Wat IAM is en wat het doet
Waar dan ook werknemers werken, ze hebben toegang nodig tot de resources van hun organisatie, zoals apps, bestanden en gegevens. De traditionele manier was om de meeste werknemers op locatie te laten werken, waar bedrijfsresources achter een firewall werden bewaard. Zodra werknemers op locatie waren en zich hadden aangemeld, konden ze toegang krijgen tot de dingen die ze nodig hadden.
Nu is hybride werk echter gebruikelijker dan ooit en hebben werknemers overal veilige toegang tot bedrijfsresources nodig, of ze nu op locatie of op afstand werken. Dit is waar identiteits- en toegangsbeheer (IAM) bij komt kijken. De IT-afdeling van de organisatie heeft een manier nodig om te bepalen waar gebruikers wel en geen toegang toe mogen hebben, zodat gevoelige gegevens en functies worden beperkt tot alleen de mensen en dingen die ermee moeten werken.
IAM geeft veilige toegang tot bedrijfsresources – zoals e-mails, databases, gegevens en toepassingen – aan geverifieerde entiteiten, idealiter met zo min mogelijk tussenkomst. Het doel is de toegang te beheren zodat de juiste mensen hun werk kunnen doen en de verkeerde mensen, zoals hackers, de toegang wordt geweigerd.
Veilige toegang is niet alleen nodig voor werknemers die op bedrijfscomputers werken. Het is ook nodig voor aannemers, leveranciers, bedrijfspartners, en mensen die op persoonlijke apparaten werken. IAM zorgt ervoor dat elke persoon die toegang moet hebben, op het juiste moment het juiste niveau van toegang heeft op de juiste computer. Hierdoor, en vanwege de rol die IAM speelt in de cyberbeveiliging van een organisatie, is IAM een essentieel onderdeel van moderne IT.
Met een IAM-systeem kan de organisatie snel en nauwkeurig de identiteit van een persoon verifiëren en controleren of ze de nodige machtigingen hebben om de verzochte resource te gebruiken tijdens elke toegangspoging.
Hoe IAM werkt
Het verlenen van veilige toegang tot de resources van een organisatie bestaat uit twee delen: identiteitsbeheer en toegangsbeheer.
Identiteitsbeheer controleert een aanmeldingspoging met een identiteitsbeheerdatabase, wat een voortdurende record is van iedereen die toegang moet hebben. Deze gegevens moeten voortdurend worden bijgewerkt wanneer mensen bij de organisatie komen werken en er weggaan, hun functies en projecten veranderen, en het bereik van de organisatie zich ontwikkelt.
Voorbeelden van het soort informatie dat wordt opgeslagen in een identiteitsbeheerdatabase zijn werknemersnamen, functies, managers, direct ondergeschikten, mobiele telefoonnummers en persoonlijke e-mailadressen. Het matchen van iemands aanmeldingsgegevens zoals hun gebruikersnaam en wachtwoord met hun identiteit in de database, wordt 'verificatie' genoemd.
Voor extra beveiliging vereisen veel organisaties dat gebruikers hun identiteit verifiëren met iets dat meervoudige verificatie (MFA) heet. MFA, ook wel bekend als tweevoudige verificatie of tweeledige verificatie (2FA), is veiliger dan alleen maar een gebruikersnaam en wachtwoord te gebruiken. Het voegt een stap aan het aanmeldingsproces toe, waarbij de gebruiker zijn/haar identiteit moet verifiëren met een alternatieve verificatiemethode. Deze verificatiemethoden kunnen mobiele telefoonnummers en persoonlijke e-mailadressen omvatten. Het IAM-systeem verzendt meestal een eenmalige code naar de alternatieve verificatiemethode, die de gebruiker binnen een bepaalde tijd moet invoeren in de aanmeldingsportal.
