Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Redactie TechPulse

Hoe gefedereerde identiteit ons leven kan veranderen

 

Wordt IT-beveiliging in de komende jaren gemakkelijker en goedkoper? Volgens Simon Perry kan dat één van de gevolgen zijn van twee belangrijke evoluties die hij momenteel waarneemt. Ten eerste de evolutie naar gefedereerde identiteit, waarbij een gebruiker zich maar op één plek (mogelijk bij een ISP) authenticeert. Ten tweede de nieuwe instrumenten waarmee kan worden nagegaan of het apparaat en de netwerkverbinding van die gebruiker wel te vertrouwen zijn.

IT Professional sprak tijdens de recente CA World conferentie in Las Vegas met de Australiër Perry, vicepresident security management bij CA.

Simon Perry: ‘Vandaag willen we niet alleen weten wie de persoon is, maar ook of zijn machine wel veilig is. Is dat apparaat up to date met antivirus, antispyware, dat soort zaken. U probeert toegang te krijgen tot mijn fi nanciële toepassing, maar zit u op dit moment op kantoor of zit u in een Starbucks koffi ehuis en sluit u aan via een draadloos netwerk? Of bent u in de luchthaven of op uw pc thuis? De betrouwbaarheid van een machine vaststellen is niet alleen een kwestie van beveiliging, het is ook een kwestie van systeembeheer. Die twee werelden raken elkaar. Ik kijk of het apparaat van alle patches is voorzien, welke versie van het besturingssysteem erop draait enzovoort.

Bij CA werken wij aan het bieden van die mogelijkheid. Een tweede groot domein waar we aan werken: de service oriented architecture om dat mogelijk te maken. Want we zullen dit niet allemaal bereiken met één groot, monolithisch systeem. Dat kan niet. Een bedrijf zal in de praktijk een paar bouwstenen hebben van IBM, sommige van HP, sommige van Microsoft en Symantec en CA. De uitdaging wordt dan: hoe breng je al die bouwstenen samen op een modulaire manier? En hier moeten industriestandaarden een grote rol spelen.

Gebeurt er wel genoeg op het vlak van standaarden? Bijvoorbeeld wat betreft het herkennen en toelaten van apparaten op het netwerk, dat is toch allemaal merkgebonden technologie?
Er is NAC van Cisco en NAP van Microsoft. NAC is tot op zekere hoogte merkgebonden. Maar de informatie die in NAC binnenkomt, die kan van CA antivirus of McAfee of Symantec antivirus komen. Je moet voor NAC wel Cisco netwerkapparatuur gebruiken, en hetzelfde geldt bij Microsoft. Dus de ‘lijm’ is voor een stuk merkgebonden, maar wat aan beide uiteinden van het netwerk draait, dat wordt standaard.

Maar in een echt netwerk ga je toch apparatuur hebben die niet van Cisco is, en servers zonder Windows. Moet daar geen oplossing voor komen?
Die is er vandaag nog niet. Maar die komt er. Microsoft en Cisco werken al samen, en ik denk dat andere netwerkspelers zoals Juniper een manier zullen bieden om aan te sluiten. Heel wat bouwstenen zijn er al. En je moet rekening houden met de economische levensduur van de apparatuur: wie twee jaar geleden een hoop Cisco apparatuur aankocht, gaat die vandaag niet weggooien. Pragmatisch gezien is er vandaag zoveel beschikbaar als iedereen vandaag kan gebruiken.

Wij werken nu met een aantal grote ISP’s in Europa zoals BT, dat zijn ‘netwerk van de 21ste eeuw’ aan het bouwen is voor stem en data, volledig gebaseerd op IP. Dat netwerk heeft heel wat beveiligingsdiensten in de ‘wolk’, zowel threat management als identity services. Waar BT naartoe wil daarmee, is white label services te gaan aanbieden. Een bedrijf wil bijvoorbeeld dat zijn klanten of werknemers kunnen aanloggen op het intranet of extranet, en toegang krijgen tot diensten die via een SaaS worden aangeboden.

