Identity management in de cloud

Identiteit, het nieuwe paradigma van beveiliging in de cloud?

De toenemende omvang en complexiteit van zakelijke applicaties maken het moeilijker om gebruikersidentiteiten en toegangen te beheren. In deze analyse definiëren wij identiteit als de set van attributen, rollen, rechten en applicatietoegang die aan een gebruiker is gekoppeld.

Met dit framework kunnen we snel zien waarom identiteit de basis van beveiliging wordt in een nieuwe omgeving die iedereen wordt opgelegd door de evolutie van het gebruik. Of het nu gaat om de komst van het internet, persoonlijke apparatuur of zelfs de gezondheidscrisis waarmee we worden geconfronteerd, de verwachtingen van gebruikers ontwikkelen zeer snel naar meer mobiliteit en openheid. Om aan deze verwachtingen te voldoen, moeten we ook onze beveiligingssystemen snel ontwikkelen.

Cloud: de nieuwste uitdaging

De verschillende benaderingen van bedrijven ten opzichte van de cloud hebben aanzienlijke positieve gevolgen gehad voor de manier waarop IT wordt benaderd: meer flexibiliteit en minder technische beperkingen met SaaS-oplossingen (Software-as-a-Service).

Dit brengt echter ook zijn beperkingen met zich mee. Digitale transformatie via de cloud kan niet van de ene op de andere dag worden gerealiseerd: infrastructuren op locatie moeten nog worden beheerd.

Toenemende regels en wetgevingen

In het tijdperk van de Algemene Verordening Gegevensbescherming (AVG) is het niet langer alleen een kwestie van weten hoe de identiteit van de gebruikers moet worden beheerd en beveiligd en wat hun gevoelige gegevens zijn. IAM (Identity and Access Management) en in het bijzonder CIAM (Customer IAM) staat onder druk door de volgende punten:

Toegang tot gebruikersdata: De AVG stelt strenge eisen aan de verwerking van persoonsgegevens in de vorm van bescherming tegen ongeautoriseerde en onrechtmatige verwerking. Een gecentraliseerd en uniform IAM-platform bereikt dit door middel van multi-factor access en authenticatiebeleid. Dit vereist een agile inspanning voor bedrijven die gewend zijn aan sterk gereguleerde IAM-processen die niet erg veerkrachtig zijn tegen dergelijke significante veranderingen.

Verwerken van persoonlijke data: Artikel 32 van de AVG bepaalt de veiligheidseisen voor de verwerking van persoonsgegevens. Dit omvat onder andere:

• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.

De onderneming moet zowel kunnen aantonen dat het in staat is om deze verzoeken uit te voeren, als ook de effectiviteit ervan. IAM-oplossingen verminderen het risico van gegevensverlies en ongeautoriseerde toegang door de toegang tot cloudbronnen van het bedrijf te beperken en identiteiten te beschermen.

Beveiligen van gebruikersverwerking: de AVG vereist toestemming, die wordt gedefinieerd als elke vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie van zijn of haar wensen waarmee de betrokkene aangeeft dat hij of zij akkoord gaat met de verwerking van persoonsgegevens door middel van een verklaring of een expliciete bevestigende actie. Dit heeft aanzienlijke gevolgen voor IAM, omdat de meeste toestemmingen van klanten – vooral voor clouddiensten – worden afgegeven via gebruikersprofielen of identiteitsattributen. Het IAM-platform biedt dus een overzicht van de verleende toestemmingen en de mogelijkheid dat de gebruiker de verleende toestemmingen geheel of gedeeltelijk intrekt.

De soevereiniteit van data: in een ander register dan het GPDR gaat de kwestie van interoperabiliteit en overdraagbaarheid van gebruikersgegevens binnen cloudomgevingen verspreid over verschillende landen of continenten gepaard met vragen met betrekking tot de soevereiniteit van die gegevens. In Frankrijk bijvoorbeeld, worden sommige entiteiten, zoals de OIV's – Operators of Vital Importance – op dit vlak sterk ingeperkt door de Military Programming Law. Een verordening die hen verplicht om niet-gevoelige gegevens (geheime defensiegegevens kunnen niet in een openbare cloud worden opgeslagen) in Europa op te slaan en te verwerken. De onderliggende infrastructuur is essentieel voor beveiliging, prestaties, soevereiniteit en zaken als de geografische locatie van de gebruikte services.