Toegangsbeheer is de tweede helft van IAM. Nadat het IAM-systeem heeft geverifieerd dat de persoon die of het ding dat toegang tot een resource probeert te krijgen, overeenkomt met hun identiteit, houdt toegangsbeheer bij tot welke resources de persoon of het ding toegang mag hebben. De meeste organisaties verlenen variërende niveaus van toegang tot resources en gegevens, en deze niveaus worden bepaald door factoren zoals functietitel, aanstelling, toestemming en project.
Het verlenen van het juiste toegangsniveau nadat de identiteit van een gebruiker is geverifieerd, wordt 'autorisatie' genoemd. Het doel van IAM-systemen is ervoor te zorgen dat verificatie en autorisatie correct en veilig gebeuren bij elke toegangspoging.
Het belang van IAM voor organisaties
Eén reden waarom IAM een belangrijk onderdeel van cyberbeveiliging is, is dat het de IT-afdeling van een organisatie helpt het juiste evenwicht te vinden tussen belangrijke gegevens en resources ontoegankelijk houden voor de meesten en toegankelijk houden voor sommigen. IAM maakt het mogelijk om controles in te stellen die veilige toegang verlenen aan werknemers en apparaten terwijl het moeilijk of onmogelijk wordt gemaakt voor buitenstaanders om erdoor te komen.
Nog een reden waarom IAM belangrijk is, is dat cybercriminelen hun methoden dagelijks ontwikkelen. Geavanceerde aanvallen zoals phishing-mails zijn een van de meestvoorkomende bronnen van hacks en gegevenslekken, en zijn gericht op gebruikers met bestaande toegang. Zonder IAM is het moeilijk om te beheren wie en wat er toegang heeft tot de systemen van een organisatie. Gegevenslekken en aanvallen kunnen de spuigaten uitlopen omdat het niet alleen moeilijk is om te zien wie er toegang heeft, maar ook om de toegang van een gecompromitteerde gebruiker in te trekken.
Hoewel perfecte bescherming helaas niet bestaat, zijn IAM-oplossingen een uitstekende manier om de impact van aanvallen te voorkomen en minimaliseren. In plaats van iedereens toegang te beperken in het geval van een gegevenslek, kunnen veel IAM-systemen met behulp van AI aanvallen detecteren en stoppen voordat ze een groter probleem worden.
Voordelen van IAM-systemen
Het juiste IAM-systeem biedt een organisatie meerdere voordelen.
De juiste toegang voor de juiste mensen
Dankzij de mogelijkheid om gecentraliseerde regels en toegangsmachtigingen te maken en af te dwingen, maakt een IAM-systeem het gemakkelijker om te verzekeren dat gebruikers toegang hebben tot de resources die ze nodig hebben en geen toegang krijgen tot gevoelige gegevens die ze niet nodig hebben. Dit wordt op rollen gebaseerd toegangsbeheer (RBAC) genoemd. RBAC is een schaalbare manier om de toegang te beperken tot alleen de mensen die die toegang nodig hebben om hun rol te kunnen uitvoeren. Rollen kunnen worden toegewezen op basis van een vaste verzameling machtigingen of aangepaste instellingen.
Onbelemmerde productiviteit
Beveiliging mag dan belangrijk zijn, productiviteit en de gebruikerservaring zijn ook belangrijk. Hoe verleidelijk het ook is een gecompliceerd beveiligingssysteem te implementeren om gegevenslekken te voorkomen, productiviteitsbelemmeringen zoals meerdere gebruikersnamen en wachtwoorden zijn een frustrerende gebruikerservaring. IAM-tools zoals eenmalige aanmelding (SSO) en geïntegreerde gebruikersprofielen maken het mogelijk om zonder meerdere aanmeldingen veilige toegang te verlenen aan werknemers via verschillende kanalen zoals on-premises resources, cloudgegevens, en toepassingen van derden.
