GLOBALSIGN WHITE PAPER
GlobalSign-authenticatie Een uitgebreide strategie voor informatiebeveiliging uitwerken met behulp van netwerkauthenticatie op basis van certificaten
GLOBALSIGN WHITE PAPER John B Harris, beveiligingsexpert Voor GMO GlobalSign Ltd.
www.globalsign.nl
GLOBALSIGN WHITE PAPER
INHOUD
Inleiding ....................................................................................................................................................... 2 De juiste weg kiezen ..................................................................................................................................... 2 Netwerkauthenticatie op basis van certificaten ........................................................................................... 4 Wat is het? ................................................................................................................................................ 4 Hoe werkt het? ......................................................................................................................................... 4 Wat kunnen gebruikers verwachten? ....................................................................................................... 5 Hoe kan het worden gecombineerd met andere methoden voor netwerk- en gebruikersauthenticatie? .......................................................................................................................... 5 Hoe netwerkauthenticatie op basis van certificaten aan de behoeften van organisaties voldoet .............. 7 Health Insurance Portability And Accountability Act (HIPAA) .................................................................. 8 Payment Card Industry Data Security Standard (PCA DSS)....................................................................... 8 Authenticatierichtlijnen van de Federal Finance Institutions Examination Council (FFIEC) ..................... 9 Besluit
....................................................................................................................................................... 9
Hoe kan GlobalSign helpen? ....................................................................................................................... 10 De productportfolio van GlobalSign ....................................................................................................... 10 Waarom voor GlobalSign kiezen? ........................................................................................................... 10 Vraag verdere informatie over onze authenticatie-oplossingen ................................................................ 11 Over GlobalSign........................................................................................................................................... 11
1
GLOBALSIGN WHITE PAPER
INLEIDING Terwijl organisaties zich lange tijd alleen maar hoefden te concentreren op firewalls en virusscanners aan de rand van hun netwerk, hebben ze nu te maken met klantengegevens die in de cloud worden opgeslagen, werknemers die hun mobiele apparaten mee naar het werk brengen (en verwachten dat deze aanvaard worden) en hackers die uit zijn op bedrijfsinformatie of creditcardgegevens. Al deze elementen vormen grote uitdagingen voor de personen verantwoordelijk voor informatiebeveiliging, die hoe dan ook al onder druk stonden om meer te doen met minder. Informatiebeveiliging vraagt antwoorden op vragen zoals: • Er zijn zoveel bedreigingen en er worden zoveel technologieën aangeboden om die bedreigingen aan te pakken. Hoe weet ik waaraan ik voorrang moet geven en welke oplossingen het best zijn voor mijn organisatie? • Hoe maak ik een strategie die me helpt mijn compliancedoelstellingen te behalen, maar mijn organisatie ook beschermt tegen onvoorziene uitdagingen? • Kan één product of productsuite me helpen voldoen aan belangrijke voorschriften en eveneens een oplossing bieden voor een groot aantal potentiële bedreigingen in mijn organisatie? • In welke technologieën moet ik investeren die zowel gebruiksvriendelijk, rendabel als efficiënt op het gebied van beveiliging zijn? Deze white paper helpt organisaties de juiste aanpak te kiezen, te beginnen bij een strategie voor informatiebeveiliging op basis van best practices. De paper toont vervolgens aan hoe
investeren in netwerkauthenticatie op basis van certificaten een belangrijke eerste stap kan zijn naar een veiliger en meer flexibel bedrijf. In deze paper wordt uitgelegd wat netwerkauthenticatie op basis van certificaten is en hoe het werkt en vindt u een vergelijking met andere toonaangevende oplossingen voor identiteits- en toegangsbeheer. Dit wordt gevolgd door de voordelen voor uw organisatie en hoe u deze technologie optimaal kunt benutten.