Gegevensbescherming: technische benadering

Data moet beschermd worden, zowel als het wordt opgeslagen als wanneer het wordt verstuurd. De beschermingsprotocollen voor gegevensoverdracht zijn doorgaans TLS 1.3 of IPSEC. De gebruikte encryptie methode en het beheer van encryptie keys moeten worden gespecificeerd. Wij geven de voorkeur aan:

• Het ECDHE-ECDSA key exchange en authenticatiesysteem met forward geheimhouding.
• Wat encryptie betreft, heeft het AES-GCM-algoritme zichzelf bewezen.
• Voor data integriteit voldoet het HMAC-SHA256-algoritme aan de huidige cryptografische vereisten.

We zorgen ervoor dat alle opgeslagen gegevens systematisch worden versleuteld, opgeslagen op schijf, in databases, bestanden of zelfs in RAM. De encryptie van gegevens in RAM wordt mogelijk gemaakt door de nieuwste generaties microprocessors. Key management moet het gebruik van specifieke ontgrendeling voor elke tenant mogelijk maken en ervoor zorgen dat een derde partij deze niet kan gebruiken.

Hoe beheer je twee repositories tegelijkertijd?

Hoewel er verschillende benaderingen mogelijk zijn, is het raadzaam om identity management in twee omgevingen te centraliseren om de "master" -opslagplaats voor wijzigingen aan te wijzen. Deze repository is de gezaghebbende bron van gebruikerstoegang tot de enterprise repositories. Om de IAG-applicatie in staat te stellen de applicaties van beide repositories te beheren, zijn gateways en applicatieproxy's nodig.

Cloud en on-premises identity verdeling

Andersom is het mogelijk om afzonderlijke IAM-repositories te beheren, afhankelijk van de toepassingsdoeleinden (on-premise of cloud applicaties). Let wet, dit type implementatie heeft grote technische gevolgen; het zal nodig zijn om de twee repositories gelijktijdig te beheren en zelfs een synchronisatiesysteem te integreren.

Meerdere doelen en talen beheren

De overvloed aan SaaS-oplossingen zorgt ervoor dat identity management applicaties met een groeiend aantal gebruikers en toepassingen communiceert. Authenticatie, het beheren van accounts en zelfs het definiëren van gebruikerstoegang is een echte uitdaging bij homogenisatie om wanorde te voorkomen. Deze observatie heeft aanleiding gegeven tot twee bewegingen:

• de definitie van standaarden en protocollen waarmee gebruikers op een unieke manier kunnen worden geauthenticeerd (SAML, Oauth, OpenID Connect);
• identiteits- en gebruikersaccountbeheer in verschillende clouddomeinen van de onderneming SCIM (System for Cross-domain Identity Management)

Controle op de toepassing van veiligheidsregels

Regelmatige controles zorgen ervoor dat deze beschermingsregels correct worden toegepast. De gebruikte methode en alle uitgevoerde controles worden gedocumenteerd en regelmatige audits van deze controles garanderen hun doeltreffendheid.

Monitoring van de service

Het is raadzaam om de door de leverancier ingezette beveiligingselementen te verifiëren. De leverancier moet een document overleggen met daarin alle veiligheidscriteria en de organisatie die het behalen van deze criteria garandeert. Alle veiligheidsaspecten moeten in dit document worden behandeld.

De technische elementen moeten in detail worden vermeld:

• protocol versie,
• encryptie algoritmes,
• gebruikte oplossingen van derde,
• geografische locatie.

De impact van een compromitteren van identiteiten en de bijbehorende toegang is in de cloud vertienvoudigd. De toename van "selfservice" -toegang via SaaS-achtige applicatie portals vereist nieuwe methoden voor het beveiligen van identiteit en het toestaan van:

• monitoring van serviceverbindingen,
• verbindingsinformatie zoals geografische locatie,
• de gebruikte authenticatiemethode,
• verbindingstijd of gebruikt systeem om te verbinden, op te slaan en te analyseren.

Ongebruikelijk gedrag of bekende bedreigingspatronen moeten ervoor zorgen dat de verbinding wordt geblokkeerd en een beveiligingswaarschuwing activeren. De leverancier moet transparant zijn over dergelijke incidenten en in zijn documentatie gedetailleerd aangeven hoe hij deze aan zijn klanten communiceert.

Cloud: hoe creëer je een identiteit?

Het creëren van identiteit blijft een cruciaal punt.

• Welke informatie is nodig om het te creëren?
• Welk proces wordt gebruikt om de identiteit te creëren?
• Wie is de autoriteit om de identiteit te creëren?

