(Voorjaars)schoonmaak van je autorisaties
Af en toe moet je even stevig de bezem halen door onze accounts en autorisaties. Want zelfs als je het rechtenbeheer zoveel mogelijk hebt geautomatiseerd, kan er gaandeweg toch vervuiling ontstaan. In deze blog gaan we dieper in op die vervuiling, de noodzaak van zo’n periodieke opschoonslag, en hoe HelloID je daarbij helpt.
Waarom autorisaties opschonen?
We weten dat onbeheerde accounts, en accounts met te veel rechten, belangrijke veroorzakers zijn van datalekken en andere beveiligingsproblemen. Door zulke vervuiling tijdig op te ruimen, voorkom je dus heel veel toekomstige problemen. Los daarvan bespaar je op de kosten, want voor alle onnodige licenties betaal je natuurlijk wel gewoon. Dus wil je je IT-omgeving veilig houden en scherp letten op de kosten? Plan dan regelmatig een opschoonactie in. En dan is een voorjaarsschoonmaak natuurlijk het ideale startpunt.
Informatiebeveiligingsnormen zoals ISO 27001, en daarvan afgeleide normen als de BIO of NEN 7510, eisen ook dat je een zogeheten Plan-Do-Check-Act cyclus organiseert. Daarmee evalueer en verbeter je regulier de informatiebeveiliging. Een periodieke veegactie is hiervan een logisch onderdeel.
Hoe ontstaat vervuiling van autorisaties?
Hoe ontstaat vervuiling binnen je account- en rechtenbeheer eigenlijk? Het idee achter een IAM was toch juist dat het helpt geen fouten te maken? We leggen dit uit aan de hand van de HelloID functionaliteit.
Provisioning
Het streven is binnen HelloID de accounts en rechten zoveel mogelijk automatisch te verstrekken. Dat gebeurt aan de hand van zogeheten medewerkerattributen, zoals iemands functie, afdeling, opleiding etc. Die afhankelijkheden leggen we vast in business rules. Mensen krijgen hiermee automatisch de juiste rechten bij onboarding, en rechten worden ook automatisch aangepast als iemand naderhand bijvoorbeeld een andere functie krijgt, of verhuist van afdeling. Bovendien worden accounts automatisch geblokkeerd, als iemand de organisatie weer verlaat.
Tegelijk kunnen er dingen veranderen binnen de bedrijfsvoering. De taken en verantwoordelijkheden bij een functie kunnen veranderen, en dan hebben de betreffende medewerkers vaak andere rechten nodig. Of de organisatiestructuur wordt uitgebreid met nieuwe functies of afdelingen. Als zulke veranderingen niet één-op-één worden verwerkt in het rollenmodel, kunnen er onregelmatigheden ontstaan. Dat zal vaak pragmatisch worden opgelost door bijvoorbeeld ontbrekende rechten ‘even’ handmatig toe te voegen. Tegelijk zullen dan achterhaalde rechten ook nog actief blijven. Zo ontstaat vervuiling door een niet up-to-date rollenmodel.
Individuele gebruikersverzoeken
Je kunt sowieso niet alle rechten beheren aan de hand van business rules. Er zijn altijd individuele uitzonderingen, en die kunnen we binnen HelloID beheren met behulp van Service Automation. Met die module kun je schermen creëren voor specifieke beheeracties – zoals het aanmaken van mailboxen – en er is een self-serviceportaal. Belangrijk daarbij is dat de beoordeling van individuele gebruikersverzoeken zorgvuldig gebeurt, via daarvoor specifiek geconfigureerde workflows. En dat rechten niet voor onbeperkte tijd worden verstrekt. Worden rechten echter in de praktijk (te) eenvoudig goedgekeurd, of is er weinig toezicht op de inmiddels verstrekte rechten? Dan bouw je gaandeweg rechten op die feitelijk niet meer nodig zijn. Ook zo ontstaat dus vervuiling.
Onbeheerde rechten
Uitgangspunt hierboven is dat alle accounts en rechten op enige manier zijn terug te voeren tot een business rule of een Service Automation handeling binnen je IAM-platform. Dat is de theorie, maar in de praktijk kan het zijn dat beheerders toch nog handmatig accounts aanmaken en rechten toevoegen.
Ze maken bijvoorbeeld eigen serviceaccounts aan, gebruiken accounts om iets te kunnen testen, of er wordt op verzoek ‘even snel’ een gebruikersaccount aangemaakt, omdat er haast is. Vaak zijn er hele begrijpelijke redenen voor, maar onder de streep bouw je vervuiling in, want de betreffende instellingen vind je nergens meer terug binnen je IAM omgeving. Er ontstaan ook zogeheten ‘orphaned accounts’. De gebruiker heeft de organisatie inmiddels verlaten, maar het account is nog aanwezig.
In combinatie met de historie uit de ‘pre-IAM tijd’, heb je zo vaak nog een behoorlijk aantal ‘onbeheerde accounts’ binnen je systemen. Sommige daarvan zijn nog steeds relevant en wil je het liefst opnemen binnen je reguliere IAM-beheer. Anderen zijn volledig achterhaald en zijn pure vervuiling die je wilt opruimen.