DE JUISTE WEG KIEZEN Betrouwbare informatiebeveiliging voor een organisatie realiseren is een veranderlijke doelstelling geworden. Beveiligingsprofessionals moeten zich steeds aanpassen aan veranderende omstandigheden om aan de vereisten van de klanten en het bedrijf te voldoen, zoals bedrijfstijd en systeemstabiliteit, wettelijke regelgeving voor de beveiliging van potentieel identificeerbare informatie (PII) en auditvereisten voor continuïteit in geval van natuurrampen of terroristische aanvallen. Bovendien moeten ze de gebruikers en het management tevreden houden met een beperkter budget. Geen eenvoudige taak. Gezien deze stortvloed aan verantwoordelijkheden is het geen verrassing dat best practices aan de kant worden geschoven en men gewoonweg reageert op de situaties die zich voordoen, of met andere woorden brandjes blust. In plaats van een stap terug te nemen en te kijken hoe hun werk de organisatie op lange termijn ten goede kan komen en beveiligen, kiezen beveiligingsprofessionals voor oplossingen met een directe impact (of waarvan ze de indruk krijgen dat ze een directe impact hebben) op een specifieke bedreiging of compliancedoelstelling. 2
GLOBALSIGN WHITE PAPER
Deze kortetermijnoplossingen pakken problematisch genoeg de grotere problemen of andere voorschriften op lange termijn niet aan. De reactieve aanpak kan aantrekkelijk zijn omdat (1) deze veel eenvoudiger is en (2) deze het management toont dat u responsief bent, omdat zij zich vaak richten op de korte termijn bij budgetbesprekingen. Als u echter op deze manier informatiebeveiliging wilt realiseren, zal uw organisatie globaal gezien meer geld moeten uitgeven doordat er meer manuren nodig zijn en de potentiële inkomsten uiteindelijk dalen door de constante infrastructuurwijzigingen. Een bedrijf dat bijvoorbeeld moet voldoen aan de beveiligingsvoorschriften van de Health Insurance Portability and Accountability Act (HIPAA) - een Amerikaanse wet met betrekking tot het gebruik, de openbaarmaking en bescherming van vertrouwelijke gezondheidsgegevens - kan zich eenvoudig beroepen op zijn leveranciers met producten 'conform HIPAA' en die technologieën aankopen en toepassen om aan de vereisten van HIPAA te voldoen. Wat in die discussie ontbreekt, is hoe die technologieën kunnen worden toegepast voor de andere compliancevereisten van de organisatie en hoe ze opkomende bedreigingen zoals de Advanced Persistent Threat (APT) kunnen aanpakken. Het is mogelijk dat de organisatie de initiële aankoop volledig moet weggooien of aanpassen door het gebrek aan toekomstvisie. Zo blijkt uit het Global Information Security Survey van Ernst & Young in 2011 dat 31% van de deelnemers de afgelopen 18 maanden in hardware of software had geïnvesteerd die zijn taak niet of onvoldoende vervulde. Deze aanpak kan ook leiden tot een misplaatst vertrouwen in informatie over de werkelijke toestand van informatiebeveiliging in een
organisatie. In de Global State of Information Security Survey van PricewaterhouseCoopers in 2012 gaf 70% van de deelnemers aan vertrouwen te hebben in de doeltreffendheid van hun systemen, maar slechts 37% van hen beschikte over een beveiligingsstrategie voor mobiele apparaten, waarschijnlijk een van grootste uitdagingen voor IT-afdelingen. En uiteindelijk bleek slechts 52% van de ondervraagden in het onderzoek van Ernst & Young over een gedocumenteerde beveiligingsstrategie te beschikken. Als het de 'strategie' van een organisatie is om gewoon op bedreigingen en vereisten te reageren wanneer die zich voordoen, wordt die organisatie een speelbal van bedreigingen en voorschriften. Organisaties moeten tijd besteden aan de ontwikkeling en uitvoering van een beveiligingsbeleid dat gebaseerd is op hoogstaande best practices, zoals gebruikersauthenticatie, de detectie en preventie van netwerkaanvallen, de continuïteit van het bedrijf en respons bij rampen, de opleiding en training van werknemers, de detectie en preventie van malware, de preventie van gegevensverlies en encryptie. Deze strategie en het beveiligingsbeleid moeten die best practices bovendien verwoorden op een manier waarbij de noden van het bedrijf vooropstaan. Daarbij mogen de gebruikers niet te zwaar belast worden. Ontevreden gebruikers, partners of klanten die te maken hebben met controles die niet geschikt zijn voor de taak die ze moeten uitvoeren of die te complex zijn, zullen de werking van het bedrijf vertragen, waardoor een organisatie minder flexibel en minder productief wordt. Een verregaande strategie op basis van best practices uitwerken is de eerst, meest cruciale stap. Vervolgens moeten organisaties hardware 3
GLOBALSIGN WHITE PAPER
en software kiezen die aan de doelstellingen van hun strategie beantwoordt. Die technologieën moeten in hoge mate uitwisselbaar zijn, een groot aantal verschillende bedreigingen aanpakken, voldoen aan de bedrijfsbehoeften van de volledige organisatie, beantwoorden aan bestaande en potentiële regelgeving en de gebruikers en bestaande systemen niet overmatig belasten. Toegangs- en identiteitsbeheer vormen een belangrijke technologie in een beveiligingsstrategie op basis van best practices. Netwerkauthenticatie op basis van certificaten is een goed voorbeeld van een oplossing die eenvoudig kan worden geïmplementeerd, gebruiksvriendelijk is, voldoet aan de vereisten en een oplossing biedt voor uitdagingen op desktopcomputers, op mobiele apparaten en zelfs in de cloud.
