Toegangsbeheer

Toegangsbeheer is het onderdeel van beveiliging dat mensen het eerst en het vaakst ervaren. Ze zien het wanneer ze zich aanmelden bij hun computers en mobiele telefoons, wanneer ze een bestand delen of toegang proberen te krijgen tot een toepassing, en wanneer ze een id-kaartsleutel gebruiken om een gebouw of ruimte in te voeren. Hoewel toegangsbeheer niet alles in beveiliging is, is het van cruciaal belang en vereist het de juiste aandacht, zodat zowel de gebruikerservaring als de beveiligingsgaranties juist zijn.

Bekijk de volgende video om te leren hoe u een strategie voor toegangsbeheer kunt ontwikkelen die voldoet aan uw specifieke behoeften.

Van beveiligingsperimeter tot nul vertrouwen

De traditionele benadering van toegangsbeheer voor IT is gebaseerd op het beperken van de toegang tot een bedrijfsnetwerk en het vervolgens aanvullen met meer besturingselementen, indien van toepassing. Dit model beperkt alle resources tot een netwerkverbinding in bedrijfseigendom en is te beperkend geworden om te voldoen aan de behoeften van een dynamische onderneming.

Zero trust shift

Organisaties moeten een zero trust-benadering voor toegangsbeheer omarmen wanneer ze extern werk omarmen en cloudtechnologie gebruiken om hun bedrijfsmodel, klantbetrokkenheidsmodel, werknemersbetrokkenheid en het model voor ondersteuning digitaal te transformeren.

Nul vertrouwensprincipes helpen bij het vaststellen en continu verbeteren van beveiligingsgaranties, terwijl flexibiliteit behouden blijft om met deze nieuwe wereld in de hoogte te blijven. De meeste vertrouwenstrajecten beginnen met toegangsbeheer en richten zich op identiteit als voorkeurs- en primaire controle terwijl ze netwerkbeveiligingstechnologie blijven omarmen als een belangrijk element. Netwerktechnologie en de tactiek van de beveiligingsperimeter zijn nog steeds aanwezig in een modern toegangsbeheermodel, maar ze zijn niet de dominante en voorkeursbenadering in een volledige strategie voor toegangsbeheer.

Modern toegangsbeheer

Organisaties moeten een strategie voor toegangsbeheer ontwikkelen die:

  • Is uitgebreid en consistent.
  • Past beveiligingsprincipes in de hele technologiestack grondig toe.
  • Is flexibel genoeg om te voldoen aan de behoeften van de organisatie.

Dit diagram illustreert alle verschillende elementen die een organisatie moet overwegen voor een strategie voor toegangsbeheer voor meerdere workloads, meerdere clouds, verschillende niveaus van bedrijfsgevoeligheid en toegang door zowel personen als apparaten.

Access Control Overview

Een goede strategie voor toegangsbeheer gaat verder dan één tactiek of technologie. Het vereist een pragmatische benadering die de juiste technologie en tactiek voor elk scenario omarmt.

Modern toegangsbeheer moet voldoen aan de productiviteitsbehoeften van de organisatie, en ook:

  • Veilig: valideer expliciet het vertrouwen van gebruikers en apparaten tijdens toegangsaanvragen, met behulp van alle beschikbare gegevens en telemetrie. Deze configuratie maakt het moeilijker voor aanvallers om legitieme gebruikers te imiteren zonder te worden gedetecteerd. Daarnaast moet de strategie voor toegangsbeheer zich richten op het elimineren van onbevoegde escalatie van bevoegdheden, bijvoorbeeld het verlenen van een bevoegdheid die kan worden gebruikt om hogere bevoegdheden te krijgen. Zie Privileged Access beveiligen voor meer informatie over het beveiligen van bevoegde toegang.
  • Consistent: Zorg ervoor dat beveiligingsgaranties consistent en naadloos in de omgeving worden toegepast. Deze standaard verbetert de gebruikerservaring en verwijdert mogelijkheden voor aanvallers om door zwakke plekken te sluipen in een niet-aaneengesloten of zeer complexe implementatie van toegangsbeheer. U moet één strategie voor toegangsbeheer hebben die gebruikmaakt van het minste aantal beleidsengines om inconsistenties en configuratiedrift van de configuratie te voorkomen.
  • Uitgebreid: het afdwingen van toegangsbeleid moet zo dicht mogelijk bij de resources en toegangspaden worden uitgevoerd. Deze configuratie verbetert de beveiligingsdekking en helpt de beveiliging soepel in scenario's en verwachtingen van gebruikers te passen. Profiteer van beveiligingscontroles voor gegevens, toepassingen, identiteit, netwerken en databases om beleidshandhaving dichter bij de zakelijke activa van waarde te stimuleren.
  • Identiteitgericht: prioriteit geven aan het gebruik van identiteit en gerelateerde besturingselementen, indien beschikbaar. Identiteitsbesturingselementen bieden uitgebreide context in toegangsaanvragen en toepassingscontext die niet beschikbaar is vanuit onbewerkt netwerkverkeer. Netwerkcontroles zijn nog steeds belangrijk en soms is de enige beschikbare optie (zoals in operationele technologieomgevingen), maar identiteit moet altijd de eerste keuze zijn, indien beschikbaar. Een foutdialoogvenster tijdens toegang tot toepassingen vanuit de identiteitslaag is nauwkeuriger en informatiever dan een netwerkverkeersblok, waardoor de gebruiker het probleem waarschijnlijker kan oplossen zonder een dure helpdeskoproep.

