USECASE
Verbeterde beveiliging van de organisatie
Een rol gebaseerd Identity en Access Management dat voldoet aan het least privilege concept en de spil vormt van een Zero Trust architectuur.
Hoe migreer je naar een toekomstgerichte beveiligingsaanpak
Traditionele organisatiebeveiliging gaat uit van afgebakende beveiligingsgrenzen. Alle aandacht is gericht op een goede toegangsbeveiliging naar het corporate netwerk maar na toegang gaat men ervan uit dat aangesloten gebruikers en apparaten te vertrouwen zijn. Nu remote werken steeds meer gemeengoed is en niet alleen eigen medewerkers maar ook flexwerkers, klanten en partners toegang moeten krijgen, is een wezenlijk andere beveiligingsaanpak nodig.
Identity-driven beveiliging, met zero-trust als uitgangspunt
HelloID organiseert vanuit één plek de uitgifte, het beheer en het gebruik van alle gebruikersaccounts en de bijbehorende toegangsrechten. Hiermee vormt het de basis voor een op identiteit gebaseerd beveiligingsmodel waarin iedere gebruiker bij iedere sessie wordt geverifieerd en alleen op een ‘need to know’ basis toegang krijgt tot applicaties en data.
Identiteit- en rol gebaseerde beveiliging
- Gebruikersaccount worden verstrekt en beheerd aan de hand van brongegevens zoals het HR systeem.
- Bij beëindiging van het dienstverband worden accounts automatisch verwijderd. Geen kans op datalekken door ‘vergeten’ accounts.
- Toegangsrechten worden verstrekt en beheerd aan de hand van iemands rol, alle toegang is op ‘need to know’ basis.
- Toegangsrechten zijn altijd up-to-date. Rolwijzigingen leiden automatisch tot rechtenaanpassingen.
- Veilig aanvraagproces voor extra (niet standaard) toegangsrechten. Met geautomatiseerde goedkeuringsprocessen en – bij voorkeur – tijdelijk geldig.
Flexibele toegangsbeveiliging
- In combinatie met – bijvoorbeeld – Active Directory een flexibel raamwerk voor aanvullende authenticatie en autorisatiefuncties.
- Uitgebreide Multi-Factor Authenticatie (MFA) voor extra verificatie. Er worden verschillende standaarden, authenticators en tokens ondersteund.
- Rol gebaseerde toegangsrechten kunnen worden verfijnd met contextfactoren zoals tijdstip, locatie, netwerktoegang en/of type device.
- Ondersteuning van verschillende gebruikersgroepen. Naast medewerkers bijvoorbeeld inhuurkrachten, klanten en partners.
Volledig auditeerbare oplossing
- Toegangspogingen tot systemen en data worden centraal gelogd en kunnen snel worden geanalyseerd ten behoeve van rapportages en audits.
- Rapportages van alle verstrekte toegangsrechten, op te splitsen naar gebruikers(groepen), afdelingen, rollen etc.
- Rapportages van rechtenaanvragen, inclusief aanvragers en beoordelaars.
Functionaliteiten
Hoe we een zero-trust ready Identity en Access Management realiseren
7 stappen die elk met low-code of no-code geconfigureerd kunnen worden
- Bronsysteem: Integreren van HelloID met bronsystemen zoals HR, SIS en/of roostersystemen. Wijzigingen in de brongegevens komen hiermee automatisch beschikbaar in HelloID.
- Personen: Omzetten van gegevens over personen/rollen uit bronsystemen naar een gemeenschappelijke weergave binnen HelloID met behulp van een ‘identity vault’.
- Business Rules: Regels instellen die bepalen aan welke rollen, welke type accounts en toegangsrechten worden verstrekt, en onder welke condities.
- Doelsystemen: Koppelen van HelloID aan on-prem en/of cloud applicaties. Dit kan stapsgewijs per applicatie worden uitgevoerd.
