Autorisatie (AuthZ)

Autorisatie, vaak ook aangeduid met het Engelse woord ‘authorization’ of de afkorting ‘AuthZ’, is de derde en afsluitende stap van het IAM-proces (Identity and Access Management). Het is een proces waarin iemands digitale rechten centraal staan, een cruciaal element in het veilig gebruiken van applicaties, netwerken, apparaten en digitale omgevingen. Maar wat betekent autorisatie precies? Hoe onderscheidt het zich van het concept van authenticatie? In dit artikel duiken we dieper in het begrip autorisatie, ontrafelen we de complexiteiten en belichten we de sleutelrol die het speelt in de wereld van cybersecurity.

Wat is autorisatie?

Een beheerder binnen een organisatie kan het recht hebben om:

Gebruikersaccounts aan te maken en te verwijderen
Systeeminstellingen te wijzigen
Toegangsrechten te beheren

Een gewone gebruiker kan bijvoorbeeld het recht hebben om:

Zijn of haar eigen accountinformatie te bekijken en te bewerken
Specifieke taken uit te voeren die relevant zijn voor hun functie

Autorisatie is dus een essentieel onderdeel van een effectief beveiligingsbeleid. Het zorgt ervoor dat alleen de juiste mensen toegang hebben tot de juiste informatie en middelen, en dat ze alleen de acties kunnen uitvoeren die nodig zijn voor hun specifieke rol. Dit helpt om de integriteit en vertrouwelijkheid van gevoelige informatie te beschermen en vermindert het risico op ongeautoriseerde toegang en misbruik.

Hoe reguleer je autorisatie?

Autorisatie is een precair proces. Zeker als je van doen hebt met bedrijfskritische of privacygevoelige informatie, wil je heel voorzichtig zijn met wie je toegang tot een bepaald bestand of een online-omgeving verleent. Daarom werken de meeste organisaties met een systeem van duidelijk gedefinieerde rechten. Er zijn verschillende manieren waarop organisaties dat autorisatiebeheer kunnen implementeren, afhankelijk van hun specifieke eisen en beleid. Daarbij doorloop je de volgende stappen:

Definiëren van rechtenbeleid: Dit is de eerste stap in het proces. Het houdt in dat je een beleid ontwikkelt aan de hand waarvan je rechten gaat verstrekken aan gebruikers binnen de organisatie.
Implementatie van toegangscontrolemodellen: Er zijn verschillende modellen die kunnen worden gebruikt om dat autorisatiebeleid in te voeren en reguleren. Je kunt natuurlijk per individuele gebruiker een lijst met autorisaties beheren, maar dat wordt bij grotere organisaties al snel onbeheersbaar. Dan is het bijvoorbeeld beter om iemand rechten te verstrekken aan de hand van iemands rol in de organisatie. We werken in de paragraaf hierna een aantal voorbeelden uit van zulke autorisatiemodellen.
Handhaving van autorisatiebeleid: Dit houdt in dat je ervoor zorgt dat de gedefinieerde rechten worden nageleefd. Dit kan worden bereikt door middel van regelmatige audits en het gebruik van geautomatiseerde tools om ongeautoriseerde toegangspogingen te detecteren en te blokkeren.
Voortdurende evaluatie en aanpassing: Autorisatiebeleid moet regelmatig worden herzien en bijgewerkt om te zorgen voor voortdurende effectiviteit en om te reageren op veranderende omstandigheden en bedreigingen.

