Azure AD

Moderne authenticatiemogelijkheden

Alles begint met te controleren wie toegang vraagt tot welke data, een goed identity & access management dus. Historisch is dat begonnen met een centrale user directory, die van Microsoft, Active Directory, is de voorbije decennia de meeste gebruikte. In het cloud tijdperk komen daar meer mogelijkheden bij.

Cloud Identity Service

Authenticatie in de cloud

De klassieke Active Directory wordt verleng naar de cloud zodat de gebruikers ook buiten het interne netwerk kunnen inloggen met hetzelfde wachtwoord: via de Azure AD service.

Dat is handig maar daardoor wordt het  ook mogelijk dat om het even wie kan inloggen in naam van die medewerker, alleen maar door gebruik te maken van het wachtwoord. Hoewel wachtwoorden geheim zijn, blijkt het vaak mogelijk om wachtwoorden te achterhalen. Daarom is het essentieel dat er nog een factor gebruikt wordt om te controleren of het wel degelijk om de juiste persoon gaan. Daarvoor gebruiken we Multi-Factor Authentication (MFA). Een inlogpoging moet dan bevestigd worden via de smartphone van de gebruiker. Een systeem dat vergelijkbaar is met Itsme dat we als burger wel kennen. Een fysieke token met tijdelijke codes kan hier ook voor gebruikt worden.

Identity Management

Goed beheerd

Omdat het gebruikersbeheer en hun toegang in de cloud gebeurt betekent nog niet dat het ook veilig is. AD en Azure AD bieden heel wat mogelijkheden maar het is belangrijk die doordacht toe te passen. Gebruikers aanmaken gaat meestal goed, ze ook weer verwijderen wordt veel vaker vergeten. Hetzelfde geldt voor extra rechten toekennen en ze weer wegnemen. Hier wordt het dus belangrijk duidelijke processen op te stellen en een Role based Access Control (RBAC) te definiëren. Zero Trust blijft het basis principe.

Conditional Access

Voor een goede gebruikerservaring

Voor de interne medewerkers maakt Azure AD het dus mogelijk om in te loggen in de verschillende cloud toepassingen. Dat kan dan zonder dat de gebruiker een ander wachtwoord moet onthouden en ook zonder dat elke cloud toepassingen wachtwoorden van de gebruikers moet bijhouden, laat staan dat nieuwe gebruikers in elke applicatie aangemaakt moeten worden. De gebruiker, beheerder én cloud toepassing zelf mogen daarvoor vertrouwen op de Azure AD service. Zo'n integratie gebeurt met protocollen als SAML of OIDC. Zo'n integratie is een voorwaarde om Single Sign On (SSO) mogelijk te maken.

Omgekeerd kan je ook externen toegang geven tot je eigen bedrijfsapplicaties via hun eigen vertrouwde Azure AD login, met een B2B setup met een leverancier bijvoorbeeld. Via B2C kunnen externen ook met andere authenticatie methoden toegang krijgen tot jouw externe applicaties, bijvoorbeeld voor eindklanten.

Het zijn de meest eenvoudige beveiligingen die het beste werken. Daarom moeten we ervoor zorgen dat inloggen eenvoudig is. Met Conditional Access zorgen we ervoor dat de gebruikers afhankelijk van locatie, applicatie, toestel en tijd toegang krijgen. Typisch scenario's zijn bijvoorbeeld dat er geen MFA nodig is vanop kantoor of dat je minder toegang krijgt vanaf een onbekend toestellen. Zaken die vanuit een Zero Trust aanpak ingesteld worden.

Passwordless authentication

Geen wachtwoorden meer?

In een ideale wereld zijn er geen wachtwoorden meer. Elke mens heeft zijn eigen identiteit en zou zich daarmee overal moeten kunnen authenticeren, zonder ook maar één wachtwoord te moeten ingeven. Afhankelijk van nog andere parameters kan dan toegang -authorisatie- gegeven worden. Dat is voorlopig toekomstmuziek maar binnen de eigen organisatie helpt Microsoft ons al goed op weg met Azure AD. Daarbovenop maakt Windows Hello het mogelijk dat de gebruiker zonder wachtwoord kan inloggen. Zijn pc zal op basis van gezichtsherkenning of vingerafdruk bevestigen dat het de juiste persoon is. Op basis daarvan kan er dan verder toegang verkregen worden tot de applicaties die daarop gebruikt worden.

Om zo'n single-sign-on ervaring mogelijk te maken moet er uiteraard overal met dezelfde identiteit gewerkt worden. In het belang van een doordacht veiligheidsbeleid moet die centrale authenticatie maximaal doorgedreven worden. Tot in elke applicatie dus. Moderne toepassingen hebben die mogelijkheid steeds vaker beschikbaar, maar ze moeten wel correct ingesteld worden. Wij streven er altijd naar dat zoveel mogelijk te doen.

Keeper logo
Password management

Of toch nog wachtwoorden?

In afwachting van ondersteuning voor alle applicaties of losse websites zullen we toch nog meerdere identiteiten met aparte wachtwoorden moeten onthouden. Uiteraard zijn dat complexe wachtwoorden die regelmatig aangepast worden. In feite is het onmogelijk om er zo een tiental te onthouden. Daarom is er nood aan een hulpmiddel: een wachtwoordbeheerder die je wachtwoorden veilig bijhoudt en op elk toestel beschikbaar maakt en bij voorkeur ook automatisch invult.

Savaco adviseert de Enterprise editie van Keeper Security omdat die op zichzelf al integreert met Azure AD. De bestaande gebruikersgroepen kunnen gebruikt worden om bijvoorbeeld gedeelde wachtwoorden veilige te beheren onder collega's. De gebruikers worden aangemoedigd om slechte, oude of gelekte wachtwoorden aan te passen en voor de beheerder is er uitgebreide rapportering mogelijk. In noodgevallen kan de organisatie via een break-glass procedure aan de professionele wachtwoorden van hun medewerker.

User Auditing

Bewijs dat het veilig is

Soms wil je ook kunnen bewijzen dat het gebruikersbeheer correct en veilig is ingesteld. Of wens je op zoek te gaan naar mogelijke problemen of verdachte gebeurtenissen. Of wie heeft wanneer welk bestand benaderd?

Met Netwrix Auditor krijg je daar zwart-op-wit inzicht in. Het begint bij Active Directory maar gaat verder naar Office 365, servers, SQL database,...

 

Privilege Management

En wees zeker voor de admins

Administrators, typisch IT'ers, hebben extra veel rechten in de IT omgeving. Hun admin accounts verdienen extra aandacht en controle met Privilege Access Management (PAM).

Maar het kan ook voorkomen dat gewone gebruikers toch af en toe admin rechten moeten hebben op hun endpoint. Met Endpoint Privilege Management (EPM) is dat eenvoudig én veilig te organiseren.

Beiden cloud managed.