Bescherming tegen gegevenslekken
Hoewel geen enkel beveiligingssysteem onfeilbaar is, verkleint het gebruik van IAM-technologie je risico op gegevenslekken aanzienlijk. IAM-tools zoals MFA, verificatie zonder wachtwoord en eenmalige aanmelding geven gebruikers de mogelijkheid om hun identiteit te verifiëren met meer dan alleen maar een gebruikersnaam en wachtwoord, dat vergeten, gedeeld of gehackt kan worden. Door gebruikersaanmeldingsopties uit te breiden met een IAM-oplossing, wordt dat risico verkleind doordat er een extra laag van beveiliging aan het aanmeldingsproces wordt toegevoegd die niet zo gemakkelijk kan worden gehackt of gedeeld.
Gegevensversleuteling
Een van de redenen waarom IAM zo effectief is in het verhogen van de beveiliging van een organisatie, is dat veel IAM-systemen versleutelingstools bieden. Deze beschermen gevoelige gegevens wanneer ze naar of vanuit de organisatie worden verzonden, en met functies zoals Voorwaardelijke toegang kunnen IT-beheerders voorwaarden zoals apparaat, locatie of realtime risicogegevens instellen als toegangsvoorwaarden. Dit betekent dat de gegevens zelfs in het geval van een gegevenslek veilig zijn, omdat ze alleen kunnen worden ontsleuteld onder geverifieerde voorwaarden.
Minder handmatig werk voor IT
Door taken van de IT-afdeling te automatiseren, zoals mensen helpen hun wachtwoord opnieuw in te stellen, hun accounts ontgrendelen en toegangslogboeken controleren om afwijkingen te identificeren, kunnen IAM-systemen IT-afdelingen tijd en moeite besparen. Hierdoor wordt de IT-afdeling vrijgemaakt om zich te concentreren op andere belangrijke taken, zoals het implementeren van een Zero Trust-strategie in de rest van de organisatie. IAM is essentieel voor Zero Trust, een beveiligingsframework dat is gebaseerd op de principes van uitdrukkelijk verifiëren, met behulp van toegang met strikt noodzakelijke bevoegdheden, en uitgaan van een gegevenslek.
Verbeterde samenwerking en efficiëntie
Naadloze samenwerking tussen werknemers, verkopers, aannemers en leveranciers is essentieel om modern werk te kunnen bijbenen. IAM maakt deze samenwerking mogelijk door ervoor te zorgen dat samenwerking niet alleen veilig is, maar ook snel en gemakkelijk. IT-beheerders kunnen ook op rollen gebaseerde, geautomatiseerde werkstromen maken om de machtigingsprocessen voor roloverdrachten en nieuwe werknemers te versnellen, wat tijd bespaart tijdens het onboarden.
IAM en compliancevoorschriften
Zonder een IAM-systeem moet een organisatie elke entiteit die toegang heeft tot haar systemen handmatig bijhouden, evenals hoe en wanneer de entiteit die toegang heeft gebruikt. Dit maakt handmatige audits een tijdrovend, werkintensief proces. IAM-systemen automatiseren dit proces en maken het auditen en melden sneller en veel gemakkelijker. Met IAM-systemen kunnen organisaties tijdens audits laten zien dat de toegang tot gevoelige gegevens goed wordt beheerd, wat een vereist onderdeel van veel contracten en wetten is.
Audits zijn slechts één onderdeel van het voldoen aan bepaalde wettelijke vereisten. Veel voorschriften, wetten en contracten vereisen beheer van gegevenstoegang en -privacy, waarvoor IAM's zijn ontworpen om bij te helpen.
IAM-oplossingen maken het mogelijk om identiteiten te verifiëren en beheren, verdachte activiteit te detecteren en incidenten te melden, wat allemaal nodig is om te voldoen aan compliancevereisten zoals 'Ken uw klant', transactiebewaking voor melding van verdachte activiteiten, en de rode vlag-regel. Er zijn ook gegevensbeschermingsnormen zoals de Algemene Verordening Gegevensbescherming (AVG) in Europa en de Health Insurance Portability and Accountability Act (HIPAA) en Sarbanes-Oxley Act in de Verenigde Staten die strikte beveiligingsnormen vereisen. Het hebben van het juiste IAM-systeem maakt het gemakkelijker om aan deze vereisten te voldoen.