Signalen dat “jouw IAM” toe is aan een schoonmaak
Kortom, er zijn redenen genoeg om periodiek een opschoonslag in te plannen. Maar los daarvan is het goed om ook tussentijds al alert te zijn op signalen die waarschuwen voor mogelijke vervuiling binnen je systemen. We noemen er een paar.
Te veel rechten. Tijdens je beheerwerkzaamheden krijg je bijvoorbeeld te maken met gebruikers die meer rechten hebben dan ze voor hun normale werk nodig hebben. En dat zonder logische verklaring, behalve dat die rechten ooit even nodig zijn geweest.
Conflicterende rechten. Of gebruikers beschikken zelfs over conflicterende rechten. Iemand mag bijvoorbeeld facturen goedkeuren én betalen. Zo voldoe je niet aan de normale functiescheiding om misbruik en fraude te voorkomen. Overigens kun je dit binnen HelloID proactief voorkomen met de ‘Toxic Policies’-functionaliteit.
Overlappende rechten. Een ander voorbeeld van conflicterende rechten, zijn gebruikers met overlappende licenties. Bijvoorbeeld een Microsoft E1 én E3 licentie. De E1 voegt in dat geval niets toe, maar je betaalt die wel.
Weinig controle. Individuele gebruikersverzoeken kunnen ook té makkelijk worden geaccepteerd. Je herkent dit in rapportages aan relatief hoge ‘approval rates’. Beheerders worden ook vaak argwanend als gebruikers zelden klagen over hun toegangsrechten.
Sporadisch gebruik. Het is een waarschuwing als je in systemen rechten aantreft die relatief weinig worden gebruikt. Dit zie je vaak als rechten zijn ‘meegekregen’ uit een eerdere rol. Mensen leveren rechten zelden spontaan weer in, het kan immers ‘altijd handig’ zijn.
Te veel maatwerk. Het kan sowieso een signaal zijn als erg veel rechten individueel zijn verstrekt, dus buiten je rollenmodel om. In onze ervaring kan meestal zo’n 80% van alle rechten worden verstrekt via business rules. Het restant doe je bijvoorbeeld via Service Automation. Ligt de verhouding duidelijk anders, dan kan dat een waarschuwing zijn.
Afhankelijk van de eigen bedrijfsvoering en het IT-beheer zijn er in de praktijk vast nog andere signalen, en beheerders hebben daar vaak ook een uitstekend ‘fingerspitzengefühl’ voor ontwikkeld. En we weten natuurlijk dat als de rechten van een systeem voorheen nog (deels) handmatig werden beheerd, er meestal nog een enorme historie is ingebouwd, die hoe dan ook goed moet worden doorgespit en opgeruimd.
Hoe ziet het proces van opschonen eruit?
Een platform als HelloID vergemakkelijkt je rechtenschoonmaak al enorm dankzij alle beschikbare overzichten, logs en rapportages. Tegelijk moet je voor zo’n opruimslag vaak vooral gegevens onderling kunnen vergelijken en verbanden herkennen. Daarvoor zijn extra hulpmiddelen eigenlijk onontbeerlijk. We hebben daarom binnen de Governance module meerdere handige tools beschikbaar. Aan de hand daarvan kun je een aantal logische opruimstappen eenvoudig organiseren:
Scope en frequentie bepalen
Bepaal allereerst welke systemen de meeste prioriteit hebben. De instellingen binnen de Active Directory zijn normaliter veel gevoeliger voor misbruik dan die op – noem eens wat - een e-learning platform. Begin dus met die prioriteiten en daarbinnen met de belangrijkste vervuiling. Als we hiervoor de opruimroutine onder controle hebben, kunnen we bij opvolgende opschoonslagen steeds meer systemen binnen de scope nemen. En afhankelijk van hoeveel je aantreft, en de dynamiek binnen je IT-landschap kun je nu ook inschatten hoe vaak je zo’n opschoonslag moet herhalen.
Opschonen van incorrecte en onbeheerde accounts
Met de Reconciliation tool kun je inconsistenties herkennen tussen instellingen zoals die met business rules verstrekt zouden móeten zijn, en de werkelijke situatie. Ofwel, je vergelijkt de ‘soll’ binnen je HelloID Provisioning met de ‘ist’ in de aangesloten doelsystemen. Je kunt zo op hoofdlijnen twee type mismatches herkennen:
Accounts en toegangsrechten die binnen de IAM-omgeving staan geregistreerd ‘als beheerd’, maar om een of andere reden niet goed zijn doorgevoerd in de betreffende doelsystemen. In dat geval kun je de gegevens meestal alsnog laten provisionen.
Vaker gaat het echter om accounts en toegangsrechten die wél actief zijn in specifieke doelsystemen, maar niet zijn geprovisioned vanuit je IAM-omgeving.