NETWERKAUTHENTICATIE OP BASIS VAN CERTIFICATEN WAT IS HET? Netwerkauthenticatie op basis van certificaten is een digitaal certificaat (referentie) gebruiken om een gebruiker of vaak een apparaat (of apparaten) gebruikt door een bekende gebruiker in het netwerk te identificeren en wordt vaak gecombineerd met traditionele authenticatiemethoden zoals een gebruikersnaam en wachtwoord. Netwerkauthenticatie op basis van certificaten op zich kan controleren of apparaten verbonden met het bedrijfsnetwerk daadwerkelijk de geautoriseerde apparaten zijn. In combinatie met gebruikersauthenticatie kunnen bedrijven duidelijk verifiëren dat gebruiker A zich heeft aangemeld met laptop B en controleren of die
laptop wel is geregistreerd voor gebruiker A. Als dat het geval is, krijgt de gebruiker met dat apparaat toegang tot het netwerk. De gebruikte digitale certificaten zijn dezelfde als andere digitale certificaten die u mogelijk al in uw bedrijf gebruikt voor beveiligde webservices (SSL) of het ondertekenen van emails/documenten (digitale handtekeningen). In dit geval worden de certificaten echter niet toegewezen aan een specifieke webserver of persoon, maar aan een specifiek apparaat.
HOE WERKT HET? Eerst moet een beheerder certificaten genereren en toewijzen aan apparaten in het bedrijf. Dit gebeurt doorgaans via een portal voor certificaatbeheer of web-based front end naar een beheerde service. De beheerder configureert zijn lijst met gebruikers en netwerkbeveiligingssystemen om specifieke gebruikers en apparaten te vertrouwen voor authenticatie door de digitale certificaten van de betreffende gebruikers en/of apparaten te importeren. De apparaten worden ook geconfigureerd met de servercertificaten. Als een gebruiker wil inloggen op het netwerk, verzendt het apparaat een toegangsverzoek naar het netwerk. Berichten worden versleuteld, verstuurd, ontsleuteld en teruggestuurd tussen apparaat en server. Dit handshaking-proces tussen apparaat en server stopt pas als beide zeker zijn dat de door beide verzonden berichten correct ontsleuteld zijn en de authenticatiegegevens correct zijn. Wederzijdse authenticatie zorgt ervoor dat het apparaat verbinding maakt met de server die verwacht wordt (omdat alleen die server het bericht kan ontsleutelen met zijn authenticatiegegevens) en de server kan 4
GLOBALSIGN WHITE PAPER
controleren of het juiste apparaat verbinding maakt (omdat alleen dat apparaat het bericht kan ontsleutelen met zijn authenticatiegegevens). Na bevestiging kan de server het apparaat toegang geven of bijkomende methoden voor gebruikersauthenticatie vragen, afhankelijk van de data waartoe toegang wordt gevraagd of het netwerk dat wordt gebruikt.
WAT KUNNEN GEBRUIKERS VERWACHTEN? De impact op de gebruikers is zo goed als nihil. De implementatie van certificaten wordt vandaag probleemloos ondersteund door de meeste besturingssystemen, waardoor gebruikers in het algemeen niets hoeven te doen. Ze kunnen zich zoals altijd blijven verifiëren bij het netwerk, met hun aanmeldingsgegevens. Intussen worden hun identiteiten en apparaten op een transparante manier geverifieerd met sterke authenticatiegegevens op basis van certificaten. Voor netwerkauthenticatie op basis van certificaten moet het apparaat beveiligd worden zodat de authenticatiegegevens niet kunnen worden verwijderd of gekopieerd.
