Access control

Wat is access control?

Met access control bedoelen we methodes en technologieën om de digitale toegang tot applicaties, gegevens en andere IT middelen te beveiligen en beheren.

Access control is tegenwoordig essentieel om IT omgevingen veilig te houden. IT systemen zijn vandaag de dag meestal online beschikbaar; ook kun je toegang krijgen met allerlei verschillende devices en ook communiceren systemen rechtstreeks met elkaar. Daarom wil je bij iedere toegangspoging eerst weten wie er toegang probeert te krijgen en welke rechten die gebruiker heeft. Men hanteert een zogenaamde Zero Trust aanpak waarbij iedere sessie begint met zo’n controleslag. De eerste stap is de verificatie van de gebruiker of het systeem, de zogeheten authenticatie. Als die is geslaagd volgt daarna de autorisatie waarin wordt gecheckt welke toegangsrechten iemand heeft.

Overigens is access control niet alleen nodig bij digitale systemen. Ook fysieke access controle is belangrijk want je wilt voorkomen dat zomaar iedereen een pand kan in- en uitlopen. En ook die fysieke toegangsbeveiliging is een complexe aangelegenheid. Een stagiair wil je bijvoorbeeld alleen toegang geven tot algemene ruimtes, terwijl je een IT-medewerker ook toegang wil geven tot de server ruimte. Er zijn dus behoorlijk wat overeenkomsten tussen fysieke en digitale toegangscontrole en idealiter worden deze toegangssystemen steeds meer synchroon gehouden. Dus een medewerkers van de financiële afdeling moet toegang krijgen tot de financiële systemen, maar diezelfde medewerker moet ook automatisch een pasje krijgen met toegang tot de financiële afdeling.

Access control security

Hoe werkt access security voor gebruikers? De meeste gangbare methode is het inloggen met behulp van een gebruikersnaam en wachtwoord. Nu heeft die methode wel nadelen. Een wachtwoord is om allerlei redenen kwetsbaar en het is vooral vervelend om steeds die gegevens te moeten intypen. Die nadelen kunnen we tegenwoordig wel steeds beter oplossen:

• • SSO: Single Sign-On is een technische oplossing die zorgt dat iemand met één set inloggegevens toegang krijgt tot meerdere applicaties en gegevens. Dit maakt het inloggen met gebruikersnaam en wachtwoord veel eenvoudiger. Je hoeft niet steeds opnieuw in te loggen.
  • MFA: Bij Multi-Factor Authenticatie wordt naast inloggen met een wachtwoord een extra verificatiecontrole uitgevoerd. Je moet bijvoorbeeld een extra code invoeren die je via je smartphone ontvangt. Je doet dus niet alleen authenticatie met iets dat je wéét (je wachtwoord), maar ook met iets dat je bezít (je smartphone). Dat maakt het veel veiliger.

 

In de voorbeelden hierboven hebben we het nog steeds over wachtwoorden en ook bij MFA via je smartphone moet je vaak nog een code intypen. Als alternatief ondersteunen steeds meer organisaties en diensten ook fysieke beveiligingsapparaten zoals bijvoorbeeld de YubiKey. Met zo’n USB device (NFC toegang is ook mogelijk) kun je direct inloggen zonder gebruikersnaam en wachtwoord. Sommige devices bevatten ook een vingerafdruklezer om het nog veiliger te maken.

Verschillende soorten access control methoden

Er zijn veel verschillende access control methodes. Om twee uitersten te noemen:

• • • Bij de zogeheten Mandatory Access Control (MAC) methode wordt centraal bepaald – aan de hand van strikte criteria – wie er toegang krijgen tot welke applicaties en data. Vaak worden hiervoor classificaties gebruikt zoals vertrouwelijk, geheim en topgeheim. Alleen gebruikers met de juiste ‘clearance’ krijgen toegang. Dit wordt bijvoorbeeld gebruikt in militaire omgevingen.
    • Tegenovergesteld is DAC (Discretionary Access Control). Daarin bepaalt de eigenaar van een document zelf de toegangs- en bewerkingsrechten. Je vindt dit bijvoorbeeld in Sharepoint waarin je als gebruiker zelf kan aangeven wie er toegang krijgt tot een specifiek bestand. Ook kun je als eigenaar instellen of anderen het document alleen mogen inzien of het ook bewerken.