Bijvoorbeeld: een werknemer van CA heeft misschien toegang tot een reisreservatiesysteem dat aangeboden wordt door American Express, of informatie over een pensioenfonds of ziekteverzekering die worden geleverd door een verzekeraar. CA kan beslissen om het voor de gebruiker onzichtbaar te maken dat hij overgaat van het CA intranet naar een extranet van American Express. BT zou de lijm kunnen zijn tussen CA en American Express of Fidelity, door authenticatie en authorisatie te bieden in de IP-wolk.

Dat lukt dan toch alleen als alle partners bij dezelfde ISP zitten?
We zitten nu in wat ik de eerste fase van federated identity management zou noemen. Die eerste fase zal een hub and spoke model zijn. Met BT bijvoorbeeld als de hub, en CA en AmEx en Fidelity als spaken. Wat vrij snel zal gebeuren, is dat verschillende van die systemen met elkaar verweven worden, waarbij de hub van het ene netwerk een spaak in het andere netwerk wordt. Zo krijg je dan een verweven netwerk of wolk van gefedereerde identiteitsdiensten. Technisch gezien kan dat vandaag al. Maar de businessmodellen, de commerciële akkoorden, dat is de hinderpaal. En dat is een kip-en-ei kwestie: is er voldoende commerciële vraag om ervoor te zorgen dat BT gaat praten met Orange en Vodaphone en MCI en de anderen?

Is dit in feite niet hetzelfde als het idee van het Jericho Forum: alle grenzen weg?
Nee. Het Jericho Forum heeft het ook wel over een identity mesh of een identity cloud. Maar hun centrale idee, deperimeterisatie, is dat in plaats van het intranet te vertrouwen en de rest van het internet te wantrouwen, je alle locaties voortaan half vertrouwt. De firewall aan de rand van je netwerk wordt dan gewoon de grens die bepaalt binnen welke zone jijzelf verantwoordelijk bent voor het verzekeren van quality of service en voor het beheer. Maar dus niet meer de belangrijkste beveiligingsgrens.

Voor deperimeterisatie moet je ook weten of je de machine en het netwerk waar de gebruiker op zit, kunt vertrouwen. Er is dus absoluut een verband. Nu, of de industrie in haar geheel ooit dat ideaal zal bereiken waar het Jericho Forum het over heeft, dat is een andere kwestie. Sommige leden van Jericho hebben misschien een commerciële noodzaak om dat extreem te bereiken, maar dat betekent niet dat iedereen anders dat ook en aan hetzelfde tempo moet doen.

Kunnen deze technologische evoluties beveiliging gemakkelijker en goedkoper maken voor bedrijven, in de voorzienbare toekomst?
Sommige zaken kunnen zeker gemakkelijker worden. Vooral voor KMO’s. Want die zullen erop kunnen vertrouwen dat bepaalde van die diensten aangeboden worden in de wolk door de ISP. Zorgt dat dan voor een beveiligings-Nirwana? Nee, want beveiliging is geen eindbestemming. Je sluit een aantal spleten tussen verschillende systemen, maar een aantal problemen worden door deze trend niet aangepakt. Het insidergevaar, bijvoorbeeld, en het volgende nieuwe idee van de hackers. Want de hackers verzinnen altijd wel iets nieuws.

Hoe snel wordt dit een realiteit?
Wel, wij zijn betrokken bij bijna driehonderd projecten wereldwijd waarbij federated identity management services in productie worden gebracht. Ongeveer één op tien daarvan zijn met ISP’s en zouden kunnen resulteren in dat concept van een identity cloud of identity mesh. Het is dus goed op weg. Ik denk dat we nu een paar jaar ver zijn in een beweging van vijf jaar. En ik denk niet dat technologie daarbij de remmende factor is.

Er is de vervangingscyclus van hardware en software. En als ik een bank was en ik wilde mijn klanten een reeks diensten aanbieden die door een derde partij worden geleverd, dan moet de klant weten dat ik zijn identiteit zal doorgeven aan iemand anders. Dat moet ergens in het privacy statement en in het contract staan. Uit onderzoek dat wij hebben gedaan, blijkt dat daar bij consumenten gevoeligheid rond bestaat. Dat is een kwestie van vertrouwen, en dat moet ook worden aangepakt.

businessitprofessionaltrendsentips
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business