Soorten autorisatie methodes

Hieronder verzamelden we wat voor beelden van soorten autorisatie methodieken:

Identity Based Access Control (IBAC) is een toegangsbeheermodel waarbij toegang tot systemen, data of resources wordt verleend op basis van de identiteit van de gebruiker. Toegang wordt daarbij verleend op basis van een persoonlijke lijst van toegekende permissies.
Role Based Access Control (RBAC): Hierbij worden gebruikers toegewezen aan specifieke rollen en wordt toegang verleend op basis van de rol van de gebruiker. Een gebruiker met de rol ‘beheerder’ kan bijvoorbeeld volledige toegang krijgen tot alle systemen, terwijl een gebruiker met de rol ‘gast’ alleen toegang krijgt tot bepaalde informatie.
Attribute Based Access Control (ABAC): Hierbij worden gebruikersattributen, zoals de afdeling of locatie van de gebruiker, gebruikt om de autorisatie van de gebruiker voor toegang tot specifieke bronnen te bepalen. Een gebruiker kan bijvoorbeeld toegang krijgen tot specifieke klantdata als hij op de afdeling ‘verkoop’ zit, maar niet als hij op de afdeling ‘financiën’ werkt.
Risk Based Conditional Access: Dit omvat het definiëren van specifieke regels die bepalen of een gebruiker toegang heeft tot bepaalde middelen. Een regel kan bijvoorbeeld bepalen dat gebruikers met de rol ‘manager’ toegang hebben tot bepaalde middelen, maar alleen vanaf het bedrijfsnetwerk en tussen 9 en 17 uur.

Binnen moderne organisaties wordt veel gebruik gemaakt van RBAC en ABAC. Ook in dit artikel gaan we er in de voorbeelden vanuit dat de rechten op basis van rollen worden verstrekt. In de praktijk wordt zo’n autorisatiemodel veelal vastgelegd als een autorisatiematrix binnen bijvoorbeeld je IAM omgeving.

Aandachtspunten bij je autorisatiebeheer

Op basis van functie, afdeling, rol, project of project binnen een organisatie bepaal je dus wie wat mag en kan. Sommige mensen zullen bestanden alleen mogen lezen, terwijl anderen diezelfde documenten ook mogen wijzigen. Een manager of directielid zal bijvoorbeeld meer rechten hebben dan iemand op de werkvloer. Er zijn wel een aantal aandachtspunten die je goed in het oog moet houden bij het opstellen en uitvoeren van een goed autorisatiebeleid:

Ken toegangsrechten per team, functie of rol en niet per individu toe. Rollen en toegangsrechten veranderen namelijk vaak als mensen een andere functie gaan bekleden binnen de organisatie.
Zorg ervoor dat alle systemen met persoonsgegevens of informatie over rollen of rechten dezelfde gegevensbronnen gebruiken of op zijn minst aan elkaar gekoppeld zijn.
Zorg ervoor dat medewerkers niet over meerdere accounts beschikken. Dit schept verwarring en vergroot de kans op fouten bij autorisatie.
In aanvulling op het vorige punt is het belangrijk dat er gebruik wordt gemaakt van individuele accounts en niet van groepsaccounts.
Zorg voor heldere, duidelijk vastgelegde procedures bij de instroom, doorstroom en uitstroom van medewerkers.

Door deze stappen te volgen, kun je een robuust en effectief autorisatieproces implementeren dat helpt om je organisatie te beschermen tegen ongeautoriseerde toegang en misbruik.

PAM en het principle of least privilege

Twee begrippen die een belangrijke rol spelen bij autorisatie zijn privileged access management (PAM) en het ‘principle of least privilege’. De eerste term verwijst naar de discipline die geprivilegieerde toegang tot de IT-infrastructuur en het netwerk helpt beveiligen, controleren, beheren en bewaken. Alleen een beperkte groep gebruikers beschikt over dergelijk verregaande rechten en heeft deze bovendien niet altijd nodig.

Het principle of least privilege houdt in dat elke gebruiker, elk programma en elk proces alleen de absolute minimumrechten mogen hebben die nodig zijn om hun taken uit te voeren. Dit betekent dat gebruikers alleen toegang mogen krijgen tot de middelen en functies die zij nodig hebben om hun werk te doen, en niet meer. Dit helpt het risico van zwakke plekken in de beveiliging te verminderen en onopzettelijke of kwaadwillige schade te voorkomen.