Model voor bedrijfstoegang

Het enterprise-toegangsmodel is een uitgebreid toegangsmodel op basis van nul vertrouwen. Dit model heeft betrekking op alle soorten toegang door interne en externe gebruikers, services, toepassingen en bevoegde accounts met beheerderstoegang tot systemen.

Adding user and application access pathways

Het enterprise-toegangsmodel wordt uitgebreid beschreven in het Enterprise-toegangsmodel

Bekend, vertrouwd, toegestaan

Een nuttig perspectief op de transformatie van nul vertrouwen van toegangsbeheer is dat het van een statisch verificatie- en autorisatieproces met twee stappen verschuift naar een dynamisch proces met drie stappen, ook wel bekend, vertrouwd, toegestaan:

Known, trusted, allowed: Physical

  1. Bekend: Verificatie die ervoor zorgt dat u bent wie u zegt dat u bent. Dit proces is vergelijkbaar met het fysieke proces van het controleren van een door de overheid uitgegeven fotoidentificatiedocument.
  2. Vertrouwd: Validatie dat de gebruiker of het apparaat betrouwbaar genoeg is om toegang te krijgen tot de resource. Dit proces is vergelijkbaar met de beveiliging op een luchthaven die alle passagiers op veiligheidsrisico's controleert voordat ze de luchthaven binnen kunnen komen.
  3. Toegestaan: het verlenen van specifieke rechten en bevoegdheden voor de toepassing, service of gegevens. Dit proces is vergelijkbaar met een luchtvaartmaatschappij die bepaalt waar passagiers heen gaan, in welke cabine ze zitten (eersteklas, business class of coach) en of ze moeten betalen voor bagage.

Belangrijke technologieën voor toegangsbeheer

De belangrijkste technische mogelijkheden die modern toegangsbeheer mogelijk maken, zijn:

  • Beleidsengine: het onderdeel waarin organisaties het technische beveiligingsbeleid configureren om te voldoen aan de productiviteits- en beveiligingsdoelstellingen van de organisatie.
  • Afdwingingspunten voor beleid: punten die, in de resources van de organisatie, de centrale beleidsbeslissingen van de beleidsengine afdwingen. De resources omvatten gegevens, toepassingen, identiteit, netwerk en databases.

In dit diagram ziet u hoe Microsoft Entra-id een beleidsengine en een afdwingingspunt voor beleid biedt, zodat beveiligingsprotocollen een bekende, vertrouwde, toegestane benadering kunnen implementeren.

Known, trusted, allowed: Electronic

De Microsoft Entra-beleidsengine kan worden uitgebreid naar andere beleids afdwingingspunten, waaronder:

  • Moderne toepassingen: toepassingen die gebruikmaken van moderne verificatieprotocollen.
  • Verouderde toepassingen: Via Microsoft Entra-toepassingsproxy.
  • VPN- en externe toegangsoplossingen: zoals Cisco Any Verbinding maken, Palo Alto Networks, F5, Fortinet, Citrix en Zscaler.
  • Documenten, e-mail en andere bestanden: Via Microsoft Purview Informatiebeveiliging.
  • SaaS-toepassingen: Zie zelfstudies voor het integreren van SaaS-toepassingen met Microsoft Entra ID voor meer informatie.