HOE KAN HET WORDEN GECOMBINEERD MET ANDERE METHODEN VOOR NETWERK- EN GEBRUIKERSAUTHENTICATIE? Authenticatie wordt doorgaans beschreven in 'factoren': iets dat u weet (een wachtwoord), iets dat u hebt (een fysiek token) of iets dat u bent (uw vingerafdruk). Eenledige authenticatie is doorgaans de norm, maar door op een enkele factor te vertrouwen beschikken uw netwerk en systemen over slechts één storingspunt,
waardoor ze gemakkelijk het slachtoffer worden van phishing en andere aanvallen. Wanneer verschillende authenticatiefactoren worden gecombineerd, vormen deze verschillende beveiligingslagen waardoor een systeem moeilijker binnen te dringen is. Willekeurig verschillende factoren combineren betekent echter niet dat uw organisatie plots beter beveiligd is. Organisaties moeten rekening houden met de impact op de gebruikers, de bijbehorende risico's en andere aspecten. Omdat netwerkauthenticatie op basis van certificaten zonder belasting voor de gebruikers kan worden geïmplementeerd, kunnen gebruikers zich bij meerledige authenticatie gewoon aanmelden met hun eigen gebruikersnamen en wachtwoorden op hun toegewezen apparaten. Het digitale certificaat van een apparaat is bijvoorbeeld 'iets dat u hebt' en het apparaat wordt deel van de authenticatie naast een gebruikersnaam en wachtwoord ('iets dat u weet'). Dit is niet noodzakelijk het geval bij andere authenticatiemethoden, waarvoor gebruikers mogelijk bijkomende fysieke apparaten nodig hebben of meer stappen moeten doorlopen. Hoe kunnen deze andere authenticatiemethoden worden gecombineerd? • Tokens met een eenmalig wachtwoord zijn doorgaans fysieke tokens die een gebruiker bij zich heeft en zijn uitgerust een klein scherm waarop een willekeurig cijfer wordt weergegeven dat het apparaat heeft gegenereerd. De gebruiker voert dit cijfer en een pincode in, vaak in combinatie met zijn wachtwoord, om zich aan melden. Dankzij deze bijkomende pincode kan het token zelf niet zomaar worden gestolen. Deze apparaten beantwoorden aan de factor 'iets dat u hebt', maar omdat de gebruiker hiervoor een ander 5
GLOBALSIGN WHITE PAPER
apparaat nodig heeft, bestaat het risico dat hij dit verliest en niet zich meer kan aanmelden op belangrijke momenten. Oplossingen met een eenmalig wachtwoord zijn nu ook beschikbaar als apps op het mobiele apparaat van de gebruiker, maar ook hier moet de gebruiker het mobiele apparaat bij de hand (en opgeladen) hebben als hij zich wil aanmelden. U kunt ook niet zomaar tussen apps wisselen als u zich op hetzelfde mobiele apparaat bij een andere app wilt aanmelden. • Sms-authenticatie vertrouwt op de beschikbaarheid van een mobiel apparaat om een tweede factor toe te voegen. Sms-systemen sturen een tekstbericht naar de mobiele telefoon van de gebruiker nadat deze zich heeft aangemeld met zijn gebruikersnaam en wachtwoord. De gebruiker voert dan het smsbericht in wanneer hij daarom wordt gevraagd. Net zoals authenticatie met een eenmalig wachtwoord op een mobiel apparaat, moet de gebruiker bij dit systeem toegang hebben tot zijn mobiele telefoon om in te loggen. Bovendien kan dit problemen geven bij het inloggen in andere mobiele apps. • Out-of-band-authenticatie vertrouwt erop dat een gebruiker zich dicht bij zijn mobiele telefoon of een andere telefoon bevindt. Bij deze methode ontvangt de gebruiker tijdens de authenticatie een oproep op zijn mobiele of vaste telefoon en moet hij een nummer intoetsen of een vaste korte zin herhalen. Op basis van zijn antwoord krijgt hij toegang tot het systeem. Omdat de gebruiker bij out-of-bandauthenticatie een oproep moet beantwoorden, kan dat storend zijn op de werkplek of onmogelijk zijn vanwege de plaats waar de gebruiker zich bevindt (buiten bereik enz.). • Smartcards of USB-tokens met digitale certificaten die de gebruiker identificeren
