sander berkouwerDe experts van SCCT werken elke dag keihard aan een veilige en goed functionerende werkplek voor de klant van onze klant: de eindgebruiker. Zo’n essentieel onderdeel van de bedrijfsvoering moet altijd veilig, efficiënt en up-to-date zijn. Onze specialisten bespreken de vier elementen van onze werkplek: Security, Productivity, Identity en Datacenter. Deze keer is CTO Sander Berkouwer aan het woord over Identity.

‘Traditionele’ Active Directory voldoet niet meer

Iedere IT-omgeving begint bij Identity. Je kunt nog geen VPN-verbinding naar een Azure-omgeving maken zonder gebruikersaccount: het heeft te maken met toegang tot applicaties, werkplekken, netwerk en servers. Het mag dus duidelijk zijn dat wanneer je Identity niet vanaf het begin goed aanpakt, je bedrijfsvoering en informatiebeveiliging daaronder lijden.

De ‘klassieke’ werkplek wordt gekoppeld aan Active Directory. Deze manier van werken bestaat al ruim 20 jaar: het is bedacht om veilig te kunnen werken binnen een netwerk. Maar de oplossing komt uit een tijd van voordat het internet groot werd, en werkt dus met sterk verouderde protocollen. Toch richten veel beheerders nog AD in alsof het 2003 is. Ze denken dat er niets fout kan gaan als de accounts met een VPN verbinden, omdat het dan veilig is.

Waar ze geen rekening mee houden, is dat de gebruikerservaring slecht is. Hun collega’s hebben een hekel aan VPN: het is traag, stopt er plotseling mee of ze vergeten het te gebruiken. Kortom: het komt de productiviteit niet ten goede. Met de moderne werkplek die we bij SCCT implementeren, pakken we het anders aan.

Het belang van Identity voor een goede IT-omgeving

Identity draait erom dat de juiste mensen toegang hebben tot de juiste zaken op het juiste moment. Dat ongeautoriseerde toegang niet meer bestaat. En dat kan niet alleen met een technische oplossing, het moet ook in processen geborgd worden.

IT is en blijft nog steeds mensenwerk. En waar mensen werken, worden fouten gemaakt. Daarom moet je een omgeving zo inrichten, dat je voorkomt dat mensen toegang hebben die dat niet horen te hebben. En als je denkt dat dat het ultieme rampscenario is, heb je het mis: dat is namelijk als niemand meer toegang heeft.

Je kunt al een grote verbeterslag doorvoeren door Multi-Factor Authentication (MFA) te implementeren binnen je organisatie. Zeker nu is dat erg actueel, omdat Microsoft heeft aangekondigd basic authentication voor alle accounts uit te schakelen per 1 oktober 2022.

Verder is het belangrijk om toegangsrechten toe te kennen aan de hand van groepen, in plaats van aan individuele accounts. Dat is namelijk veel veiliger. Mocht er onverhoopt toch een datalek plaatsvinden, is het een stuk gemakkelijker om hele groepen uit te kunnen sluiten. In die zin is geen toegang tot iets hebben dus ook een verzekering.

De oplossing van SCCT: Azure AD

Het Identity & Access Management (IAM) van een organisatie moet net zo flexibel zijn als de organisatie zelf. Voor sommige bedrijven betekent dit het isoleren van gevoelige data, bijvoorbeeld met virtual desktops. Andere bedrijven willen dat hun medewerkers een mail kunnen versturen over het wifi-netwerk van een trein. Verschillende organisaties hebben verschillende wensen en eisen, maar ze hebben allemaal diezelfde Identity-laag nodig.

Wanneer organisaties de terechte keuze maken om hun oude Active Directory op te ruimen, begint dat allemaal bij Identity. We richten het in op basis van Azure Active Directory: de IAM-service van Microsoft in de cloud. Bij sommige mensen bestaat de misvatting dat wanneer je iets aan Azure koppelt, je dan niets meer met on-prem-data en -applicaties kunt doen. Maar het een sluit het ander niet uit: binnen een oplossing die gebruikmaakt van Azure AD passen zowel on-prem- als clouddiensten.

Bij het ontwerpen en bouwen van een nieuwe oplossing volgen we altijd de SCCT-werkwijze. Tijdens de workshops met onze klanten bepalen we samen hoe Identity moet worden ingericht, en dit wordt meegenomen in het high-level design van de omgeving.

Het is ontzettend belangrijk om dit vanaf het begin goed te doen. Elke aanmelding in Azure AD gaat namelijk door de servers van Microsoft, die controleren of het account toegang mag hebben. Dat gebeurt op basis van conditional access: er wordt gekeken of je lid bent van de juiste groep en of je de applicatie mag gebruiken. Microsoft Intune controleert of je device aan alle eisen voldoet, bijvoorbeeld of je je binnen Europa bevindt en of je virusscanner up-to-date is. Pas wanneer het account aan alle eisen voldoet, krijgt de medewerker toegang.

Verifiable Credentials: de toekomst van Identity

Azure AD lost heel veel problemen op die het traditionele Active Directory heeft, maar zeker niet alle. Identity is the new battleground, zegt Microsoft terecht. De meeste accounts zijn onvoldoende beschermd. Zo heeft Microsoft in 2021 maar liefst 25,6 miljard pogingen geblokkeerd om klantenaccounts met brute force binnen te komen.

Ook heb je met Azure AD als eindgebruiker nog steeds niet het volledige zeggenschap over je gegevens, privé of zakelijk. We hebben met de overgang van Active Directory naar Azure AD al een verschuiving gezien van centrale toegang naar gefedereerde toegang. De ultieme vorm hiervan is een decentraal model met Verifiable Credentials (VC’s), dat Microsoft nu in public preview heeft.

Dit model zet de eindgebruiker centraal in het Identity-ecosysteem, en laat ze zelf bepalen welke informatie ze vanuit hun wallet delen met applicaties of instanties. Dit zorgt ervoor dat ze zelf de controle houden en geeft ze meer privacy.

Op dit moment is het nog onduidelijk hoe het gebruik van Verifiable Credentials zich verder ontwikkelt en welke partijen daar een grote rol in gaan spelen. Bij SCCT blijven we de ontwikkelingen nauwgezet volgen, omdat het de volgende stap is naar een nóg veiligere werkplek voor de eindgebruiker.

Hoe is Identity binnen jouw organisatie ingericht? Benieuwd wat SCCT voor je kan betekenen? Neem contact met me op via sander.berkouwer@scct.nl.