zaken die ik niet ga opsommen. Ik heb laatst het gevoel dat dit fenomeen zich bij je begint te laten zien. Over vervolgartikel en andere punten heb je eerder in andere reacties een opmerking gemaakt waar ik je een antwoord op heb gegeven. Vergeten?
2- Niet klagen over ” gebruikelijke WC-eend verwijt”, dat is best terecht vind ik! Persoonlijk vond ik je aanvliegroute in je laatste artikel (wat moeilijk te begrijpen was) en ook reacties op andere artikelen met het vermarkten van Unisys-product best een WC-eens gedrag. Ik weet niet wat de reden hiervan was want ik ken je/je reacties/ je artikelen al langer dan 6 jaar en ik heb eerder dit gedrag niet gezien.
3- Als je mijn reactie hierboven goed leest dan zie je dat ik expliciet heb aangegeven dat de zaken rondom IAM en de inrichting hiervan afhankelijk zijn van vele onderwerpen die in een gesprek met specialist besproken moeten worden. De 3 benoemde scenario`s van auteur vond ik zeer kort door de bocht.
De aanbeveling van jou […] Wil je een ‘pivacy-by-design’ architectuur […] zie ik overeenkomen met mijn opmerking hierboven.
Lees je de reactie van andere mensen ook goed?
Ben je het ooit met iemand eens geweest?
of zie je alleen een waarheid, jouw waarheid?
Toch blijf ik genieten van je reacties ondanks je houding daarin. Want er valt vaak iets aan je reacties te leren, soms iets uit de inhoud en soms de taal 🙂
@Reza
Ondanks het feit dat je in afsluitende zin aangeeft dat je geniet van mijn input begin je de reactie met insinuaties. Zo lees ik bijvoorbeeld dat je me als een oude drinkenboer beschouwd die niet weet waarover hij het heeft. Dat ik vorige week (’s avonds) in aangenaam gezelschap van architecten uit de hele wereld in mijn hotel een paar biertjes gedronken heb om verjaardag te vieren heeft me alleen maar ouder en wijzer gemaakt, hetzelfde geldt voor de wijn die ik met mate(n) nuttig tijdens de Cloud Architecten Alliance sessies.
Misschien zijn het de nevelen in mijn hoofd maar ik zie mijn opmerkingen totaal niet overeenkomen met jou aanbevelingen, de tekortkoming zit wat mij betreft in het I AM als ik overweeg dat het om het YOU ARE gaat betreffende de privacy. Nu hoor ik regelmatig: ‘YOU ARE AN ASSHOLE’ als iemand middels social engineering probeert toegang te verkrijgen tot systemen waarmee ik dus alleen maar wil zeggen dat de ‘loophole’ van sommigen wel enige WC-eend kan gebruiken;-)
Mooie reactie Ewout! En zoals eerder aangegeven ik geniet (bijna) elke keer van je paradigma waaruit je de zaken bekijkt en reageert, je visie en in het bijzonder je taal (letterlijk en figuurlijk). Ik hecht veel waarde aan je aanwezigheid op deze site terwijl ik het niet altijd met je eens ben ( inhoudelijk, gebruikte taal, benadering etc)
Voor de duidelijkheid ik heb je nergens van beschuldigd, ik ben zelf een wijnliefhebber maar het schema van mijn judo-training laat me niet toe door de weeks te drinken.