De 8 principes van toegang tot infrastructuur in praktijk brengen

IT- en security teams willen gevoelige data en systemen beveiligen tegen online bedreigingen voor het behoud van zowel de bedrijfsresultaten als de reputatie van de organisatie. Dat houdt in het beveiligen van toegang tot de cloud- en on-prem infrastructuur. Maar eerdere technieken schoten in dat opzicht ruimschoots tekort voor gebruikers en IT-beheerders. Het is dus hoog tijd voor een moderne aanpak.

Waarom voldeden legacy tools niet?

Als organisaties cloud IaaS opnemen naast een traditionele on-prem infrastructuur, moeten ze een veilig identity en access management (IAM) implementeren voor toegang tot de cruciale infrastructuur.

Traditionele statische inloggegevens voor toegang tot servers voldoen niet omdat ze te gemakkelijk kwijtraken of gestolen worden. Omdat er geen intrinsieke link naar profielen met de gebruikersidentiteit bestaat, is het moeilijk om beheer op de juiste schaal uit te voeren. Daar komt bij dat handmatige provisioning en deprovisioning en het gebruik van dezelfde inloggegevens voor meerdere systemen organisaties blootstelt aan securityrisico's.

Organisaties zijn op zoek naar een nieuwe aanpak die specifiek geënt is op moderne cloudomgevingen en de automatisering van hun DevOps-procedures ondersteunt. Okta nam daarbij het voortouw met een vernieuwende, Zero Trust-benadering voor toegang tot de infrastructuur met de introductie van Advanced Server Access (ASA).

Okta’s acht principes voor veilige toegang tot de infrastructuur

Voor de juiste toegangsbeveiliging voor de infrastructuur raadt Okta organisaties aan acht principes te volgen om de uitdagingen op een elegantere manier op te lossen dan met traditionele methoden het geval is.

Mailchimp is een goed voorbeeld van een moderne, op DevOps gerichte organisatie die enorme verbeteringen wist door te voeren door deze benadering te volgen op weg naar succes met Zero Trust. Jordan Conway van Mailchimp liet tijdens Oktane19 weten hoe Okta zijn organisatie heeft geholpen bij het realiseren van een effectievere methode van infrastructuursecurity met Advanced Server Access (ASA) van Okta. We vatten hieronder in het kort samen hoe Mailchimp deze 8 principes samen met Okta heeft toegepast.

1. Automatisering in plaats van handmatige procedures

In een wereld waarin de cloud steeds belangrijker wordt, moet effectieve toegangscontrole volledig geautomatiseerd zijn, zonder traditionele, handmatige processen. Alles vanaf inschrijving tot provisioning en configuratie moet geautomatiseerd zijn om het tempo van de organisatie te ondersteunen.

De automatisering door Okta van IAM-opties voor alle servers van Mailchimp bleek meteen vanaf het begin het meest waardevol. In één klap haalde ASA handmatig uitgevoerde managementprocessen weg en werd de on- en offboarding van serverbeheerders vereenvoudigd.

2. Kortstondige inloggegevens in plaats van statische sleutels

Met een geautomatiseerde infrastructuur kan het volgen en beheren van inloggegevens op alle mogelijke niveaus worden onderverdeeld. De komst van Zero Trust zorgt voor een slimmere besluitvorming dankzij contextuele toegang, die wel moet worden ondersteund door een strak ingedeeld inlogmechanisme. Okta heeft een revolutionaire oplossing ontworpen voor de uitdaging met inloggen waarmee risico's met meer succes worden teruggedrongen.

Bij Mailchimp bewaarden ontwikkelaars statische sleutels op hun eigen laptop, met alle vertrouwens- en securityrisico's van dien voor de organisatie. Met behulp van ASA kon Mailchimp het loginproces voor serverbeheerders en developers stroomlijnen, zonder dat ze zich hoeven bezig te houden met wie de juiste sleutels voor welke servers heeft.

3. Gebruikersidentiteiten in plaats van gedeelde accounts

Gedeelde administratieve accounts zorgen voor beveiligingsrisico's, ook wanneer ze nominaal gezien goed zijn beschermd. Dat komt omdat het moeilijk te bepalen is wie wat wanneer heeft geopend; dat geldt ook voor het opstellen van policies waarmee wordt gedefinieerd wie wat wanneer mag openen. Om te voldoen aan het organisatiepolicies moet dan alle toegang rechtstreeks worden gekoppeld aan afzonderlijke gebruikersaccounts.