Beslissingen voor gegevensgestuurde toegang

Om te voldoen aan het vertrouwensprincipe van expliciete validatie, is het essentieel om een weloverwogen beslissing te nemen. De engine voor vertrouwensbeleid nul moet toegang hebben tot diverse gegevens van de gebruikers en apparaten om goede beveiligingsbeslissingen te nemen. Deze diversiteit helpt bij het identificeren van deze aspecten met meer vertrouwen:

  • Of de werkelijke gebruiker de controle over het account heeft.
  • Of het apparaat is aangetast door een aanvaller.
  • Of de gebruiker de juiste rollen en machtigingen heeft.

Microsoft heeft een bedreigingsinformatiesysteem gebouwd dat beveiligingscontext van veel en diverse signaalbronnen integreert. Zie Samenvatting van bedreigingsinformatie van Microsoft voor meer informatie.

Segmentatie: gescheiden om te beveiligen

Organisaties kiezen er vaak voor om grenzen te maken om de interne omgeving te verdelen in afzonderlijke segmenten, als onderdeel van hun benadering voor toegangsbeheer. Deze configuratie is bedoeld om de schade van een geslaagde aanval op het aangevallen segment te bevatten. Segmentering wordt traditioneel uitgevoerd met firewalls of andere netwerkfiltertechnologie, maar het concept kan ook worden toegepast op identiteit en andere technologieën.

Zie Azure-onderdelen en referentiemodel voor meer informatie over het toepassen van segmentatie op Azure-omgevingen

Isolatie: Firewall vermijden en vergeten

Isolatie is een extreme vorm van segmentatie die soms vereist is voor het beveiligen van essentiële belangrijke assets. Isolatie wordt meestal gebruikt voor assets die zowel bedrijfskritiek zijn als moeilijk te gebruiken voor het huidige beleid en de huidige standaarden. Klassen assets waarvoor isolatie mogelijk vereist is, zijn onder andere systemen voor operationele technologie (OT), zoals:

  • Controle van toezicht en gegevensverwerving (SCADA)
  • Industrieel controlesysteem (ICS)

People, Process, Technology for isolation

Isolatie moet worden ontworpen als een compleet systeem voor mensen/proces/technologie en moeten worden geïntegreerd met bedrijfsprocessen om succesvol en duurzaam te zijn. Deze aanpak voert doorgaans een failover uit in de loop van de tijd als deze wordt geïmplementeerd als een puur technologie-benadering zonder processen en training om de verdediging te valideren en te ondersteunen. Het is eenvoudig om in een firewall te vallen en vals te vergeten door het probleem als statisch en technisch te definiëren.

In de meeste gevallen zijn processen nodig om isolatie te implementeren, processen die verschillende teams, zoals beveiliging, IT, operationele technologie (OT) en soms moeten bedrijfsactiviteiten volgen. Geslaagde isolatie bestaat meestal uit:

  • Mensen: Train alle werknemers, leveranciers en belanghebbenden op isolatiestrategie en hun deel ervan. Neem op waarom het belangrijk is, bijvoorbeeld bedreigingen, risico's en potentiële bedrijfsimpact, wat ze verwachten te doen en hoe u dit doet.
  • Proces: stel duidelijke beleidsregels en standaarden en documentprocessen vast voor zakelijke en technische belanghebbenden voor alle scenario's zoals toegang tot leveranciers, wijzigingsbeheer, procedures voor het reageren op bedreigingen, waaronder uitzonderingsbeheer. Controleer om ervoor te zorgen dat de configuratie niet afdrijft en dat andere processen correct en strikt worden gevolgd.
  • Technologie: implementeer technische controles om niet-geautoriseerde communicatie te blokkeren, afwijkingen en mogelijke bedreigingen te detecteren, en apparaten voor overbrugging en overdracht te beveiligen die communiceren met de geïsoleerde omgeving, bijvoorbeeld operatorconsoles voor operationele technologiesystemen (OT).

Zie Assetbeveiliging: netwerkisolatie voor meer informatie.

Volgende stappen

Wat uw vereisten voor toegangsbeheer ook zijn, uw strategie moet worden geaard in de juiste basisprincipes. De richtlijnen in deze artikelen en in het Cloud Adoption Framework kunnen organisaties helpen bij het vinden en implementeren van de juiste aanpak.

De volgende discipline is het moderniseren van beveiligingsbewerkingen.