IAM-technologieën en -tools
IAM-oplossingen integreren met verschillende technologieën en tools om veilige verificatie en autorisatie op ondernemingsschaal mogelijk te maken:
- Security Assertion Markup Language (SAML) – SAML is wat eenmalige aanmelding mogelijk maakt. Nadat een gebruiker is geverifieerd, stelt SAML andere toepassingen op de hoogte dat de gebruiker een geverifieerde entiteit is. De reden waarom SAML belangrijk is, is dat het op verschillende besturingssystemen en computers werkt, waardoor het mogelijk is om in verscheidene contexten veilige toegang te verlenen.
- OpenID Connect (OIDC) – OIDC voegt een identiteitsaspect toe aan 0Auth 2.0, een framework voor autorisatie. Het verzendt tokens met informatie over de gebruiker tussen de identiteitsprovider en de serviceprovider. Deze tokens kunnen worden versleuteld en bevatten informatie over de gebruiker, zoals naam, e-mailadres, verjaardag of foto. De tokens zijn gemakkelijk te gebruiken door services en apps, waardoor OIDC handig is om gebruikers van mobiele games, sociale media en apps te verifiëren.
- System for Cross-Domain Identity Management (SCIM) – SCIM helpt organisaties gebruikersidentiteiten te beheren op een gestandaardiseerde manier die in meerdere apps en oplossingen (providers) werkt.
Providers hebben verschillende vereisten voor gebruikersidentiteitsgegevens, en SCIM maakt het mogelijk een identiteit voor een gebruiker te maken in een IAM-tool die integreert met de provider, zodat de gebruiker toegang heeft zonder een apart account te hoeven maken.
IAM implementeren
IAM-systemen beïnvloeden elke afdeling en elke gebruiker. Daarom is grondige planning vooraf essentieel voor succesvolle implementatie van een IAM-oplossing. Het is handig om allereerst het aantal gebruikers te berekenen dat toegang nodig zal hebben en een lijst op te stellen met de oplossingen, apparaten, toepassingen en services die de organisatie gebruikt. Deze lijsten zijn handig voor het vergelijken van IAM-oplossingen om te verzekeren dat ze compatibel zijn met de bestaande IT-installatie van de organisatie.
Vervolgens is het belangrijk de verschillende rollen en situaties in kaart te brengen die het IAM-systeem moet dekken. Dit framework zal de architectuur van het IAM-systeem worden en de basis van de IAM-documentatie vormen.
Nog een aspect van IAM-implementatie om te overwegen, is de langetermijn-roadmap van de oplossing. Naarmate de organisatie groeit en zich uitbreidt, verandert wat de organisatie nodig heeft van een IAM-systeem. Door van tevoren te plannen voor deze groei, wordt verzekerd dat de IAM-oplossing is afgestemd op bedrijfsdoelen en gereed is voor langetermijnsucces.
IAM-oplossingen
Naarmate er steeds meer veilige toegang tot resources nodig is op verschillende platforms en apparaten, wordt het belang van IAM duidelijker en noodzakelijker. Organisaties hebben een effectieve manier nodig om identiteiten en machtigingen op ondernemingsschaal te beheren, wat samenwerking vereenvoudigt en de productiviteit verhoogt.
Het implementeren van een IAM-oplossing die in het bestaande IT-ecosysteem past en technologie zoals AI gebruikt om IT-beheerders te helpen de toegang te bewaken en beheren in de hele organisatie, is een van de beste manieren om de beveiligingspostuur van je organisatie te versterken. Verken Microsoft Entra en andere Microsoft Beveiliging-oplossingen om te ontdekken hoe Microsoft je kan helpen de toegang tot elke app of resource te beschermen, elke identiteit te beveiligen en verifiëren, alleen noodzakelijke toegang te verlenen en het aanmeldingsproces te vereenvoudigen.