kunnen meerdere authenticatiefactoren tegelijk bieden, omdat de gebruiker de kaart of token bij zich moet hebben, meerdere certificaten op de kaart (vaak voor de kaart en de gebruiker) moet ontgrendelen met een wachtwoord en zelfs biometrische authenticatie vereist kan zijn (zie verder). Smartcards kunnen ook worden gepersonaliseerd met de foto, naam en connectie van de gebruiker, zodat ze niet alleen voor logische authenticatie (inloggen op het netwerk) maar ook voor fysieke toegang tot een gebouw kunnen worden gebruikt. Dit is een van de veiligere vormen van authenticatie op de markt vandaag, maar het is vrij omslachtig. De gebruiker moet zijn kaart of token fysiek bij zich hebben en presenteren wanneer hij inlogt. Voor een smartcard is vaak een bijkomende lezer nodig. Zowel smartcards als tokens zijn moeilijk te gebruiken op mobiele apparaten omdat deze meestal niet met een USB-poort zijn uitgerust, hoewel er toch adapters op de markt zijn die de gebruiker op een mobiel apparaat kan aansluiten en waarmee hij zijn kaart kan lezen. • Biometrische authenticatie is de derde authenticatiefactor: iets dat u bent, zoals uw vingerafdruk, gezicht, iris of zelfs handgeschreven handtekening. Er bestaan zelfs nog meer exotische vormen van biometrie, zoals de aderstructuur. Het is uiteraard heel moeilijk (maar niet onmogelijk) om deze kenmerken te kopiëren. Er zijn echter drie belangrijke problemen bij biometrische authenticatie. o De beschikbaarheid van sensoren op apparaten waartoe de gebruiker toegang wenst. De laptop van een gebruiker kan een ingebouwde vingerafdruksensor hebben, maar de tablet niet. Zelfs als meerdere sensoren aanwezig zijn (d.w.z. webcams en naar voren gerichte camera's op mobiele apparaten), zijn deze mogelijk niet gevoelig 6
GLOBALSIGN WHITE PAPER
genoeg voor biometrische identificatie zoals gezichtsherkenning.
vastgestelde risico's voor een bepaald netwerk, systeem of dataset.
o De omstandigheden waarin de gebruiker het biometrische gegeven vastlegt. De gebruiker kan een handschoen dragen wanneer hij zijn vinger moet scannen of zich op een donkere plaats bevinden wanneer hij zijn gezicht moet scannen.
1. Softwaretokens met eenmalig wachtwoord kunnen op een mobiel apparaat worden uitgevoerd, waardoor gebruikers geen derde apparaat meer nodig hebben.
o Privacy - Gebruikers voelen zich mogelijk niet op hun gemak als ze hun vinger of gezicht door deze apparaten moeten laten scannen. Authenticatiemethode
Netwerkauthenticatie op basis van certificaten Gebruikersnaam en wachtwoord Eenmalige wacht1 woorden
Bijkomend fysiek apparaat vereist
Mobiele telefoon gebr. vereist
Extra stap voor gebr. ?
Beveiliging versus netwerkauthenticatie op basis van certificaten
NEE
NEE
NEE
‐‐
NEE
NEE
NEE
‐
MOGELIJK
JA
=
JA
Sms
NEE
JA
JA
=
Out‐of‐band
NEE
JA
JA
=
Smartcard / USB-tokens
JA
NEE
JA
+
NEE
MOGELIJK
+
Biometrische 2 identificatie
MOGELIJK
Organisaties kunnen vrij een keuze te maken uit de bovenstaande meerledige authenticatiemethoden voor een betere beveiliging. Het gebruik van netwerkauthenticatie op basis van certificaten zal de beveiliging van het authenticatieproces altijd verbeteren, zonder gevolgen voor de gebruiker. Het authenticatieniveau moet opwegen tegen de door de organisatie
2 Voor biometrische identificatie kan een bijkomende lezer (d.w.z. vingerafdrukscanner) nodig zijn. Dit kan ook als enige authenticatiemethode worden gebruikt, maar in dat geval bestaat het authenticatieproces slechts uit één factor. Biometrische authenticatie kan aanzienlijk veiliger zijn, maar moet altijd worden gebruikt in een proces bestaande uit meerdere lagen.