Met name bij die tweede categorie zit de potentiële vervuiling. Doel is overigens niet om alle uitzonderingen uit te bannen, maar wel om deze te valideren en waar nodig te corrigeren.
Sommige verschillen kunnen het gevolg zijn van accounts en rechten die individueel zijn verstrekt via Service Automation. Die zijn doelbewust aangemaakt, maar hun status moet wel regelmatig worden geverifieerd. Hierop gaan we in de volgende opruimstap verder in.
De risico’s zitten vooral in de instellingen die rechtstreeks in een doelsysteem zijn aangemaakt. We gaven al eerder aan dat hiervoor soms een goede reden is, die bovendien nog steeds geldt. We kunnen zo’n recht dan tijdelijk als exceptie markeren, en deze als vervolgstap bijvoorbeeld later wél in beheer nemen. Maar is er echt sprake van vervuiling, dan kan deze worden opgeruimd.
Controleren van uitzonderingen
Individuele toegangsrechten kunnen we dus beheren via de Service Automation module. Hierbij is wel belangrijk dat we zicht houden op deze individuele rechten. Je wilt niet dat gebruikers de rechten onbeperkt kunnen houden. Dit kan op meerdere manieren worden geregeld:
Idealiter worden rechten zoveel mogelijk tijdelijk uitgegeven. Een project heeft bijvoorbeeld in het algemeen een afgebakende periode, dus dan zijn ook de rechten niet onbeperkt nodig. Met HelloID kun je ze dan ook tijdelijk verstrekken.
Voor rechten die je wél voor een onbepaalde periode wilt verstrekken, is er de mogelijkheid periodiek na te gaan of deze nog relevant zijn. Hiervoor bieden we de Recertification feature. Daarmee kun je een reguliere herbeoordeling automatisch laten inplannen en uitvoeren.
Onze periodieke schoonmaak is ook hét moment om na te gaan of alle zaken rondom de individuele uitzonderingen nog goed zijn georganiseerd.
Opschonen van je rollenmodel
We noemden al dat er ook vervuiling kan ontstaan, omdat business rules niet meer volledig in lijn zijn met de werkelijke bedrijfsvoering. Er zijn bijvoorbeeld nieuwe functies in gebruik genomen, mensen hebben voor hun taken andere rechten nodig etc. Daarom is het belangrijk om regelmatig je business rules te evalueren. Moeten regels worden aangepast of zijn er aanvullende regels nodig?
Een krachtig gereedschap hierbij is de periodieke Role Mining-rapportage binnen de Governance module. Die analyse helpt je onder andere rechten te herkennen, die nu nog individueel zijn beheerd, maar die je soms handiger via een business rule kunt managen. Heb je bijvoorbeeld een team van 10 collega’s en is een toegangsrecht individueel verstrekt aan 7 teamleden? Dan is het goed om te checken of eigenlijk niet iedereen in het team dit recht zou moeten krijgen. Ook herken je ‘vreemde’ uitzonderingen. Een recht is bijvoorbeeld alleen in gebruik binnen een bepaalde afdeling, maar één persoon in een andere afdeling heeft dit recht ook. Dat is wellicht niet de bedoeling. Role mining komt met zulke en andere suggesties, en hiermee kun je een rollenmodel steeds verbeteren en up-to-date houden.
Periodiek inplannen
Je kunt de verschillende stappen, zoals Reconciliation, Recertification en Role mining periodiek inplannen met behulp van HelloID. Wat voor jou de gewenste frequentie is, kun je uiteraard zelf bepalen.
Samen je autorisaties opruimen?
Meer weten hoe je de Governance-module kunt inzetten voor het opschonen van je rechtenbeheer? Bekijk hier de functionaliteit en vraag een demo aan.
Waarom is een schoonmaak van autorisatie belangrijk?
Het is belangrijk om regelmatig te checken of alle rechten binnen systemen beheerd zijn, en gebruikers niet onnodig veel rechten hebben. Hiermee voorkom je potentiële cyberincidenten en ook bespaar je op licentiekosten.
Hoe vaak moet je een IAM-schoonmaak doen?
Dit hangt af van de complexiteit en dynamiek van je rechtenbeheer, en de risico’s. Jaarlijks lijkt het absolute minimum, veel organisaties doen het vaker. Bijvoorbeeld halfjaarlijks of per kwartaal.
Wat is het grootste risico van verouderde autorisaties?
Als gebruikers onnodige rechten hebben verzameld, hebben hackers automatisch veel meer mogelijkheden als ze een account binnendringen. Des te minder rechten iemand heeft, des te minder is de impact van een inbraak.
Geschreven door:
KaHo Man
KaHo, met 18 jaar ervaring in consultancy, is implementatie consultant in Identity & Access Management (IAM) bij Tools4ever. Met een solide basis in Hogere Informatica, is hij uitgegroeid tot een gerespecteerde mentor en trainer, die zijn kennis deelt met collega's en partners. KaHo's expertise strekt zich ook uit tot het geven van HelloID sales demo’s en technische intakes, uitvoeren van health checks, en het overzien van project reviews.