Hiervoor zijn verschillende opties beschikbaar:

• creatie door de gebruiker,
• het gebruik van een identiteit van een derde via sociale netwerken,
• creatie door een externe stroomvoorziening.

Creatie door de gebruiker

Een door gebruikers gegenereerde identiteit is een nieuwe benadering, rechtstreeks van internet en de meeste online services. Deze methode wordt gewoonlijk geïmplementeerd via CIAM (Customer Identity & Access Management) om een ervaring te bieden die consistent is met gebruikersgewoonten.

Dit is een echte uitdaging voor de manier waarop organisaties werken. Het web portaal wordt een voorwaarde voor het leggen van contact met de organisatie, terwijl het selecteren van een verbinding een voorwaarde is voor toegang tot het web portaal. Hieraan kan een a posteriori validatie worden toegevoegd die toegang geeft tot een extra serviceniveau. Deze paradigmaverschuiving betekent ook dat de last van het creëren/wijzigen van de identiteit wordt verschoven naar de eindgebruiker, wat een belangrijk punt is bij het omgaan met grote volumes.

Gebruik van een identiteit van een derde partij

Om het aantal identiteiten van een enkele gebruiker te beperken, is het gebruik van een identiteit van een derde partij een mogelijkheid. Veel internetgebruikers hebben al een identiteit op sociale netwerken die hergebruikt zal worden; dit model, dat bekend staat als Bring Your Own Identity, is de tegenhanger van het BYO.

Tot hoeveel services heeft u al toegang gehad met Facebook-authenticatie? Het is snel, efficiënt en bespaart u veel verschillende wachtwoorden. De B2B-wereld past BYOI langzamer toe dan BYOD. In eerste instantie om technische redenen, maar vooral om veiligheidsredenen.

Tegenwoordig nemen de technische beperkingen geleidelijk af, maar enkele veiligheidsrisico’s blijven bestaan:

• Hoe certificeert je de identiteit van een derde partij?
• Als er certificering is, hoe weten we dat de ondertekenaar van dit certificaat te vertrouwen is?

Creatie door automatische feeding

Sommige bedrijven zijn gewend om hun identiteit te creëren vanuit een HR-repository of een providerdatabase. De SCIM 2-standaard biedt een gestandaardiseerde webinterface om gebruikerscreaties naar cloudsystemen te pushen. Net als de LDAP-directory's definieert deze standaard een basisgebruikersschema, uit te breiden naar behoefte, met het protocol om de identiteitenbewerkingen uit te voeren. Dit protocol is gebaseerd op webstandaarden zoals https en json en biedt een API die universeel wordt erkend in de IAM-wereld.

Hoe de identiteit van een gebruiker verzekeren?

Het verifiëren van de identiteit van gebruikers wanneer ze inloggen op online services is cruciaal voor het vertrouwen in deze systemen. Regelmatig gebruik van wachtwoorden is onvoldoende om een acceptabel beveiligingsniveau te garanderen. Om het hoofd te bieden aan de diversificatie van onlinediensten, die steeds gevoeliger worden, en het massale gebruik van persoonsgegevens, waarvan de bescherming essentieel is om ze uit te breiden, zijn er nieuwe authenticatieoplossingen ontwikkeld. Ze zijn volledig ontwikkeld en klaar om op grote schaal te worden ingezet voor een betere bruikbaarheid en tegelijkertijd de beveiliging te verbeteren. Deze methoden versterken het vertrouwen in online diensten aanzienlijk.

Multi-factor authenticatie

Multi-factor authenticatie (MFA) is een accountbeveiligingsproces dat verschillende afzonderlijke stappen vereist voordat een gebruiker zijn identiteit kan bewijzen. Om het multi-factor authenticatieproces te voltooien, moeten specifieke referenties worden verstrekt of moet in elke fase aan bepaalde vereisten worden voldaan. Er zijn vijf factoren:

• kennis (wat je weet);
• inherence (wat je bent);
• bezit (wat je hebt);
• locatie;
• het tijdstip.

De meest effectieve oplossing gebruikt een eenmalig wachtwoord. Dit wachtwoord wordt gegenereerd door een applicatie die op de telefoon is geïnstalleerd of wordt per e-mail of sms naar de gebruiker gestuurd.

Na gebruik wordt dit wachtwoord onbruikbaar. Deze alomtegenwoordige technologie heeft de afgelopen jaren echter enkele zwakke punten vertoond: er bestaat een risico op het onderscheppen van wachtwoorden. Het gebruik van deze technologie is nog altijd complex, maar stimuleert de implementatie van nog robuustere oplossingen zonder wachtwoord.