HOE NETWERKAUTHENTICATIE OP BASIS VAN CERTIFICATEN AAN DE BEHOEFTEN VAN ORGANISATIES VOLDOET Organisaties moeten zich richten op beveiligingsstrategieën die hun voldoende flexibiliteit en inkomsten bieden en tegelijk hun gegevens, intellectuele eigendom en systemen voldoende beveiligen tegen de risico's verbonden aan een dynamische omgeving. Om die strategie te implementeren, moeten organisaties investeren in technologieën die op een doeltreffende manier aan de beveiligingsbehoeften van het bedrijf beantwoorden, een oplossing bieden voor een groot aantal risico's en ervoor zorgen dat het bedrijf kan voldoen aan de verschillende verplichtingen die vandaag aan bedrijven worden gesteld. Netwerkauthenticatie op basis van certificaten is een vorm van meerledige authenticatie die de gebruikers van een organisatie niet belast: meer beveiliging betekent niet noodzakelijk minder flexibiliteit. Toegangsbeheer, audits en forensische analyse van de toegangsgeschiedenis worden verbeterd omdat gegevens- en netwerktoegang niet alleen aan een gebruiker, maar ook aan een specifiek apparaat op een specifiek tijdstip kunnen worden gekoppeld. 7
GLOBALSIGN WHITE PAPER
Mobiele apparaten herdefiniëren de manier waarop consumenten en werknemers inhoud gebruiken. De vraag om onderweg en op kantoor smartphones en tablets te gebruiken, stelt bijkomende eisen aan de beveiliging. Terwijl heel wat authenticatiemethoden de 'platformbarriëre' niet gemakkelijk doorbreken, kunnen certificaten eenvoudig worden geïmplementeerd op zowel desktopcomputers als mobiele apparaten, waardoor een enkele investering op meerdere platformen kan worden gebruikt. Netwerkauthenticatie op basis van certificaten kan ook een doeltreffend middel zijn om organisaties te helpen voldoen aan de vereisten op het gebied van authenticatie en toegangsbeheer van belangrijke regelgevende instanties.
HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT (HIPAA) De Amerikaanse wet HIPAA, van kracht sinds 1996, voorzag nieuwe regels voor de ziektekostenverzekering en elektronische medische gegevens. De beveiliging en privacy van die gegevens was een belangrijke bepaling en werd gepubliceerd als de 'Security Rule' in 2003. HIPAA schrijft een groot aantal administratieve, technische en fysieke controles voor die moeten worden uitgevoerd door organisaties die medische gegevens bewaren, waaronder aanbieders van gezondheidszorg en verzekeringsmaatschappijen. Hoewel deze controles worden beschreven op een technischagnostisch niveau, past het bereik en type van deze controles goed in het best-practices-model dat eerder in deze paper werd beschreven.
Wat authenticatie betreft, eist de Security Rule specifiek dat organisaties authenticatie voorzien om toegang te krijgen tot beveiligde medische gegevens. Netwerkauthenticatie op basis van certificaten voldoet probleemloos aan deze eis. Toegangsvalidatie is eveneens vereist. Organisaties moeten "beleidsregels en procedures implementeren om toegang te geven tot elektronisch beveiligde medische gegevens, bijvoorbeeld via toegang tot een werkstation, transactie, programma, proces of ander mechanisme." 3 Certificaten zouden kunnen worden gebruikt om ervoor te zorgen dat enkel geautoriseerde gebruikers toegang krijgen tot patiëntendossiers vanaf specifieke computers op beveiligde plaatsen, of binnen bepaalde delen van het netwerk, in plaats van een willekeurig werkstation in het gebouw.
PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCA DSS) De betaalkaartensector reageerde op het risico op creditcardfraude door het opstellen van een bijzonder gedetailleerde lijst van eisen op gebied van gegevensbeveiliging voor handelaars, financiële instellingen, verdelers van kaarten en andere verwante bedrijven. De PCI Data Security Standard werd voor het eerst gepubliceerd in 2004 en is nu beschikbaar in de bijgewerkte versie 2.0. PCI DDS omvat specifieke bepalingen met betrekking tot sterke procedures voor toegangscontrole. Organisaties moeten minstens één authenticatiefactor (iets dat u weet, hebt of bent) gebruiken voor algemene toegang en tweeledige authenticatie voor externe toegang tot netwerken. De transparante aard van netwerkauthenticatie op basis van certificaten maakt deze methode bijzonder 8
GLOBALSIGN WHITE PAPER
geschikt om te voldoen aan dit aspect van PCI DDS. 3. HIPAA, 45 CFR Deel 164.308(a)(4)(2)(B).