Mailchimp realiseerde een "stevige bonus" door iedere gebruiker een eigen identity te geven bij het uitvoeren van acties op een server. De organisatie beschikt nu over een nauwkeurige controlerecord van alle activiteiten, waardoor de verantwoording werd verbeterd en de risico's als gevolg van gedeelde inloggegevens werden weggenomen.

4. Lokale accounts in plaats van directory-interfaces

Directory-interfaces zoals LDAP bezorgen organisaties die op schaal werken flinke administratieve problemen, met name bij het maken van verbindingen met hun registratiesysteem. Okta biedt nu de mogelijkheid om een dergelijke interface te elimineren door accounts van lokale machines rechtstreeks vanuit het registratiesysteem te leveren.

Tientallen jaren lang probeerden organisaties uit te zoeken hoe gebruikers van servers gesynchroniseerd konden worden met hun registratiesysteem. Okta loste dat op een bijzonder elegante manier op, met minder administratieve overhead en problemen. Voor Mailchimp betekende deze aanpak minder administratieve overhead en een verbetering van de algehele security.

5. Single sign-on in plaats van uitcheckprocessen

Traditionele tools en methoden leidden tot problematische, out-of-band uitcheckprocessen voor systeembeheerders die niet zitten te wachten op workflows die voor vertraging zorgen. Single sign-on (SSO) lost dat probleem op door het implementeren van dezelfde gebruikersvriendelijke procedure die werknemers toepassen wanneer ze apps van de organisatie in de infrastructuur openen.

De engineers van Mailchimp waren aanvankelijk terughoudend om over te schakelen op een nieuwe workflow omdat ze gewend waren aan het handmatig gebruik van hun eigen sleutels. Maar zodra ze ASA gingen gebruiken, ontdekten ze de securityvoordelen en zagen ze dat de workflows hun dagelijks werk niet in de weg zaten.

6. Op rollen gebaseerde toegang in plaats van rechten overdragen

Van oudsher dragen organisaties toegangsrechten over van gedeelde accounts naar gebruikers voor specifieke taken, uitgaande van de laagste toegangsrechten. Deze methode is gevoelig voor misbruik omdat moeilijk is na te gaan of aan een specifieke gebruiker wel of geen toegangsrechten moet worden verleend. Met op identity gebaseerde toegangscontrole worden rechten expliciet gekoppeld aan de rol van de gebruiker.

Voor Mailchimp biedt deze nieuwe aanpak "de juiste rol en de juiste toegang voor de juiste developers", met als resultaat een betere security. Dat is belangrijk wanneer de organisatie groeit en er meer specialisaties bijkomen in de engineeringafdelingen.

7. Bastions in plaats van VPN's

De traditionele netwerkperimeter bestaat niet meer, waardoor VPN's achterhaald zijn geworden. In plaats daarvan bieden "Bastion"-hosts gebruikers een authenticatiegateway voor toegang tot een privé-infrastructuur, met meer naadloze logins als gevolg.

Hoewel Mailchimp nog altijd gebruikmaakt van VPN's, zien ze de tekortkomingen daarvan wel in. Wanneer netwerkapparatuur of een kantoor of locatie wordt toegevoegd, leidt dat tot aanzienlijke kosten om de VPN en de toegang daartoe opnieuw te configureren. Voor een snelgroeiende organisatie als Mailchimp is dat bepaald geen sinecure. Door VPN's buiten gebruik te stellen verdwijnt het risico van op IP gebaseerde configuratiefouten en wordt de user experience verbeterd.

8. Gestructureerde logs in plaats van sessie-opnames

Voor de meeste compliancevereisten moeten beheerdersactiviteiten worden vastgelegd zodat deze later kunnen worden bekeken. Voor een duidelijker beeld kan dat het beste gebeuren via gestructureerde logs in plaats van sessie-opnames.

De situatie bij Mailchimp is daarvan een voorbeeld. De organisatie heeft nu een makkelijk indexeerbaar en doorzoekbaar systeem ter vervanging van de moeilijk leesbare auditlogs. Dat biedt duidelijk inzicht in wat er allemaal gaande is en via welke eindpunten gebruikers verbinding maken.

Wilt u meer weten?

Als u meer wilt weten over de Advanced Server Access-oplossing van Okta, bekijk dan eens onze recente aankondiging van ASA. U kunt ook meer lezen over De 8 principes van toegang tot infrastructuur of bekijk hieronder de uitgebreide video van de Oktane19-sessie, Bringing Modern Identity to Infrastructure Access.