Veel organisaties hebben hun IT en OT uitbesteed aan externe dienstverleners. Generieke stukken van de infrastructuur zoals het netwerk en de werkplekken maar ook onderdelen zoals de proces automatisering zijn voor wat betreft het onderhoud belegd bij derde partijen. Om controle te hebben over de werkzaamheden die door externe dienstverleners worden uitgevoerd zijn passende maatregelen vereist.

Controle op je externe dienstverleners

Het Amsterdams Energie Bedrijf heeft tientallen leveranciers die het beheer doen op specifieke IT en OT onderdelen. Steeds vaker zie je dat deze werkzaamheden remote vanaf de locatie van de leverancier of vanaf een thuiswerkplek plaatsvinden.

De leverancier heeft hierbij directe controle op de volgende gebieden.

• Controle op de lifecycle van de identiteiten die de beheertaken uitvoeren, deze medewerkers zijn namelijk in dienst bij de leverancier.
• Controle op de rechten en het gebruik daarvan welke noodzakelijk zijn bij de uitvoer van de beheertaken.
• Controle op de beveiliging van de werkstations welke gebruikt worden bij het uitvoeren van de beheertaken.
• Controle op de security awareness van de medewerkers die de beheertaken uitvoeren.

Om als organisatie in controle te komen ten aanzien van de door derden uit te voeren beheertaken heeft Navaio bij AEB een PAM oplossing geïmplementeerd.

PAM geeft invulling aan de volgende functionaliteiten.

Password Vault

De gebruiker van een privilege account mag niet op de hoogte zijn van de actuele passwords voor kritieke systemen en applicaties. De PAM oplossing beschermt deze credentials middels een Vault.

‍

Password management (auto-generation,rotation, workflow approval)

Elke keer wanneer een privilege gebruiker toegang vraagt creëert de PAM oplossing een uniek password voor de specifieke sessie. In het geval van zeer kritische systemen kan er een approval flow worden toegepast.

‍

Multi-Factor authentication

De gebruiker wordt geauthenticeerd op basis van een password en een tweede factor.

‍

Remote Access

De PAM oplossing geeft medewerkers van derde partijen remote toegang op basis van role based access (RBAC) zonder aan deze medewerkers AEBdomein credentials te verstrekken.

‍

Session management

De PAM oplossing zet voor elke individuele privilege gebruiker een sessie op. Deze sessie kunnen op basis van command line activiteit en/of video worden opgenomen. Daarnaast kan er realtime worden meegekeken tijdens een sessie. 

‍

Real time visibility en alerting

De PAM oplossing geeft real time inzicht in actieve sessies en geeft op basis van gedragsanalyse inzicht in mogelijk misbruik met privilege accounts.

Emergency access

De PAM oplossing ondersteunt een break glass procedure.

‍

Emergency access

De PAM oplossing ondersteunt een break glass procedure.

‍

Auditing en Reporting

De PAM oplossing heeft  een heldere audit trail

‍

Oplossingen

Navaio maakt gebruik van Secret Server van Delinea en Microsoft Entra als geselecteerde PAM producten. Daarbij is gekeken naar verschillende uitgangspunten.

• Wanneer de organisatie een hybride landschap heeft met een strikte regelgeving ten aanzien van het management van de leveranciersketen, is Secret Server een passende oplossing. Secret Server van Delinea is een SaaS oplossing en kan in een relatief korte tijd worden geïmplementeerd.
• Wanneer de organisatie al haar workloads in de Azure Cloud heeft draaien en daarnaast gebruik maakt van SaaS oplossingen, is Microsoft Entra een passende oplossing.

Deze uitgangspunten geven richting. Wanneer u meer wilt weten over de verschillende oplossingen, implementatie methode en hoe deze zich vertalen naar uw organisatie, neem dan contact op.

Sander Baas

sander.baas@navaio.com