Meer informatie over Microsoft Beveiliging
Microsoft Entra
Identiteiten en resources beveiligen met een reeks oplossingen voor identiteiten en netwerktoegang via meerdere clouds
Azure Active Directory
Houd identiteiten en gegevens veilig terwijl je de toegang vereenvoudigt. Azure AD wordt Microsoft Entra ID
Microsoft Entra ID-governance
Bescherm, bewaak en controleer de toegang tot kritieke assets.
Microsoft Entra Externe ID
Bied je klanten en partners veilige toegang tot elke app.
Microsoft Beveiliging
Krijg bescherming tegen cyberbedreigingen voor je onderneming, bedrijf en huis.
Veelgestelde vragen
-
Identiteitsbeheer heeft betrekking op het beheren van de kenmerken die de identiteit van een gebruiker helpen te verifiëren. De kenmerken worden opgeslagen in een identiteitsbeheerdatabase. Voorbeelden van kenmerken zijn naam, functietitel, toegewezen werkplek, manager, direct ondergeschikten, en een verificatiemethode die het systeem kan gebruiken om te verifiëren dat ze zijn wie ze zeggen dat ze zijn. Deze verificatiemethoden kunnen mobiele telefoonnummers en persoonlijke e-mailadressen omvatten.
Toegangsbeheer beheert waar de gebruiker toegang toe heeft nadat zijn/haar identiteit is geverifieerd. Dit toegangsbeheer kan gebaseerd zijn op rol, toestemming, onderwijsniveau of aangepaste instellingen.
-
Identiteits- en toegangsbeheer is bedoeld om te verzekeren dat alleen de juiste mensen toegang hebben tot de gegevens en resources van een organisatie. Het is een cyberbeveiligingspraktijk waarmee IT-beheerders de toegang tot organisatieresources kunnen beperken, zodat alleen de mensen die er toegang toe moeten hebben, er toegang toe krijgen.
-
Een identiteitsbeheersysteem is een database waarin identificerende gegevens worden opgeslagen over de mensen en apparaten die toegang nodig hebben tot de gegevens en resources van een organisatie. In de database worden kenmerken opgeslagen zoals gebruikersnamen, e-mailadressen, telefoonnummers, managers, direct ondergeschikten, toegewezen werkplek, onderwijsniveau en toestemmingsniveau. Deze kenmerken worden gebruikt om te helpen verifiëren dat gebruikers zijn wie ze zeggen dat ze zijn. Een identiteitsbeheersysteem moet voortdurend worden bijgewerkt wanneer mensen bij het bedrijf komen werken en er weggaan, van functie veranderen en projecten starten of voltooien.
-
Software voor identiteits- en toegangsbeheer biedt tools om organisaties te helpen de identiteiten te verifiëren van de mensen en apparaten die zich proberen aan te melden en verzekert dat geverifieerde gebruikers toegang tot de juiste resources hebben. Het is een gecentraliseerde manier om identificatie te verifiëren, de toegang te beheren en gegevenslekken te melden.
-
IAM is een essentieel onderdeel van cloud-computing omdat gebruikersnamen en wachtwoorden niet sterk genoeg meer zijn om een organisatie te beschermen tegen gegevenslekken. Wachtwoorden kunnen gehackt, gedeeld of vergeten worden, en veel organisaties zijn zo groot dat het niet mogelijk is om de toegangspogingen handmatig te beheren en bewaken. Een IAM-systeem maakt het gemakkelijker om identiteitskenmerken actueel te houden, toegang te verlenen en beperken per rol, en afwijkingen en gegevenslekken te melden.
Volg Microsoft