Één digitale identiteit werkt!

De beste gebruikservaring

Waar wij in geloven: de beste gebruikservaring biedt je door jouw medewerkers van één digitale identiteit te voorzien. Het hebben van zo’n identiteit is één, het houden is wat anders. Alleen door er een cloud-gebaseerde beveiligingslaag overheen te leggen, kun je die identiteit ook afdoende beschermen. Onderstaand overzicht toont de belangrijkste elementen binnen die beveiligingslaag.

Weten hoe zo’n beschermde identiteit er volgens ons dan uit ziet? Lees dan vooral verder.

  Het begint allemaal met het zogeheten ‘onboarding’ proces; de workflow waarmee nieuwe medewerkers bekend worden gemaakt in alle relevante systemen. Met behulp van Microsoft Identity Manager (MIM) standaardiseren en automatiseren we dit proces. Dit is het niet het enige proces waarmee we aan de slag gaan: hetzelfde doen we bijvoorbeeld ook voor het ‘offboarding‘ proces, dat medewerkers weer uit de systemen kan halen. Door energie in dergelijke workflows te steken, zorgen we voor een voorspelbare en beheersbare levenscyclus van digitale identiteiten. De bijbehorende self service portal stelt je bovendien in staat om het gebruik van die workflows te delegeren aan daartoe bevoegde medewerkers, zonder dat je daarmee inlevert op grip of overzicht. Om MIM als centrale HRM regelneef in te kunnen zetten, dien je er wel één of meerdere databronnen aan vast te knopen. Denk daarbij aan de huidige Active Directory-omgeving, of een veelgebruikt HRM-pakket. Voordat we zo’n databron daadwerkelijk koppelen, checken we natuurlijk wel of deze geschikt én gezond is.

    Vervolgens koppelen we MIM aan het nieuwe thuishonk voor die digitale identiteiten: Azure Active Directory (AAD). Zijn gebruikers eenmaal opgevoerd door MIM, dan voorziet Azure AD in het bijbehorende identiteits- en toegangsbeheer voor álle applicaties. Dat kunnen dus cloudapplicaties als Office 365 of Salesforce zijn, maar ook interne (on-premises) applicaties. Toevoegen (of intrekken) van de bijbehorende licenties maakt ook onderdeel uit van de workflow. Zo zorgen we ervoor dat gebruikers vanaf het eerste moment toegang hebben tot alle noodzakelijke functionaliteiten.

    Vandaag ‘onboarden’ we jullie nieuwste aanwinst: Pieter. Een paar keer per jaar is hij voor zijn werk in Amerika te vinden. De rest van zijn tijd werkt hij vanuit jullie nieuwe kantoor in Amsterdam. Op basis van zijn profiel, krijgt Pieter meerdere licenties toegewezen, te beginnen met Office 365, waardoor hij toegang krijgt tot de belangrijkste productiviteit tools. Een andere licentie ontsluit de mogelijkheden van Enterprise Mobility + Security (EM+S).

  Ook al is dit nog maar zijn eerste werkdag, toch komt Pieter nu al achter de meerwaarde van zijn Azure AD identiteit. Nadat hij zijn gloednieuwe laptop heeft opgestart, wordt hij namelijk om zijn Azure AD inloggegevens gevraagd, om die vervolgens te moeten bevestigen met behulp van Azure Multi-Factor Authentication (MFA). Eenmaal gevalideerd, wordt zijn laptop geregistreerd in Azure AD én Microsoft Intune. Die laatste actie zorgt er ook meteen voor dat de laatste Office applicaties worden geïnstalleerd, en dat zijn werkplek wordt voorzien van een adequaat beveiligingsbeleid.