Zulke methodes werken prima maar zijn tegelijkertijd te strikt (MAC) of juist te vrij (DAC) om er binnen organisaties alle toegangsrechten mee te kunnen beheren. En met bijvoorbeeld een Access Control List (ACL) kun je voor iedere gebruiker (of ‘access control entry’) alle toegangsrechten individueel beheren maar dat wordt al heel snel onbeheersbaar. Daarom gebruiken we in Identity & Access Management systemen vaak Role Based Access Control (RBAC) en Attribute Based Access Control (ABAC). Ze geven veel mogelijkheden om de toegangsrechten per medewerker te beheren zonder dat dit onbeheersbaar wordt. We gaan hier later in het artikel op in.

Noot: MAC is ook de afkorting van Media Access Control. Het zogeheten MAC adres is een uniek identificatienummer waarmee ieder apparaat binnen een netwerk – zoals computers en printers – apart bereikbaar is. Het is mogelijk applicaties of data per MAC adres te blokkeren of juist mogelijk te maken. Dit heeft MAC filtering.

Voorbeelden van specifieke toegangsbeheermodellen:

RBAC en ABAC worden veel toegepast in organisaties maar er zijn ook nog veel andere access control methodes, met ieder eigen karakteristieken, zoals:

• • • PBAC (Policy-Based Access Control), waarbij men aan de hand van een set beleidsregels bepaalt wie onder welke voorwaarden toegang krijgt tot applicaties en gegevens.
    • HBAC (History-Based Access Control) is een methode waarbij de toegang mede wordt bepaald door eerdere handelingen. Men mag bijvoorbeeld bepaalde financiële transacties uitvoeren omdat de gebruiker vergelijkbare transacties al eerder heeft uitgevoerd.
    • Bij ReBAC (Relationship-Based Access Control) hou je rekening met de relaties tussen onderlinge gebruikers. Dit wordt bijvoorbeeld gebruikt in social media toepassingen waarin je gegevens van vrienden kan bekijken, of de vrienden van vrienden.
    • RAdAC (Risk-Adaptive Access Control) houdt bij het toegang verlenen rekening met actuele dreigingsrisico’s. Dus bij een verhoogd risiconiveau kunnen er extra beperkingen gelden of wordt er meer gebruik gemaakt van MFA.
    • TAC (Temporal Access Control) houdt rekening met het tijdstip waarin iemand toegang probeert te krijgen. Gedurende kantoortijden krijgen mensen bijvoorbeeld standaard toegang, maar buiten kantoortijden niet of alleen na een extra MFA verificatie.
    • CBAC (Context-Based Access Control) is een aanpak waarbij allerlei contextfactoren kunnen worden gebruikt voor je toegangsbeveiliging. Dat kan de locatie zijn waar iemand aan het werk is, maar ook het type netwerk (wifi of mobile data) of het gebruikte device.
    • Bij GBAC (Graph-Based Access Control) wordt niet alleen iemands rol gebruikt om toegangsrechten te bepalen, maar bijvoorbeeld ook informatie over gezamenlijke projecten waar mensen aan werken of hiërarchische relaties tussen medewerkers.
    • In het verlengde daarvan is er ook OrBAC (Organization-Based Access Control) waarbij de uitgifte van toegangsrechten in complexe organisaties wordt afgeleid van iemands organisatorisch rol zoals directeur, afdelingsmanager, teammanager etc.
    • Bij CapBAC (Capability-Based Access Control) tenslotte krijgen gebruikers en systemen ‘capabilities’ toegewezen om handelingen te mogen uitvoeren. Bijvoorbeeld in smart building en IoT (Internet of Things) netwerken waarin apparaten onderling gegevens uitwisselen en elkaar opdrachten geven kunnen geven.

Het zal je opvallen dat er veel overlap bestaat tussen verschillende access control benamingen en omschrijvingen. Zo kun je TAC – waar je rekening houdt met het tijdsstip – ook zien als een onderdeel van CBAC waar ook veel andere contextfactoren kunnen worden gebruikt. Dit verschillende toegangsmethodes en definities zijn meestal ook niet in beton gegoten en in de praktijk worden vaak combinaties of mengvormen gebruikt.

