Overslaan en naar de inhoud gaan
Achtergrond PRO
15 februari 2008 leestijd 7 minuten 0 reacties

Jericho Forum is overbodig

Ergens in een theorielokaal van de standaardisatieorganisatie The Open Group zitten enkele idealisten – bekend als het Jericho Forum (www.opengroup.org/jericho) – een concept uit te werken dat gedoopt is met de woordslinger de-perimeterisation. Een geniale vondst, want tegen de tijd dat het gelukt is om dit woord zonder hakkelen uit te spreken, zit het voorgoed vastgenageld in het geheugen.
Rob van der Staaij
Rob van der StaaijMeer van deze auteur
Carriere
Shutterstock
Shutterstock


De-perimeterisation behelst kortweg dat gegevens zoveel mogelijk zelf moeten worden beschermd, in plaats van de infrastructuur daaromheen. Hoewel het door dat nieuwe woord wellicht lijkt alsof dit concept door het Jericho Forum is vormgegeven, gaat het hier in werkelijkheid om trends die hun eigen gang gaan.
Het forum bestaat inmiddels alweer vier jaar, een goed moment om het fenomeen de-perimeterisation eens kritisch te beschouwen.
Wat zijn die trends waarvoor het Jericho Forum zich als thought-leader opwerpt, maar die feitelijk door de markt worden gestuurd? Die houden in dat IT-infrastructuren steeds minder opzichzelfstaande omgevingen zijn. Met de komst van het internet en de bijbehorende businessmodellen verlangen ook klanten, businesspartners en hun applicaties er toegang toe. Ook wordt informatie steeds vaker meegenomen naar elders – laptops, USB-sticks en andere separate apparaten vormen de exponenten van een verbrokkelende IT-infrastructuur. Firewalls zijn dus niet voldoende, de beveiliging moet meer worden toegespitst op de gegevens zelf.
Daarom werden als antwoord hierop beveiligingsgereedschappen als antivirussoftware, encryptie, intrusion detection en een reeks van identitymanagementtechnieken uitgevonden, inclusief hierop afgestemde architectuurmethoden waarmee dergelijke omgevingen op ordentelijke wijze en zonder rafels aan elkaar kunnen worden geknoopt. Ontwikkelingen die zijn ingezet, ruim voordat het Jericho Forum werd opgericht.
Tot nu toe heeft het Jericho Forum geen enkel concreet handvat in de vorm van een standaard of protocol aangeboden om de ontwikkelingen rondom de-perimeterisation te structureren. Er worden slechts voorstellen gedaan en bestaande standaards, protocollen en technieken worden herhaald. Aan leveranciers wordt gevraagd om producten te leveren, die volledige de-perimeterisation mogelijk moeten maken. Maar leveranciers leveren geen producten wanneer iemand aan de zijlijn daar om roept. Die leveren uitsluitend wanneer de markt daar om vraagt.
Het is dus de markt zelf die allang bezig is invulling te geven aan de-perimeterisation, maar wel stapsgewijs en binnen bepaalde grenzen. Het verschuiven van de beveiliging naar assets en data betekent namelijk ook een verspreiding en versnippering van diezelfde beveiliging, wat kosten en risico’s doet toenemen. Het Jericho Forum kan daarom hooguit als trendwatcher worden gezien, een trendwatcher die hier en daar te hard loopt. Want zullen we wedden dat die firewall er over tien jaar nog staat?
Het Jericho Forum heeft elf geboden opgesteld, waarin de concepten van de-perimeterisation zijn vervat. Die zijn bijna allemaal te kwalificeren als algemene statements, opendeuruitspraken of louter constateringen van bestaande ontwikkelingen.
1. De scope en de mate van bescherming dienen specifiek te worden afgestemd op het object dat risico loopt
Dit is het beruchte firewallgebod van het forum. Firewalls zouden te ver van individuele systemen en gegevens af staan en daarom slechts basisnetwerkbescherming bieden.Niemand heeft ooit beweerd dat firewalls in hun eentje in staat zouden zijn afdoende bescherming te bieden. Die firewall is altijd al – door iedere weldenkende beveiligingsprofessional – beschouwd als aanvullend beveiligingsmechanisme waarachter je nog andere securitytechnieken nodig hebt. Maar hoe je het ook wendt of keert, daarvan heb je er minder nodig wanneer er een firewall voor staat.