AUTHENTICATIERICHTLIJNEN VAN DE FEDERAL FINANCE INSTITUTIONS EXAMINATION COUNCIL (FFIEC) In 2001 publiceerde de FFIEC regels om online klanten van banken beter te beschermen tegen de risico's op internet door financiële instellingen te verplichten sterkere maatregelen voor gebruikersauthenticatie te implementeren. In 2005 werd dit gevolgd door een nieuwe versie van de richtlijnen, "Authentication in an Internet Banking Environment". Dit document stelde duidelijk dat de FFIEC "eenledige authenticatie als enige controlemechanisme als onvoldoende beschouwt voor risicovolle transacties met toegang tot klantengegevens of het overmaken van fondsen naar andere partijen". De FFIEC stelt specifiek voor dat "financiële instellingen meerledige authenticatie, meerlagige beveiliging of andere redelijke controles zouden implementeren om vastgestelde risico's aan te pakken". De FFIEC gaat in overeenstemming met wat in deze paper wordt voorgesteld als best practice verder: Het succes van een bepaalde authenticatiemethode is afhankelijk van meer dan de technologie. Het hangt ook af van geschikte beleidsregels, procedures en controles. Een doeltreffende authenticatiemethode moet aanvaard worden door de klant, betrouwbare prestaties bieden, schaalbaar zijn zodat het kan beantwoorden aan groei en moet kunnen worden geïntegreerd in bestaande systemen en toekomstige plannen.
Omdat netwerkauthenticatie op basis van certificaten de gebruikers niet belast en zowel op desktopcomputers als mobiele apparaten kan worden gebruikt, beantwoordt dit aan de vereisten op het gebied van aanvaarding door de klant, schaalbaarheid en uitwisselbaarheid. De appendix bij de richtlijnen stelt in feite dat "authenticatie met digitale certificaten algemeen wordt beschouwd als een van de sterkere authenticatietechnologieën omdat wederzijdse authenticatie tussen de client en de server bescherming biedt tegen phishing en vergelijkbare aanvallen".
BESLUIT IT-afdelingen worden geconfronteerd met talloze uitdagingen in hun missie om hun organisatie, zijn gegevens en klanten te beschermen, en tegelijk aan meerdere voorschriften te voldoen. Voor de optimale aanpak moet een organisatie een stap terug nemen van de dagelijkse reactieve handelingen en de noden van het bedrijf en de bredere beveiligingsdoelstellingen van de organisatie op lange termijn beoordelen. Op basis van formele documentatie en een regelmatige controle van die vereisten, moet het bedrijf technologieën kiezen die het best aan die doelstellingen voldoen. Een model op basis van best practices garandeert dat een organisatie tegelijk flexibel en veilig kan blijven werken. Netwerkauthenticatie op basis van certificaten is een investering in technologie die ervoor zorgt dat gebruikers productief blijven en tegelijk de beveiliging verbetert. Deze oplossing kan eenvoudig worden geïmplementeerd en kan de authenticatieprocedures op desktopcomputers en mobiele apparaten verbeteren. Ze is ook beter dan andere authenticatiemethoden omdat het meerledige beveiliging biedt zonder dat 9
GLOBALSIGN WHITE PAPER
gebruikers een bijkomend apparaat nodig hebben of hun logins beperkt worden tot bepaalde plaatsen.
• Authenticatiecertificaten voor toegang tot cloudservices zoals Google Apps en Microsoft SharePoint
Ongeacht de compliancedoelstelling of sector, netwerkauthenticatie op basis van certificaten voldoet aan de noden voor meerledige, sterke authenticatie en houdt de technologie tegelijk toegankelijk, dynamisch en mobiel.
• Digitale certificaten voor individuen en bedrijven die de integriteit en echtheid van documenten en e-mailberichten beschermen met behulp van digitale handtekeningen en certificatie
Het is duidelijk dat netwerkauthenticatie op basis van certificaten een waardevol onderdeel kan zijn van een uitgebreide strategie en procedure voor informatiebeveiliging.
• Code Signing-certificaten ter bescherming van de integriteit van softwarecode en toepassingen verdeeld via het internet
HOE KAN GLOBALSIGN HELPEN?
