Pega

Office 365 – in zes stappen naar een veiligere omgeving

Veel bedrijven hebben voor hun kantoorapplicaties de overstap gemaakt van een on-premise-omgeving naar Office365. Veilig toegang krijgen tot nieuwe cloudomgevingen is hierbij een belangrijke prioriteit. Daarom is het belangrijk om te beseffen dat de toegang tot cloud- en on-premise-omgevingen fundamenteel van elkaar verschillen.

In de on-premise-situatie was altijd de vraag op welk punt binnen de eigen infrastructuur iemand toegang kreeg tot de omgeving. Vervolgens werd de infrastructuur zo geconfigureerd dat deze toegang mogelijk werd gemaakt. Office365 is een cloudplatform: in principe kan iedereen bij de omgeving en zorgt sterke authenticatie ervoor dat gebruikers al dan niet kunnen inloggen. Dat vraagt om een andere benadering.

In de praktijk zien we dat organisaties nu nog vaak werken vanuit hun oude denkwijze als ze de toegang tot Office365 inrichten. De eigen computers die worden uitgeleverd – de laptops en desktops – zijn vaak erg goed beveiligd. Office365 is echter ook toegankelijk via andere computers zonder bedrijfsbeveiliging, bijvoorbeeld via de browser op de eigen mobiele telefoon of via een internet-PC in een hotellobby. Als niet goed is nagedacht over de toegang tot Office365, dan is het mogelijk dat bedrijfsinformatie onbedoeld en ongewild weglekt uit de organisatie.

Deze blog laat in zes stappen zien hoe Ordina organisaties helpt om dit onbedoelde lek te dichten met minimale gebruikersimpact.

Stap 1 – Inventarisatie

Als eerste kijken we wat er al is gedaan rondom conditionele toegang in het Office365-platform.

  • Welke regels zijn er al aangemaakt, welke groepen worden er in de regels gebruikt?
  • Worden computers beheerd door een MAM/MDM-oplossing?

Het is belangrijk om te allen tijde een account beschikbaar te houden die door geen enkel conditioneel toegangsbeleid heengaat. Dit account, het zogeheten ‘break glass’-account, kan helpen in het geval er iets mis is bij Microsoft om bij nood te kunnen inloggen.

Stap 2 – Beveiligingsbeleid

Vervolgens kijken we naar het beveiligingsbeleid van het bedrijf. Zo kan er gebruik gemaakt worden van standaarden, zoals ISO27001/2 of bepaalde NEN-normeringen en in het geval van de overheid de BIR of de BIO. Dit beleid zegt iets over eisen die gesteld worden aan de devices waarop bedrijfsdata terechtkomt.

Grofweg zijn er twee typen devices:

  • Devices die het bedrijf heeft uitgeleverd en wil beheren;
  • Devices die het bedrijf niet heeft uitgeleverd en niet wil beheren.

Belangrijke vragen voor de devices die het bedrijf niet wil beheren zijn: hoeveel bedrijfsdata ben ik bereid achter te laten op deze devices en hoeveel controle wil ik uitoefenen op deze devices?

Stap 3 – Ontwerpen conditionele toegangsregels

Als het beleid duidelijk is, dan is de volgende stap om te kijken hoe de organisatie de uitgeleverde devices gaat herkennen. Hierbij gaat het om vragen als:

  • Waaraan herken je een door IT uitgeleverd Apple- of Windows-device?
  • Word er gebruikgemaakt van een MDM/MAM-oplossing, zoals Intune, zodat er gedetecteerd kan worden dat het een beheerd device is?
  • Zijn er (externe) personen aanwezig die een eigen systeem meenemen die al door een MDM/MAM-oplossing worden beheerd?

Het ontwerpen van dit geheel aan toegangsregels gaat het best in een whiteboard-sessie met een aantal beheerders. Er zijn namelijk vaak meerdere conditionele toegangsregels nodig om het einddoel te bereiken.

Stap 4 – Implementeren conditionele toegangsregels

Na het ontwerpen kunnen de regels in AzureAD worden aangemaakt. Het is belangrijk om tijdens het maken van deze regels nog geen groepen te koppelen, maar wel het ‘break glass’-account uit te sluiten van alle gemaakte regels. Na het bouwen van de regels is het belangrijk om deze ook te testen. Neem hier de tijd voor! Goed testen voorkomt dat gebruikers tijdens de uitrol tegen vervelende zaken aanlopen.

Stap 5 – Testen conditionele toegangsregels

Het testen van de regels kan eenvoudig in de simulator van AzureAD. Na de bouw van alle regels kunnen ook groepen worden gekoppeld. Deze groepen kunnen in het begin nog weinig mensen bevatten, zodat er goed getest kan worden. Over het algemeen moeten alle gebruikers aan alle regels worden toegevoegd.

Tijdens het testen is het zeer belangrijk om ook daadwerkelijk te valideren dat de beoogde systemen op de juiste manier toegang krijgen. Zorg in deze fase dan ook voor de juiste testsystemen.

Stap 6 – Brede uitrol conditionele toegangsregels

Nadat de testen succesvol afgerond zijn, kunnen de regels breed in de organisatie worden ingezet. Zorg ervoor dat de impact per device duidelijk wordt gecommuniceerd.

Tot slot

Met deze stappen zorg je ervoor dat Office365 als businessplatform veilig te benaderen is voor de hele organisatie. Uiteraard zitten er meer aspecten aan het veilig gebruik van Office365 binnen de organisatie. Een dichte voordeur die alleen opengaat voor de juiste mensen is wel een voorwaarde om hiermee aan de slag te gaan.