2. Beveiligingsmechanismen moeten alomtegenwoordig, simpel, schaalbaar en gemakkelijk te beheren zijn
Toen ik – jaren geleden – trots mijn allereerste ontwerpdocument met de F10-toets in WordPerfect dacht te vereeuwigen, stonden ergens daarin de requirements ‘flexibility, scalability and manageability’ gecodificeerd. Die slogan kwam ik indertijd in nog tientallen andere architectuurdocumenten tegen, evenals ‘keep it short and simple’ (KISS). Het zijn oneliners waar zelfs Rita Verdonk haar neus voor zou ophalen.

3. Houd rekening met de context
Een securityoplossing voor één omgeving kan niet zonder meer op andere omgevingen worden toegepast. Ook moet rekening worden gehouden met omgevingsfactoren van bijvoorbeeld juridische, geografische en technische aard. Voor het computernetwerkje van schaatsclub De Vrolijke Viking is het waarschijnlijk minder zinvol om een oplossing voor federated identity te implementeren. Is men toch eigenwijs, dan moet men niet vergeten even de Wet bescherming persoonsgegevens te raadplegen voordat de gegevens van de schaatsbusinesspartners in een repository worden opgeslagen.

4. Systemen en applicaties moeten communiceren door middel van open en veilige protocollen
Dit gebod illustreert dat onze generatie echte de-perimeterisation in ieder geval niet meer zal meemaken. Want voordat leverancierspecifieke en onveilige communicatieprotocollen uitgestorven zullen zijn, zijn we al toe aan internet 7.0 of 8.0. Bovendien moeten werkelijk potdichte authenticatieprotocollen nog worden uitgevonden, want ook de door velen – het Jericho Forum incluis – bejubelde protocollen SSH en Kerberos kennen wel degelijk zwakheden.

5. Alle systemen moeten in staat zijn om in een onveilig netwerk hun beveiligingsprincipes in stand te houden
Volgens het forum moet de beveiliging van een computer zelfs in ‘the raw internet’ overeind kunnen blijven.
Mijn thuis-pc hangt bij voortduring in dat rauwe internet. Ook met mijn laptop wroet ik geregeld in het virtuele hellevuur. Op beide apparaten heb ik een stapeltje securitymechanismen geïmplementeerd, zoals encryptie, antivirussoftware en een personal firewall, waarmee zowel mijn pc als laptop het aardig blijkt uit te houden in de cybergifpoel.
Maar dat wil nog niet zeggen dat organisaties hetzelfde kunnen doen. Bedrijfskritische systemen hebben vaak een veel complexere configuratie en lang niet altijd een huis-tuin-en-keukenbesturingssysteem. Die zijn dus moeilijker te beveiligen, om over de kosten daarvan nog maar te zwijgen.

6. Bij zowel mensen, processen als technologie moet bij elke transactie sprake zijn van ondubbelzinnig en transparant vertrouwen
Vertrouwen moet er altijd zijn, bij elke overeenkomst, in welke context dan ook, virtueel of aards. Dat is tegenwoordig zo en dat was ten tijde van de VOC al zo. Ook is het logisch dat er bij risicovollere transacties meer vertrouwen en meer waarborgen moeten zijn.
In e-commerceomgevingen echter blijkt vertrouwen, of liever het gebrek daaraan, een groot obstakel. Het opbouwen van vertrouwen is een langzaam proces dat zich slecht verhoudt tot de haast van de elektronische snelweg.