Het verschil tussen authenticatie en autorisatie

Authenticatie wordt nogal eens verward met autorisatie. De twee begrippen hebben zeker raakvlakken en maken allebei deel uit van het IAM-proces. Maar ze hebben toch echt een verschillende betekenis.

We kunnen het verschil tussen authenticatie en autorisatie duidelijk maken aan de hand van een analogie. Stel dat je op vakantie gaat en jouw buurman vraagt om je kat te voeren en de planten in je huis water te geven. Een sleutel die de buurman in staat stelt om je voordeur te openen, is de authenticatie en vergelijkbaar met de inloggegevens die gebruikers toegang geven tot een digitaal systeem of een beveiligde internetomgeving.

Autorisatie heeft betrekking op wat de buurman in je huis mag doen. Hij mag natuurlijk wel het kattenvoer uit de kast halen en water uit de kraan halen . Maar je hebt waarschijnlijk liever niet dat hij uitgebreid gaat rondneuzen in je archiefkast of inbox. Vertaald naar IAM betekent dit dat autorisatie bepaalt wat iemand precies met een bestand of applicatie en in een bepaald systeem mag doen.

Verschil tussen authenticatie en autorisatie: Een diepere duik

Laten we dit wat uitgebreider uitwerken. Wat betekenen beide processen binnen je toegangsbeheer en wat zijn de verschillen.

Authenticatie

Authenticatie wordt vaak aangeduid als ‘AuthN’, is de eerste stap in het toegangsbeheerproces. Het is het proces waarbij een systeem de identiteit van een gebruiker verifieert. Dit gebeurt meestal door middel van een gebruikersnaam en wachtwoord, maar kan ook andere methoden omvatten zoals biometrische gegevens, one-time passwords (OTP’s), of multi-factor authenticatie (MFA). Het doel van authenticatie is om te bevestigen dat de gebruiker is wie hij of zij beweert te zijn.

Autorisatie

Autorisatie is de volgende stap na authenticatie. Zoals we eerder hebben besproken, is autorisatie het proces dat bepaalt welke acties een geauthentiseerde gebruiker mag uitvoeren binnen een systeem, netwerk, apparaat of digitale omgeving. Het gaat om het toekennen van rechten en privileges aan individuele gebruikers of groepen gebruikers op basis van hun rol.

Het is belangrijk om te begrijpen dat authenticatie en autorisatie hand in hand gaan – je kunt geen effectieve autorisatie hebben zonder eerst een robuuste authenticatie. Echter, terwijl authenticatie gaat over het verifiëren van de identiteit van een gebruiker, gaat autorisatie over het beheren van hun toegang tot middelen nadat hun identiteit is geverifieerd.

Authenticatie vs autorisatie

Door het verschil tussen deze twee concepten te begrijpen, kun je een effectiever en veiliger toegangsbeheerbeleid implementeren. We hebben hieronder nog even kort de verschillen samengevat:

	Authenticatie	Autorisatie
Doel	Bevestiging krijgen over wie er toegang vraagt	Bepalen wat een gebruiker na toegang mag doen (bijv. gegevens inzien of wijzigen)
Methodes	Wachtwoorden, evt. aangevuld met Multi Factor Authenticatie. Of zonder wachtwoorden met bijv. biometrische herkenning.	Via instellingen in het systeem of applicatie, beheerd door bijv. een IAM platform
Beheer	Gebruikersnamen en verificatiegegevens worden geregistreerd en beheerd als accounts	Rechten worden vastgelegd en beheerd als permissies of autorisaties
Rol van de gebruiker	Bij het inloggen en sommige beheertaken (bijv. wachtwoord reset)	Geen actieve rol. Na inloggen worden autorisaties automatisch bepaald

Het belang van autorisatie in cybersecurity

In de hedendaagse digitale wereld is cybersecurity van het grootste belang. Met de toenemende hoeveelheid gevoelige informatie die online wordt opgeslagen en uitgewisseld, is het cruciaal om ervoor te zorgen dat deze informatie wordt beschermd tegen ongeautoriseerde toegang en misbruik. Hier speelt autorisatie een sleutelrol.