Het push verzoek

Push-authorisatie is een eenvoudig alternatief voor de gebruiker en zorgt tegelijkertijd voor een hoog beveiligingsniveau. Wanneer u verbinding maakt met een dienst, wordt er een melding naar de telefoon van de gebruiker gestuurd. De authenticiteit van het verzoek wordt geverifieerd door de verbinding te valideren of te weigeren.

Deze authenticatiemethode wordt naast het gebruikelijke wachtwoord gebruikt en wordt steeds vaker ingezet. De eenvoud ervan heeft de acceptatie ervan vergemakkelijkt, maar het gebruik van het wachtwoord blijft bestaan.

Authenticatie met FIDO 2 token

Om het gebruik van wachtwoorden te elimineren en toch een maximaal beveiligingsniveau te garanderen, zijn fysieke tokens ontwikkeld. De FIDO 2-standaard, die door alle grote spelers op grote schaal wordt overgenomen, maakt het mogelijk om het gebruik van een wachtwoord te elimineren. Deze technologie is afhankelijk van een fysiek apparaat dat een USB-, Bluetooth- of NFC-sleutel kan zijn zonder batterij.

Deze technologie biedt end-to-end-beveiliging tussen de online service en het token. Het gebruik van het token op een gecompromitteerd apparaat blijft ook veilig. Dit systeem wordt gewoonlijk gekoppeld aan geavanceerde autorisatie om solide authenticatie met meerdere factoren te implementeren zonder het gebruik van wachtwoorden.

Vertel me wat uw gebruiker aan het doen is; ik vertel je of hij wordt bedreigd

De aanscherping van nieuwe voorschriften die de gevoeligheid van de gegevenstoegang verhogen, impliceert dat de gebruikerstoegang periodiek en in realtime moet worden beveiligd.

Met de centralisatie van gebruikerstoegang en de profielen van IAM-oplossingen is het nu mogelijk om verbindingen en gegevenstoegang te analyseren. Geografische en tijdelijke patronen van verbindingen, soorten applicaties waartoe toegang is verkregen of zelfs gebruikte apparaten zijn nieuwe signalen voor het detecteren van verdacht gebruikersgedrag. Volgens regels die op een context worden toegepast, maken deze signalen het mogelijk om toegangsvoorwaarden op te stellen voor een of meerdere applicaties volgens beperkingen die op een context worden toegepast.

Wie, hoe, waar, waarom, wanneer: certificeer gebruikerstoegang

Vandaag de dag wordt het beveiligen van gegevens steeds complexer, voornamelijk door de massale migratie van middelen naar de cloud en de vermenigvuldiging van methoden (terminals, locatie) en actoren (werknemers, serviceproviders, leveranciers, enz.) met toegang tot applicaties. In een context waarin alle bronnen toegankelijk zijn, hebben misverstanden soms voorrang op controle:

• Wie heft toegang tot welke data?
• Hoe heft hij toegang verkregen?
• Wanneer en voor welk doeleinde?
• Over welke periode van tijd?

Toegang tot hercertificering in de cloud is essentieel om de controle over gebruikersrechten in applicaties en data terug te krijgen. Deze toegangsbeoordelingen zijn zelfs nog beter toegankelijk in de cloud omdat ze voorwaardelijk kunnen worden ingeschakeld met dezelfde detectiesignalen die eerder zijn beschreven.

Ter conclusie

Cloud IAM groeit net zo snel als de services die het probeert te beveiligen. In dit segment concurreren twee soorten spelers. Pure-players die gespecialiseerd zijn in identiteitsfederatie en SSO zien het als een verlengstuk van hun dienstverlening. Cloudinfrastructuurproviders profiteren van de explosie van de cyberbeveiligingsmarkt om hun hostingservices aan te vullen met IAM-functies.

Bovendien is de verschuiving naar nieuwe cloudgebaseerde IAM-beveiligingstechnologieën nog laag; bedrijven hebben de neiging zich te beperken tot het inzetten van de noodzakelijke oplossingen voor het beheren van gebruikerstoegang. De integratie van nieuwe paradigma's zoals BYOI - Bring Your Own Identity - of FIDO-tokens wordt door de markt overgenomen.

Authors: Mehdi Mtimet, Tristan Martin and Emmanuel Balland, IAM business unit, Orange Cyberdefense France