  Pieter vervolgt zijn dag door enkele introductiefilmpjes te bekijken vanaf de medewerkersportal. Dankzij dat registratieproces van zojuist is single sign-on (SSO) ook meteen geregeld, waardoor hij die filmpjes meteen kan bekijken zonder eerst zelf te hoeven inloggen. Datzelfde fenomeen doet zich ook voor bij het openen van Salesforce, dat daarmee een mooi voorbeeld is van applicatie-integratie in Azure AD.   De volgende morgen besluit Pieter om iets later naar kantoor toe te gaan. Hij wil eerst die filmpjes afkijken. Bij het openen van de portal wordt hem dit keer om een MFA verificatie gevraagd, aangezien hij inlogt vanaf een nu nog onbekende, en daarmee niet vertrouwde, locatie. Oftewel: verandering van context heeft een ander risicoprofiel tot resultaat. Dit principe van ‘risk-based’ gaat zo nog vaker terugkomen, en maakt het mogelijk om beveiligingsmaatregelen aan te bieden die passen bij de situatie. Van dichtgetimmerd naar ‘net voldoende’ dus.

Stel nu dat er diverse mislukte inlogpogingen ontstaan, vanuit een voor Pieter atypische locatie. In zo’n geval wordt Azure Identity Protection (IdP) actief, met uiteindelijk een verplichte MFA validatie of zelfs een geblokkeerd account als gevolg. Voor de duidelijkheid: in alle overige gevallen kan Pieter gewoon zelf zijn wachtwoord wijzigen met behulp van de Self Service Password Reset (SSPR) functionaliteit. Een andere invalshoek gaat over de toegang tot zakelijke bronnen. Door de inzet van Conditional Access kun je hier in sommige gevallen extra toelatingseisen voor gaan afdwingen. Bijvoorbeeld door de toegang tot gevoelige onderzoeksdata te beperken tot bepaalde gebruikers, al dan niet in combinatie met een bepaald type werkplek, locatie of gedetecteerd risico. De bijbehorende mindset: “informatie in altijd benaderbaar, tenzij …”. Die 'tenzij' geldt bijvoorbeeld in het geval dat Pieter koffie drinkt bij de Starbucks, en daar via het publieke WiFi zijn eigen Android tablet wil gebruiken om bij die informatie te kunnen komen. Had hij zijn beheerde laptop gebruikt, dan was dit een heel ander verhaal geweest.

Door focus te gaan leggen op het (beschermd) aanbieden van data, zorg je er juist voor dat informatie kan blijven stromen. Daarmee haal je uiteindelijk ook de behoefte weg om als ‘tijdelijke work-around’ lokaal data op te slaan, of uit wanhoop dan maar te delen via Dropbox of WeTransfer. Om data te kunnen beschermen passen we Mobile Application Management (MAM) toe, door Microsoft Intune App Protection en Windows Information Protection te activeren. Hiermee kun je restricties opleggen aan het gebruik van zakelijke data, zonder dat je daarmee ook aan de privé-data van jouw medewerkers hoeft te komen. Voor Pieter betekent dit dat hij weliswaar zijn eigen tablet kan gebruiken om zakelijke mails te lezen, maar dat hij vervolgens uit die mails geen teksten of bijlages kan delen met andere, onbeheerde apps.

Soms is het echter niet genoeg om alleen apps en services te configureren. Soms is het ook van essentieel belang dat de data zelf te allen tijde beschermd blijft, ongeacht waar die gebruikt of opgeslagen wordt. In zulke situaties kun je vertrouwen op Azure Information Protection (AIP). Met behulp van AIP kan Pieter vertrouwelijke onderzoeksdata labelen als…eh, vertrouwelijk. En dankzij dit label wordt het document ook meteen voorzien van gebruiksrechten, ookwel Information Rights Management (IRM) geheten. Afhankelijk van de bijbehorende instellingen betekent dit dat het document niet geprint of doorgestuurd kan worden. En omdat de inhoud van het document versleuteld wordt, kan het ook niet zomaar worden ingezien. Onze mening: Iedereen kan documenten labelen, maar alleen écht gevoelige informatie bescherm je met aanvullende IRM-maatregelen.