7. Vertrouwen moet wederzijds bepaald kunnen worden
Voortbordurend op het vorige gebod concludeert het forum dat er in e-commerceomgevingen mechanismen voorhanden moeten zijn voor het vaststellen van vertrouwen en het vastleggen van overeenkomsten.
Daarbij wordt goeddeels voorbijgegaan aan het feit dat er achter elke e-commerceomgeving mensen van vlees en bloed schuilgaan. In marktplaatsachtige omgevingen hoeft men de andere partij niet per se persoonlijk te kennen. Maar in echt risicovolle e-commerceconstellaties zien we dat het verkrijgen van het eerste vertrouwen en de eerste overeenkomsten bijna altijd gewoon ‘live’ plaatsvinden.
Een relatie van mij verkoopt online Chinese koelkasten. Daarvoor is hij afgereisd naar China om persoonlijk kennis te maken met de directeur van de koelkastenfabriek. Informatie over diens reputatie heeft hij voornamelijk op de oude, vertrouwde wijze ingewonnen: via enkele telefoontjes. Toen het tenslotte tot wederzijds vertrouwen kwam, hebben beiden gewoon een papieren overeenkomst ondertekend.
8. Authenticatie, autorisatie en aansprakelijkheid moeten ook buiten het eigen domein functioneren
Dit gebod refereert hoofdzakelijk aan federated identity, het concept waarbij organisaties op basis van een gezamenlijke architectuur, technologie en operationele afspraken gebruikers in staat stellen om met één set credentials diensten af te nemen. Digitale identiteitsportefeuilles, zoals Microsoft CardSpace en OpenID, zijn vergelijkbaar, maar zijn meer gebruikersgericht.
Beide ontwikkelingen blijken maar moeizaam van de grond te komen, precies door het gebrek aan vertrouwen dat juist een fundament is van de beoogde ‘de-perimeterised’-wereld.

9. De toegang tot gegevens moet zoveel mogelijk worden gecontroleerd door gegevenseigen beveiligingsattributen
Dit vormt eigenlijk de kern van de-perimeterisation. Wanneer je de gegevens zelf beveiligt, bijvoorbeeld via versleuteling, en daar ook nog wat technieken aanhangt waarmee je kunt bepalen wie er met zijn vingers aan mag zitten, dan zijn de beveiligingsvoorzieningen verderop in de IT-infrastructuur feitelijk overbodig. Zulke oplossingen zijn er al – zij het nog lang niet uitgekristalliseerd – in de vorm van bijvoorbeeld enterprise digital rights management (EDRM).
Ik ken een bankverzekeraar die honderden bedrijfskritische systemen heeft, variërend van Unix tot mainframe. Samen hebben die systemen honderdduizenden bestanden en directories. Dacht men nu werkelijk dat die bankverzekeraar zijn firewalls en andere netwerkbeveiligingsmechanismen bij het grof vuil gaat zetten om al die honderdduizenden bestanden en directories afzonderlijk op slot te draaien?
EDRM-oplossingen zijn meer van toepassing op gegevens die gedeeld worden en daarbij wel eens – binnen of buiten de deur – een ommetje maken, bijvoorbeeld in proces- en workflowomgevingen, of via e-mail of een USB-stick.

10. Het waarborgen van de integriteit van waardevolle gegevens en objecten vereist functiescheiding
Functiescheiding (segregation/separation of duties) houdt in dat kritische handelingen moeten worden gespreid over individuen of rollen, zodat niemand in zijn eentje iets uit kan halen.
Een voorbeeld van oude wijn in nieuwe zakken, want in Circular A-123 van de U.S. Office of Management and Budgets uit 1995 lezen we al: ‘Sleutelfuncties en -verantwoordelijkheden rondom het autoriseren, uitvoeren, vastleggen en goedkeuren van overheidstransacties moeten worden gespreid over individuen.’

11. Gegevens moeten bij opslag, transport en gebruik standaard afdoende worden beveiligd
Toen de leden van het forum dit gebod – dat wel heel erg overlapt met gebod negen – opschreven, moeten ze hebben gedacht aan al die persberichten over defensie- en geheimedienstmedewerkers die USB-sticks met gevoelige informatie hebben laten rondslingeren in stomerijen, huurauto’s en bordelen. Een zich herhalend verschijnsel, want in de diskettetijd gebeurde precies hetzelfde. Encryptie is hiervoor een oplossing, maar mensen moeten ook gewoon op hun spullen letten.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in