WAAROM VOOR GLOBALSIGN KIEZEN?
U weet nu meer over de voordelen en mogelijkheden van netwerkauthenticatie op basis van certificaten. Waarom zou u het niet implementeren? GlobalSign, een wereldleider in oplossingen voor informatiebeveiliging, kan uw organisatie de middelen en het talent bieden om deze oplossing toe te passen. Met het webbased beheerplatform van GlobalSign, Enterprise PKI (EPKI), kunt u de levensduur van meerdere digitale certificaten voor de volledige organisatie probleemloos beheren. GlobalSign biedt in feite meerdere producten en services die ervoor kunnen zorgen dat uw bedrijf snel een strategie voor informatiebeveiliging op basis van best practices kan implementeren.
DE PRODUCTPORTFOLIO VAN GLOBALSIGN
•
Oplossingen voor data-encryptie
• Geschiedenis van innovatie op het gebied van beveiliging en vertrouwen: meer dan 20 miljoen certificaten wereldwijd vertrouwen op de beveiliging van het GlobalSignrootcertificaat. Het bedrijf is al sinds 1996 actief als vertrouwde PKI en is al meer dan 12 jaar compatibel met WebTrust. • Engagement voor uitstekende klantenondersteuning: wanneer u GlobalSign belt, praat u met echte mensen. • Wereldwijde aanwezigheid: met kantoren voor technische support overal ter wereld, kunt u rekenen op snellere reactietijden en oplossingen afgestemd op uw taal, regio en land.
• SSL-certificaten voor de beveiliging van websites en bevordering van veilige elektronische handel
10
GLOBALSIGN WHITE PAPER
VRAAG VERDERE INFORMATIE OVER ONZE AUTHENTICATIEOPLOSSINGEN Neem vandaag nog contact op met een specialist van GlobalSign die uw organisatie op weg helpt naar een strategie op basis van best practices en u de middelen biedt om deze te implementeren. Of ga voor verdere informatie naar: www.globalsign.com/nl-nl/authenticatie/
OVER GLOBALSIGN GlobalSign was een van de eerste certificaatautoriteiten en biedt al sinds 1996 digitale identificatieservices aan. GlobalSign heeft meertalige kantoren voor verkoop en technische support in Londen, Brussel, Boston, Tokio en Shanghai. GlobalSign heeft een aantal grote investeerders, zoals ING Bank en Vodafone. Het bedrijf maakt momenteel deel uit van de groep GMO Internet Inc – een bedrijf genoteerd op de prestigieuze Tokyo Stock Exchange (TSE: 9449) met als aandeelhouders onder andere Yahoo! Japan, Morgan Stanley en Credit Suisse First Boston. Als leider op het gebied van openbare beveiligingsdiensten worden de certificaten van GlobalSign vertrouwd door alle gangbare browsers, besturingssystemen, apparaten en toepassingen. Deze omvatten SSL, Code Signing, Document Signing, e-mail en authenticatie, digitale oplossingen voor bedrijven, interne PKI en Microsoft Certificate Service Root Signing. Zijn vertrouwde rootcertificaten worden herkend door alle besturingssystemen, alle belangrijke webbrowsers, webservers, e-mailclients en internettoepassingen, en alle mobiele apparaten. Geaccrediteerd volgens de hoogste normen Als een door WebTrust geaccrediteerde openbare certificaatautoriteit zorgen onze kernoplossingen ervoor dat onze duizenden professionele klanten veilig online transacties kunnen uitvoeren en gegevens kunnen verzenden, tegen manipulatie beveiligde code kunnen verdelen en identiteiten kunnen koppelen aan digitale certificaten voor S/MIME-e-mailcodering en externe tweedelige authenticatie, zoals SSL VPN's.
GlobalSign Nederland Tél. : +31 85 8882424 www.globalsign.nl
[email protected]
GlobalSign Duitsland Tél. : +49 800 7237980 www.globalsign.de
[email protected]
GlobalSign Frankrijk Tel.: +33 1 82 88 01 24 www.globalsign.fr
[email protected]
GlobalSign Verenigd Koninkrijk Tél. : +44 1622 766766 www.globalsign.co.uk
[email protected]
GlobalSign Rusland Tél. : +7 (495) 972 46 33 www.globalsign.ru
[email protected]
GlobalSign Europa Tél. : +32 16 891900 www.globalsign.eu
[email protected]
11