Voorbeelden van access control tools

In de vorige paragraaf hadden we het over verschillende access control methodes om de toegang tot systemen en gegevens te organiseren. Variërend van toegangsrechten an de hand van iemands rol in het bedrijf tot en met toegangsrechten in social media apps op basis van onderlinge relaties van gebruikers. Die mechanismes gebruiken ‘onder de motorkop’ vaak verschillende technische access control tools.

Een voorbeeld zijn security labels. Dit zijn datatags met informatie over het vereiste classificatieniveau (vertrouwelijk, geheim etc.) die worden toegevoegd aan gegevens en applicaties. Hiermee kan Mandatory Access Control (MAC) technisch worden ingebouwd. En in Internet of Things omgevingen worden vaak capability tokens gebruikt om de rechten van de devices op afstand te beheren. Om Policy-Based Access Control te implementeren, gebruikt men vaak Policy Decision Points (PDP) en Policy Enforcement Points (PEP). En om de onderlinge toegang tussen web-services te beheren, wordt vaak gebruik gemaakt van de zogenaamde Access Control Allow Origin parameter binnen het HTTP protocol.

Overigens gaat het in het kader van toegangsbeveiliging ook vaak over encryptie technologie, maar strikt gezien zijn dat twee verschillende zaken. Echter, voor de opslag van bijvoorbeeld wachtwoorden (als je een wachtwoordmanager gebruikt) en het verzenden van login gegevens via netwerken is encryptie een cruciale schakel. Sowieso schrijven beveiligingsrichtlijnen vaak voor dat zowel Access Control als Encryptie altijd moet worden toegepast.

De rol van IAM bij jouw access control

Hoe ondersteunt IAM het access control in jouw organisatie? Vandaag de dag gebruiken veel organisaties de Identity Provider oplossing die integraal onderdeel is van bijvoorbeeld Microsoft 365 (AD of Entra ID). Zo’n Identity Provider verzorgt de primaire authenticatie van gebruikers en geeft vervolgens met behulp van SSO toegang tot de relevante applicaties en gegevens.

Toch zijn we er dan nog niet. Want in een organisatie met soms honderden of zelfs duizenden gebruikers is het een uitdaging om al die accounts en toegangsrechten ook foutloos en automatisch te verstrekken en beheren. Iedere medewerker heeft daarbij andere verantwoordelijkheden en dus ook andere applicaties en data nodig. Ook wisselen medewerkers regelmatig van functie. Om dat probleemloos te beheren, heb je een moderne Identity en Access Management oplossing nodig zoals HelloID. En het succes van zo’n IAM oplossing valt of staat met de access control methodes die zo’n platform ondersteunt.

Zo kan een heel eenvoudige IAM oplossing een access control matrix of autorisatiematrix bevatten waarin je enkel per individuele gebruiker de rechten registreert. Voor grotere en complexere organisaties werkt dat echter niet en moet je een IAM oplossing gebruiken die RBAC of ABAC ondersteunt:

• • • Bij Role Based Access Control (RBAC) organiseer je je toegangsrechten op basis van de rollen of functies die een medewerker vervult binnen de organisatie. Dus een verkoper krijgt andere toegangsrechten dan een financieel medewerker. En wijzigt iemands rol, dan worden ook direct de rechten aangepast.
    • Attribute Based Access Control (ABAC) lijkt op RBAC maar is nog veel krachtiger omdat meer eigenschappen (attributen) van de gebruikers, applicaties en data kunnen worden gebruikt. Toegangsrechten worden bij ABAC niet alleen bepaald door iemands rol. Maar bijvoorbeeld ook door specifieke competenties die je hebt, de afdeling waar je werkt of je werklocatie.

   

HelloID maakt dan ook gebruik van ABAC principes en omdat we met zogeheten business rules werken kunnen we de rechten nóg flexibeler instellen. Je kunt de rechtenuitgifte bijvoorbeeld tijdsafhankelijk maken; dan kun je een account en de toegangsrechten voor een nieuwe medewerker al automatisch laten aanmaken in het systeem maar instellen dat deze exact op de dag van de onboarding worden geactiveerd. Of iemand krijgt standaard een basale set met rechten en pas na het aanvinken van gebruikersvoorwaarden krijgt hij of zij volledige toegang. Van de verschillende access control methodes die we hierboven hebben beschreven, gebruikt HelloID een relevante combinatie van mogelijkheden die nodig is voor moderne, professionele en wendbare organisaties.