Terwijl veel werkgevers er door de pandemie aan gewend zijn geraakt hun werknemers meer vertrouwen te geven wanneer ze thuiswerken, komt de vereiste IT-infrastructuur onder invloed van steeds meer cyberaanvallen onder druk te liggen. Ondanks de toename van personeel dat vaak op afstand werkt, is de remote werkplek vaak nog niet volwassen genoeg.
In de eerste fase van de lockdowns ging remote werken veelal over provisioning – de uitrol van VPN-toegang, devices, Office 365-accounts en het faciliteren van video-meetings. Maar er zijn meer geavanceerde tools nodig om structureel remote te werken, nu en in de toekomst. Daarvoor is een IT-infrastructuur nodig die meer geïntegreerd is, meer devices ondersteunt en – als gevolg daarvan – een groter aantal transacties met zich meebrengt. IDC zegt er het volgende over: “wereldwijd hebben bedrijven dezelfde uitdagingen om een niveau van vertrouwen op te bouwen dat fundamenteel is om alle werknemers dezelfde toegang te geven tot de middelen die ze nodig hebben.”
Doelwit voor hackers
Externe werkplekken zijn een interessant doelwit voor hackers. Organisaties meldden in 2021 een toename van 51 procent in het aantal aanvallen op clouddiensten, applicaties, devices en tools voor remote toegang. Meer dan 80 procent van de security-managers en leidinggevenden vindt dan ook dat remote werken hun bedrijf blootstelt aan meer security-aanvallen.
Voor het thuiswerk-tijdperk werd voor de beveiliging van de IT-infrastructuur een duidelijk gedefinieerd model gebruikt. Deze legacy security-modellen zijn gebaseerd op trusted IP-adressen die versterkt worden door monitoring en perimeter firewalls. Moderne security modellen, ook voor de cloud, betekenen echter dat de perimeter niet bestaat en Ephemeral IP’s kunnen per dag verschillend zijn. En teamleaden die remote werken, loggen in vanaf verschillende devices, waardoor er nog meer IP-adressen nodig zijn.
Praktische uitdagingen
IP-gebaseerde security brengt ook grote praktische uitdagingen met zich mee. Ze zijn complex om op te zetten, te implementeren en te beheren en vereisen veel ervaring, vooral op grote schaal en in grote bedrijven. Maar het echte probleem? Als de inloggegevens van een gebruiker worden gestolen of een device wordt gehackt, kan het IP-adres niet langer worden vertrouwd.
Het is duidelijk dat het traditionele model voor IT security niet langer geschikt is voor nieuwe vormen van werken en dat er een nieuw model nodig is. Een model waarbij de controle-eenheid de identiteit is en waarbij deze identiteit de basis vormt van een systeem van autorisatie en authenticatie voor elk device, elke service en elke gebruiker op een netwerk. Dat is Zero Trust, een systeem dat uitgaat van de veronderstelling dat identiteit moet worden geverifieerd.
Remote werken stimuleert het gebruik van Zero Trust
Door de verschuiving naar high-trust digitale werkomgevingen en de toename van het aantal inbreuken, groeit de interesse in Zero Trust. Volgens Gartner zal in 2024 maar liefst 40 procent van de remote toegang plaatsvinden op basis van een Zero Trust-model. In 2020 was dat nog 5 procent. Remote werken stimuleert het gebruik van Zero Trust en wordt gezien als een snelle manier om security en compliance te bereiken, zo blijkt uit een rapport van Microsoft over de adoptie ervan.
Zero Trust wordt geïmplementeerd door middel van consistente tools, workflows en processen die worden geleverd als een set van gedeelde, centraal beheerde en geautomatiseerde services. Hoe ziet dat eruit? Het betekent het codificeren van policies en procedures voor autorisatie en toegang over alle technologie stacks, domeinen en service providers die samen de IT infrastructuur vormen.
Het is belangrijk dat policies en procedures centraal worden beheerd – net als de assets die worden gebruikt om toegang te controleren, zoals tokens, gebruikersnamen, wachtwoorden, certificaten en encryptiesleutels. Dit biedt diverse voordelen.
Drie voordelen
Het eerste voordeel is betere bescherming. Bovengenoemde toegangscontrole-tools zijn vaak verspreid over diverse IT-omgevingen – bijvoorbeeld database-wachtwoorden gecodeerd in platte tekst of configuratiebestanden opgeslagen in een Dropbox-account. Ze kunnen niet worden geoperationaliseerd en zijn een makkelijke prooi voor hackers. Centralisatie biedt een middel om ze te beschermen en ze op te nemen in een systeem van autorisatie- en toegangscontroles.
Het tweede voordeel is dat een platform gecreëerd wordt, waarmee de levenscyclus van autorisatie en toegang kan worden beheerd. Naarmate de IT-infrastructuur verandert door nieuwe, gewijzigde of afgeschafte services, kunnen afhankelijkheden tussen gateways, middleware en devices eenvoudig gewijzigd worden. Secruity en compliance worden hierdoor agile.
Het laatste voordeel biedt automatisering. Handmatige verwerking is arbeidsintensief en kan teams en hun vermogen om met de nodige snelheid en precisie op inbreuken te reageren, beperken. Door automatisering van het proces kunnen IT- en security-teams een flink aantal taken efficiënter uitvoeren:
Het managen van de lifecycle van credentials
- Het creëren van policies
- Het versterken, coderen en toepassen van policies voor:
- toegang tot systemen;
- administratie en management van secrets;
- issuing network configuraties;
- het mogelijk maken van beveiligde connectiviteit.
Deze acties moeten allemaal in één enkele workflow kunnen worden uitgevoerd, ongeacht de cloud provider, en moeten zonder menselijke tussenkomst op de vereiste schaal en in het vereiste tempo kunnen worden uitgevoerd.
We zijn op weg naar een situatie waarin werknemers erop kunnen vertrouwen dat ze op afstand kunnen werken met behulp van een nieuwe generatie van meer geïntegreerde werkplek applicaties. Om die werkplek te beveiligen, moeten we afstappen van een high-trust security model en Zero Trust omarmen.
Tekst: Sarah Polan. Sarah werkt voor HashiCorp vanuit Amsterdam en is EMEA Field CTO