Autorisatie is een essentieel onderdeel van elk effectief cybersecuritybeleid. Het helpt om de integriteit en vertrouwelijkheid van gevoelige informatie te beschermen door te bepalen wie toegang heeft tot welke middelen en onder welke omstandigheden. Hier zijn enkele redenen waarom autorisatie zo belangrijk is in cybersecurity:

Bescherming van gevoelige informatie: Door te reguleren wie toegang heeft tot bepaalde informatie, helpt autorisatie om gevoelige gegevens te beschermen tegen ongeautoriseerde toegang en misbruik.
Beperking van de schade bij een beveiligingsincident: Als een aanvaller erin slaagt om toegang te krijgen tot een systeem, kan een goed geïmplementeerd autorisatiebeleid helpen om de schade te beperken door de toegang van de aanvaller tot andere delen van het systeem te beperken.
Voldoen aan wettelijke en regelgevende vereisten: Veel industrieën en jurisdicties hebben wetten en regelgeving die vereisen dat organisaties bepaalde beveiligingsmaatregelen nemen, waaronder effectieve autorisatie.
Vertrouwen van klanten en partners: Een sterk autorisatiebeleid kan helpen om het vertrouwen van klanten en partners te winnen door te laten zien dat je hun gegevens serieus neemt en stappen onderneemt om deze te beschermen.

Kortom, autorisatie is een cruciaal onderdeel van cybersecurity en speelt een sleutelrol in het beschermen van gevoelige informatie tegen ongeautoriseerde toegang en misbruik.

Gebruikscasussen van autorisatie

Autorisatie speelt een rol in een breed scala aan gebruiksscenario’s, vooral in omgevingen waar toegang tot informatie en middelen moet worden gecontroleerd en beheerd. Hier zijn enkele voorbeelden van gebruiksscenario’s voor autorisatie:

Bedrijfsnetwerken: In een bedrijfsnetwerk kan autorisatie worden gebruikt om te bepalen welke medewerkers toegang hebben tot welke middelen. Bijvoorbeeld, een medewerker van de HR-afdeling heeft mogelijk toegang nodig tot personeelsdossiers, terwijl een medewerker van de financiële afdeling toegang moet hebben tot financiële gegevens.
Cloudservices: Veel bedrijven maken gebruik van cloudservices voor zaken als gegevensopslag, samenwerking en softwareontwikkeling. Autorisatie kan worden gebruikt om te bepalen welke gebruikers toegang hebben tot welke services en data.
Mobiele apps: Mobiele apps maken vaak gebruik van autorisatie om te bepalen welke gebruikers toegang hebben tot welke functies en gegevens. Bijvoorbeeld, een bank-app kan verschillende autorisatieniveaus hebben voor klanten, bankmedewerkers en systeembeheerders.
E-commerce websites: Op een e-commerce website kan autorisatie worden gebruikt om te bepalen welke gebruikers toegang hebben tot welke functies. Bijvoorbeeld, een klant heeft mogelijk toegang nodig tot productpagina’s en het winkelwagentje, terwijl een sitebeheerder toegang moet hebben tot voorraadbeheer en orderverwerking.
Gezondheidszorgsystemen: In de gezondheidszorg kan autorisatie worden gebruikt om te bepalen welke zorgverleners toegang hebben tot welke patiëntgegevens. Dit is vooral belangrijk om de privacy van patiënten te beschermen en te voldoen aan wet- en regelgeving zoals de AVG.

Deze voorbeelden tonen aan hoe veelzijdig en essentieel autorisatie is in verschillende omgevingen en toepassingen.