Bij samenwerking over de bedrijfsgrenzen heen is het belangrijk om gebruikers met uitgebreide privileges en toegangsmogelijkheden op een gecontroleerde manier in het netwerk op te nemen. Met “Privileged Access Management” wordt de toegang tot kritieke systemen en gegevens zelfs gefilmd.
In de praktijk zijn het vaak de externe dienstverleners, admins, leveranciers en logistici als onderdeel van de waardecreatie die “Privileged Access Management” nodig hebben. Stefan Rabben, Area Sales Director DACH & Eastern Europe bij Wallix, een aanbieder van oplossingen in dit segment, legt de casus knacksus uit: “Een metafoor uit de echte wereld illustreert waar het om gaat: een schilder krijgt de opdracht om de muren van een kantoor in het bedrijf te schilderen. Eenmaal in het bedrijf is hij echter min of meer vrij in zijn doen en laten. Wat hij werkelijk doet, kan echter niet actief worden gecontroleerd of bewaakt.” Hier komt “Privileged Access Management” om de hoek kijken, als het ware als een virtuele bewaker die de schilder vergezelt, hem filmt en tegelijkertijd registreert wat hij doet. De gegevens kunnen worden geëvalueerd volgens het “veel-ogen-principe”, bijvoorbeeld in overleg met de ondernemingsraad.
Privileged Access Management
“Iemand die meer in het netwerk kan doen dan lezen, dat wil zeggen iemand die uitgebreide autorisaties heeft en legaal het bedrijf binnenkomt, kan zijn toegang niet misbruiken met behulp van de Wallix-oplossing”, zegt Rabben. Dit komt doordat de oplossing de toegang van bevoorrechte gebruikers logt en ook actief overtredingen van regels kan voorkomen of melden. De klassieke manier zonder Privileged Access Management zou zijn via een toegangsconsole en de invoer van een gebruikersnaam en wachtwoord. Het nadeel hiervan is dat het moeilijk is na te gaan wie van de groep externe werknemers wat en wanneer doet in het bedrijfsnetwerk.
Als het echter om gevoelige gegevens gaat, is het zinvol en soms wettelijk verplicht om te kunnen aantonen wie wat doet in het netwerk. “Dergelijk bewijs is ook geschikt met betrekking tot ISO 27001- of ISO 27002-certificeringen, of wanneer het gaat om kritieke infrastructuur volgens de verordening betreffende kritieke infrastructuur”, legt Rabben uit. In dit geval als een video-opname van alle schermhandelingen.
Session Manager filmt alles
De Wallix-oplossing biedt een toegangsportaal, meestal met twee-factorauthenticatie. Machtigingen worden opgehaald uit de Active Directory of het identiteitsbeheersysteem, en de juiste toegang wordt toegewezen aan gemachtigde doelen, d.w.z. servers en toepassingen. Er kan zelfs toegang worden verleend tot productielijnen. “Het geheel wordt geïmplementeerd via een Wallix appliance in de Trusted Zone in het netwerk of in de cloud. Alle toegang verloopt via onze ‘sessiemanager’, die alle acties op het scherm via video registreert, logt en indexeert, zodat later naar specifieke acties kan worden gezocht.” Door de tagging kunnen de acties van de gebruiker worden gevolgd, bijvoorbeeld door te zoeken welke SQL-query’s zijn uitgevoerd.
Single sign-on access
Het systeem werkt agentless omdat de ‘sessieprobe’ in het doelsysteem tijdelijk wordt aangemaakt en na toegang wordt verwijderd.” Naast de logging session manager op het apparaat, Bastion genaamd, is de password manager een ander belangrijk onderdeel. Het maakt single sign-on toegang tot het doelsysteem mogelijk zonder dat de gebruiker weet heeft van andere toegangsgegevens binnen het systeem. Het is bijvoorbeeld mogelijk om na elke sessie een zeer sterk wachtwoord van 120 tekens te genereren voor individuele toegang, dat de externe gebruiker echter niet eens hoeft te kennen, dankzij het wachtwoordbeheer en de toewijzing van rechten.