Op naar IAM 3.0 ISACA round table drs. André Koot RE CISA CISM 3 juni 2015
Wie ben ik Wat is I A M Ontwikkeling IAM - RBAC, Federatie - ABAC, mobile Project
Mijn identiteit • • • •
Specialist Informatiebeveiliging Hobby IAM @meneer Nieuw: Podmin van diaspora* pod.readme.is
Strict • Onafhankelijk ICT adviesbureau • Security diensten – IB Volwassenheidsbepaling – Cybersecurity Scan – Cloudsecurity – Security architectuur – Identity & Access Management
Wie mag wat en waarom is dat zo? • Wie – Identiteitenbeheer
• Wat – Autorisatiemanagement
• Waarom – Access Governance…!
Wie mag wat en waarom is dat zo? • Autorisatiebeheer – Bepalen autorisaties – Definiëren autorisaties en combinaties • Rollen…
– Modelleren autorisatiemodellen en -matrices – Toekennen en intrekken
Wie mag wat en waarom is dat zo? • • • •
Wie bepaalt dat? De eigenaar. Hoe doet de eigenaar dat? Traditioneel: – De eigenaar verstrekt de toegang, de sleutel – Ooit gebeurde dat voor elk systeem afzonderlijk – Accounts, accounts, accounts etc…
Resource owner
Gebruiks Overeenkomst Process owner
Taak 1
Taak 2
Taak 3
Taak 4 Data contract
Process owner
Taak 1
Taak 2
Taak 3
Taak 4
OLA System owner SLA
(business)
Applicatie 1
Applicatie 2
ICT owner ICT Data owner
Data
• Eigenaar beheert zelf
• Organisatie beheert zelf
IAM 1.0 • Organisatie beheert zelf
Architectuur
Role Based Access control • Eenvoud van beheer • Vereist governance • Lijnmanager <> Proceseigenaar <> Systeemeigenaar <> Gegevenseigenaar • Functiescheiding en conflicterende rollen • Auditors snappen het niet altijd
• Eindig – Niet Cloud compatible
Role based access control
Functie 1 Update
O-rol a Sec Admin
Functie 2 O-rol b Functie 3
Object
T-rol a Update T-rol b
Read
Object
Op naar de cloud…
IAM 2.0
Stork • STORK – Secure idenTity acrOss boRders linKed 2.0 – https://www.eid-stork2.eu/
• 2 factors – Authenticatie bij registratie en uitreiking – Authenticatie tijdens gebruik
Stork QAA Assurance Level
Kenmerken
• Services • Uitvoeren van taken • Identiteit? Nee, competentie!
• Identiteiten • Kenmerken van identiteiten • Betrouwbaarheid en vertrouwen
IAM 3.0
IAM 3.0 • Inzet van Identity As A Service providers • Access Governance – Proceseigenaar bepaalt criteria • ‘Wie’ niet relevant, ‘waarom’ wel
– Identity provider levert betrouwbare en vertrouwde attributen
UMA • User Managed Access
Wie ben ik • De digitale identiteit • Authenticatie • Hergebruik
Wie ben ik • De digitale identiteit • Authenticatie • Hergebruik
Mijn meest waardevolle identiteiten
De Strict IAM aanpak Probleemanalyse
• Welke bestaande en toekomstige knelpunten moeten worden opgelost
Eisen en wensen
• Wat moet en wat wil de klant
ICT infrastructuur
• IAM architectuurschets
Processen
• Aanpassing IAM processen
Implementatie
• Implementatie roadmap
Productselectie • Markt…
Leverancier AlertEnterprise Atos DirX Avatier Avencis Bay31 Beta Systems Brainwave CA Technologies Caradigm Centrify CloudID LionGate Courion Covisint CrossIdeas (nu IBM) Deep Identity Dell Econet efecte RM5 EMC RSA Aveksa EmpowerID e-trust Evidian Evolveum (Midpoint) Fischer International ForgeRock FSP GLUU Hitachi ID Systems IBM ILEX iSM Secu-Sys ITConcepts MacAfee MicroSoft NetIQ (voorheel Novell) Netprof
Gartner V N N N V N L V N V L N N N C V N C -
KupCole Forr IDC Regio Platform US L Eu C US .NET Basisset C Fr .NET Zw Java Provisioning L Eu PHP/Java Reconciliation Fr Java Workflow management L L L World C++ Rapportage Us Rollenbeheer M Gedelegeerd beheer NL L S US .NET Wachtwoordenbeheer - Self M service User C Eu Geen MS SAML protocol C Az .NET Gebruikersportaal L S World .NET De Eu S M World Java L US .NET Br C Eu Java F World Java L US Java L C World Java De World Java L US C++ L S L World Java C Fr C De .NET De Java M World C World .NET L L M World Java DE
Db Or/MS
Or/MS
Basis x x x x x x x x
Advanced SSO x
x x
x x
x
Extra / features SAP partner Kan ook Hosted
Markt l l m Advanced l SAP beheerscherm l Access Governance/intelligence Banking, Mainframe support l Kritische accounts Identity Governance oplossing l Moderne Interfaces Maatwerk nodig h Functiescheiding Healthcare m
Cloud provisioning Cloud Business friendly
x
l m
x
MS
Or
x x x
x SAP beheerscherm Finance
x x
x x
x x x x x x
Privacy oriented RBAC enhanced, SMB? x x
Cloud
• Wereldspeler met Europese aanwezigheid modern • Betrouwbaarheid x x x • Voldoende support x x x Maatwerk nodig • Geen kleine partij x SMB? x • Ontwikkeling en continuïteit SMB • Betrekkelijk weinig maatwerk nodig x AD / MS EOL? • Kosten x
x
x
x
Met Sailpoint Education
l l h l l h l l m l m h l m m h l l l h h l
Lic COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS COTS Open COTS Open COTS Open COTS COTS COTS COTS COTS COTS COTS COTS COTS
Programma
Aspecten
Projecten
Activiteiten
Taken
Definiëren functiescheiding
Procesinrichting
Vaststellen rolconflicten Automatiseren toekennen autorisaties Per afdeling Business Rules vaststellen
Organisatie
Systeemeigenaarschap IAM
Vaststellen autorisatiemodel
Productselectie IAM techniek Inrichten IAM tool
Inrichten connectors tbv IAM