- Serviceprocessen: processen automatiseren, inclusief online goedkeuringsflows en activatie in doelsystemen. Dit kan per proces als aparte stap worden uitgevoerd.
- Toegangsmanagement: In samenhang met – bijvoorbeeld – Active Directory toegangsprocedures instellen, zoals Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA).
- Rapportages en auditing: Configureren van standaard en klantspecifieke rapportages en monitoring functies ten behoeve van analyses en audits.
Veelgestelde vragen
Traditionele IT beveiliging doet denken aan een kasteel. Er is zwaar geïnvesteerd in de netwerkbeveiliging – de digitale muren en slotgracht – maar zodra gebruikers en apparaten binnen zijn, worden ze vertrouwd. Nu we steeds meer remote en in de cloud werken is deze traditionele toegangsbeveiliging niet langer houdbaar. IT applicaties moeten op ieder moment bereikbaar zijn, via allerlei netwerken en met verschillende devices. En niet alleen voor de eigen medewerkers maar ook voor inhuurkrachten, klanten en partners. Moderne IT beveiliging moet het uitgangspunt zijn dat we iemand nooit blindelings vertrouwen. Bij iedere gebruikerssessie moet de vraag zijn wie er toegang vraagt, wat diens rol is en welke toegangsrechten daarvoor nodig zijn. De identiteit van de gebruiker is dus het uitgangspunt en dat maakt IAM een sleutelfunctie in zulke Zero-Trust Architecturen.
Het least privilege principe houdt in dat toegangsrechten op een ‘need to know’ basis worden verstrekt. Iemand krijgt alleen dié rechten die nodig zijn voor het uitvoeren van zijn of haar taken. De rechten zijn dus gekoppeld aan iemands rol en de zogenaamde Role Based Access Control is de methode om least privilege te borgen.
HelloID organiseert vanuit één centraal punt de uitgifte, het beheer en het gebruik van alle gebruikersaccounts en bijbehorende toegangsrechten. Gebruikersaccounts worden automatisch aangemaakt en beheerd op basis van brongegevens zoals het HR-systeem. Wanneer iemands dienstverband eindigt, worden de accounts en rechten automatisch ingetrokken, waardoor de kans op datalekken door ‘vergeten’ accounts aanzienlijk vermindert.
HelloID’s MFA biedt een hoge mate van flexibiliteit. Het ondersteunt verschillende standaarden, authenticators en tokens, waardoor organisaties hun MFA-oplossing kunnen aanpassen aan hun specifieke behoeften en risicoprofiel. Daarnaast kan de MFA-beveiliging verder worden verfijnd met contextfactoren zoals tijdstip, locatie, netwerktoegang en type apparaat, waardoor een gelaagde beveiligingsaanpak mogelijk wordt.
RBAC zorgt dat er een heldere en eenduidige koppeling is tussen iemands rol en de rechten die nodig zijn om die rol goed uit te kunnen voeren. Dankzij RBAC is er geen onduidelijkheid over de noodzakelijke rechten en voorkomen we vergissingen.
RBAC (Role Based Access Control) is het concept waarin toegangsrechten voor een gebruiker kunnen worden afgeleid van diens rol. Dus een boekhouder van een zorginstelling krijgt standaard wél toegang tot het financiële systeem, maar niet tot het Elektronisch Patiënt Dossier (EPD). Binnen HelloID implementeren we RBAC met behulp van Business Rules. Dat zijn instelbare regels waarmee men het RBAC raamwerk samenstelt. Dat hoeven niet alleen regels te zijn over welke toegangsrechten passen bij welke gebruikersrollen. Business Rules kunnen ook de context van toegangsrechten verder vastleggen: Een medewerker en diens manager kunnen beiden toegang krijgen tot hetzelfde systeem maar de medewerker bijvoorbeeld alleen tijdens werktijd terwijl de manager 24×7 toegang krijgt. Dit wordt vastgelegd in een Business Rule.