Veilig beheer van informatieverwerking via Vo PAM

VO-PAM
Paragraphs

Het Facilitair Bedrijf (HFB) en HB-plus introduceren de nieuwe bouwsteen Vo PAM (Privileged Access Management) om de entiteiten binnen de Vlaamse overheid te ondersteunen i.k.v. de nieuwe Vo informatieclassificatie en de Europese GDPR (General Data Protection Regulation) richtlijnen, en om ons af te lijnen op de algemene industriële IT veiligheidsnormen (ISO27001).

Meer controle en inzicht in beheersactiviteiten

De informatieclassificatie en de GDPR-richtlijn vereisen een betere controle over de beheersactiviteiten binnen de informatieverwerking. Door jouw toepassing toe te voegen aan het Vo PAM platform verkrijgt men deze noodzakelijke controle.

Vo PAM biedt:

  • beveiligde en geëncrypteerde opslag van geprivilegieerde beheeraccounts
  • gecontroleerde toegang tot geprivilegieerde beheeraccounts, op basis van sterke authenticatie (ACM/CSAM)
  • wachtwoordbeheer van geprivilegieerde beheeracounts
  • isolatie, monitoring en videoopname van beheersessies
  • geëncrypteerde opslag van toegangssleutels
  • Integriteit in de audit trails door middel van veilige opslag van sessie opnames en audit logs.
Jouw eigen toepassing toevoegen aan Vo PAM

HB-plus kan via een werkaanvraag nagaan welke activiteiten uitgevoerd moeten worden om jouw toepassing toe te voegen aan het Vo PAM.

Het is belangrijk dat de afnemer van de PAM-dienst, in samenspraak met haar Veiligheidsconsulent, de Vo Informatieclassificatie van de toepassing heeft bepaald.

Als onderdeel van de uitvoering van een onboardingtraject wordt:

  • de AS-IS situatie vanuit het oogpunt van PAM onboarding gevalideerd
  • de PAM onboardingspecificatie (TO-BE) opgesteld
  • de onboarding op basis van de specificaties uitgevoerd en gevalideerd.

Vanaf het moment dat de validatie en de overdracht naar het operationele team succesvol werden afgerond, wordt het Target Systeem beheerd via en onder controle van de Vo PAM processen.

Technische beschrijving

Hierna volgt een zeer technische uiteenzetting over Vo PAM. Deze bevat de volgende informatie

  • Onderdelen Vo PAM
  • Koppeling met WebIDM (gebruikersbeheer Vlaamse overheid)
  • De werking toegelicht

De kern van Vo PAM is gebaseerd op de CyberArk oplossing die zorgt voor een volledig geëncrypteerd opslag van wachtwoorden en sleutels.

Deze achterliggende infrastructuur componenten bevinden zich in het Vo-datacenter in een specifiek beveiligde en afgeschermde locatie. Fysieke toegang tot deze componenten is enkel mogelijk onder begeleiding van een vertegenwoordiger van HFB.

De CyberArk infrastructuur fungeert als hoog beveiligd jumpstation. Hierbij komen de paswoorden en sleutels om toegang te krijgen tot de beheerde infrastructuur niet in handen van de eigenlijke gebruiker. Het effectieve gebruik kan worden gemonitord en elk gebruik van de dienst kan worden teruggekoppeld aan de fysieke gebruiker.

De volledige communicatie tussen het werkstation van de gebruiker en de beheerde infrastructuur gaat over een beveiligd en afgeschermd kanaal en het systeem is in staat om hierbij alle activiteiten, die via de dienst verlopen, te registreren. Deze informatie is beschikbaar om de activiteiten rechtstreeks of uitgesteld te bekijken. De PAM infrastructuur zorgt er ook voor dat de wachtwoorden op de beheerde infrastructuur op regelmatige basis worden aangepast op basis van een strikt wachtwoord policy.

De werking toegelicht

Koppeling met WebIDM (gebruikersbeheer Vlaamse overheid)

Het PAM toegangsbeheer verloopt via webIDM. Wat een PAM-gebruiker kan en mag doen in en via PAM wordt bepaald via zijn Lokale Beheerder.

Uitvoeren van Beheeractiviteiten

De beheerder, een PAM User/Gebruiker, voert de Beheeractiviteiten uit op de op de systemen onder controle van PAM. Vo PAM zorgt voor de noodzakelijke controle tussen de het werkstation van de PAM gebruiker en het systeem onder beheer van deze gebruiker. Het platform ondersteund in de opstartfase zowel het Microsoft remote desktop protocol (RDP) als het Secure Shell protocol (SSH), maar zal worden uitgebreid met andere generieke functionaliteiten waar de vraag zich stelt. We denken hierbij bijvoorbeeld aan, maar beperken ons niet tot, een gecontroleerde en beveiligde interactieve toegang tot de Amazone Web Services en bijhorende command line interface (AWS en AWS CLI). Ook het beheer van databases en andere behoeften kunnen op vraag worden bestudeerd en begeleiden we de PAM gebruiker naar een oplossing die de basisprincipes van PAM ondersteund.

Audit logging

De audit logging geeft aan wie, wanneer, welke account gebruikt heeft via Vo PAM en welke activiteiten deze persoon heeft uitgevoerd.

SIEM

Het beheerde Systeem wordt in functie van PAM ook aangesloten op SIEM (de Vo Security Incident en Event Management omgeving), zodat de relevante security events doorvloeien naar Vo SIEM en mee opgenomen worden in de risico rapporting.

Rapportering

De risico rapportering wordt maandelijks geproduceerd en aangeleverd aan Het Facilitair Bedrijf (HFB) van waaruit de informatie zal doorstromen naar de PAM afnemers. Voor HB-plus activiteiten, in functie van HB-plus AMaaS-diensten, zal deze informatie verwerkt worden door HB-plus.

Volgende rapportering is voorzien.

  • Gebruik van de dienst en of de toegang werd gemotiveerd via het wijzigingsproces.
  • Beheerstoegangen tot de systemen onder controle PAM die niet via de PAM-dienst verlopen.
Meer info

Voor meer informatie kan u zich richten tot Marie Perichon of Johan Smekens van Het Facilitair Bedrijf en Edwin Dhondt of Renaud Dubois van HB-plus.

Gerelateerde artikels

Wat bedrijven kunnen leren van informatieclassificatie bij de Vlaamse overheid

Datalekken, phishing, spam: 'cybersecurity' zorgt voor tal van uitdagingen voor bedrijven en organisaties. Het Facilitair Bedrijf is het agentschap van de Vlaamse overheid dat het gemeenschappelijke ICT-aanbod uitbouwt voor de hele Vlaamse administratie en bij uitbreiding voor de lokale en provinciale besturen.