  Pieter heeft zijn onderzoeksdata voorzien van het juiste label, maar hij zal ongetwijfeld een keer een vergissing maken. Niets menselijks is hem vreemd, onze Pieter. Om hem in zo’n geval een handje te helpen, configureren we Data Loss Prevention (DLP) voor Office 365. Door dit mechanisme slim naar bepaalde patronen te laten zoeken, ontvangt Pieter bij eventuele vergissingen een seintje. En mocht in sommige gevallen preventief blokkeren wenselijker zijn dan alleen maar informeren, dan kan dat natuurlijk ook.

  Maar wat nu als Pieter besluit om die onderzoeksdata direct in zijn eigen Dropbox te bewaren? Dan komen we dat te weten dankzij Microsoft Cloud App Security (MCAS). MCAS luistert naar de Nederlandse term ‘cloud app security broker’: een slimme regisseur die risico-beperkende maatregelen toevoegt aan jouw cloud-landschap. In Pieters geval is MCAS gekoppeld aan al jullie primaire cloud services, waaronder Office 365. Hierdoor wordt Pieters kopieeractie opgepikt. Niet alleen dat: ook het label wordt gelezen. Omdat één van jullie beleidsregels stelt dat gevoelige data niet buiten jullie omgeving mag worden opgeslagen, wordt Pieter’s actie een halt toegeroepen nog voordat de bestanden Dropbox bereikt hebben. Alleen na goedkeuring van een daartoe bevoegde medewerker, kan deze actie worden voltooid. MCAS stelt je dus in staat om te beschermen wat daadwerkelijk bescherming nodig heeft, zonder dat je daarvoor paal en perk hoeft te stellen aan jouw informatiestromen.

  Heb je wel eens een dubieuze mail ontvangen en tóch geklikt op de eerste de beste link in dat mailtje? Pieter heeft dat net gedaan, omdat het leek alsof dat mailtje van zijn directeur afkomstig was. Gelukkig maken jullie gebruik van Exchange Online Advanced Threat Protection (ATP). In plaats van een phishing website die hem vroeg om zijn inloggegevens, kreeg hij een felrode website te zien die hem vertelde dat het hier toch écht om een dubieuze site ging. Datzelfde ATP heeft ook meteen de bijlage gecontroleerd op kwaadwillende code, door in een afgeschermde omgeving te kijken naar het gedrag bij openen.

Een andere vorm van ATP luistert naar de naam Windows Defender Advanced Threat Protection (WDATP). Het biedt hulp bij het herkennen, onderzoeken en afweren van geavanceerde aanvallen. Met ‘geavanceerde aanvallen’ worden gerichte, doelbewuste aanvallen bedoeld. Windows Defender gebruikt cloud-based machine learning om kwaadwillende code op te sporen. Code die gemaakt is om koste wat kost verborgen te blijven, zelfs voor jouw virusscanner. Voor Pieter en zijn team kan het geen kwaad om deze functionaliteit te activeren, aangezien ze regelmatig met gevoelige data werken.

Tot slot: is er dan echt geen uitzondering op die regel van één digitale identiteit? Die is er: beheerders van ICT-systemen krijgen er sowieso twee. De ene identiteit is qua inrichting niet anders dan die van alle andere medewerkers. Dat geldt niet voor die tweede identiteit, aangezien deze bedoeld is om alle administratieve handelingen mee uit te voeren. Bijvoorbeeld om gevoelige audit-informatie in Office 365 te raadplegen. Of om een bepaalde clouddienst te configureren. Met dergelijke rechten kun je veel teweeg brengen. Om aantoonbaar grip te houden op deze rechten, worden beheerders met behulp van Azure AD Privileged Identity Management (PIM) verplicht om hun rechten minimaal 1x per week opnieuw aan te vragen. Dit geldt voor veelgebruikte beheerrollen als de Exchange Administrator, maar kan tegenwoordig ook worden doorgetrokken naar hele specifieke onderdelen binnen jouw Azure-omgeving. Je ziet: cloud-gebaseerde beveiliging helpt je om jouw medewerkers veilig én productief te laten werken met hun digitale identiteit.