WatchGuard biedt authenticatie als cloud service aan
De Autoriteit Persoonsgegevens heeft de eerste boetes al opgelegd. HagaZiekenhuis, UWV en Uber kunnen erover meepraten. Die geldstraffen lopen in de papieren. Multifactor authenticatie zorgt ervoor dat gegevens ook in de dynamische werkomgeving met verschillende werkplekken en apparatuur veilig zijn, stelt Martijn Nielen, Sales Engineer bij WatchGuard.
Nielen begint het gesprek met de mededeling dat WatchGuard zich richt op het middensegment: alles tussen kleine zelfstandigen met maximaal tien personeelsleden, en de grote, internationaal opererende ondernemingen met duizenden werknemers.
“Het probleem is dat de organisaties in het middensegment dezelfde behoefte aan beveiliging hebben als de enterprise-bedrijven, maar vaak niet beschikken over een eigen, goed geoutilleerde IT-afdeling”, meent Nielen. Zij moeten dus in zijn ogen kunnen werken met security-oplossingen die eenvoudig zijn te implementeren en te beheren tegen een redelijke prijs. Dat brengt hem tot de multifactor authenticatie die WatchGuard in zijn portfolio heeft: AuthPoint.
Dynamisch
Nielen schetst hoe mensen tegenwoordig werken, een arts die via een VDI, Citrix of RDP op afstand werkt, een medewerker van de gemeente die door promotie van het nieuwe werken overal veilig documenten moet kunnen inzien en alle andere sectoren waar met persoonsgegevens wordt omgegaan. Ze doen dat op een vaste plek met een pc, of op een wisselplek met een zelf meegebrachte laptop, maar ook tablets en smartphones zijn de werkezels van nu. “Het is altijd een dynamische omgeving. Waarbij ze dan ook nog eens applicaties van het eigen datacenter gebruiken, apps en/of cloudtoepassingen. En iedere keer maar weer jezelf aanloggen”, beschrijft hij de huidige, complexe IT-landschappen.
Het brengt hem terug bij wat de Autoriteit Persoonsgegevens oordeelde over het HagaZiekenhuis. In het oordeel van de toezichthoudende instantie lezen we: “Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen: 1) Het ziekenhuis moet regelmatig controleren wie welk dossier raadpleegt. Op deze manier kan het ziekenhuis tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en daartegen maatregelen nemen. En 2) Bij een goede beveiliging hoort authenticatie waarbij ten minste twee factoren betrokken worden. De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code, of een wachtwoord in combinatie met een personeelspas. Zo’n pas die veel gebruikt wordt in de gezondheidszorg vormt bovendien een praktisch probleem, want deze kun je normaal gesproken niet gebruiken in combinatie met een tablet.”
Softwarematig token
Tweefactor authenticatie kennen we allemaal wel: eerst gebruikersnaam plus wachtwoord met aanvullend een code die wordt gegeneerd door een apparaatje, een token; sommige banken hebben het over een identifier, andere banken hebben het over een digipas. Maar het gaat altijd over een klein apparaatje dat een code ophoest die de gebruiker als extra controle moet invoeren om toegang te krijgen tot een applicatie of een gebruikersportal.
“Erg onhandig. En je kunt die dingen kwijtraken; dan kun je niet aan het werk. Het is wel tweeweg authenticatie, maar niet erg gebruiksvriendelijk”, meent Nielen.
Daarom biedt WatchGuard een oplossing die de token softwarematig aanbiedt. In feite is het een mobiele app met de naam AuthPoint. “Twee jaar geleden hebben wij het bedrijf Datablink overgenomen dat ruim op de markt voorop liep met geavanceerde authenticatie. Wij hebben dit geïntegreerd in ons portfolio met hoogwaardige security-oplossingen dat we al twintig jaar aanbieden. Datablink heeft in het verleden vele miljoenen hardware tokens geleverd. Een softwarematig token biedt ontzettend veel voordelen. Desondanks biedt WatchGuard met AuthPoint toch de ondersteuning voor hardware tokens voor toepassingen waarbij een gebruiker zijn smartphone niet voor authenticatie wil gebruiken of indien er andere praktische redenen zijn om terug te vallen op een speciaal hardware token.
AuthPoint vereist geen toevoeging van nieuwe servers of beheerapplicaties. “We hebben er een clouddienst van gemaakt die ook voor het middensegment bereikbaar is. Financieel, maar vooral ook vanwege het gebruiksgemak. Je hebt er geen IT-afdeling voor nodig om het te laten werken.”
Via partners
WatchGuard levert zijn oplossingen altijd via partners. Ook voor AuthPoint zijn de resellers onontbeerlijk. “Maar het mooie is dat ze er hun eigen dienst omheen kunnen aanbieden. Zij kunnen bijvoorbeeld de configuratie voor een klant regelen en gebruikmaken van onze website. De configuratie is volledig cloudgebaseerd, laagdrempelig en zeer eenvoudig. Het is natuurlijk een nieuw product en een nieuw prijsmechanisme (keuze tussen vooraf afrekenen voor een vaste periode, of afrekenen per maand), dus het duurt even voordat de partners zich dit eigen maken. Maar er zijn er al, die elke week meerdere nieuwe klanten aan zich weten te binden”, vertelt Nielen.
Integratiemogelijkheden
Daarna laat Nielen zien hoe het werkt. En hoe eenvoudig het is. Op de achtergrond gebruikt AuthPoint RADIUS (remote authentication dial-in user service), om via een beveiligde VPN-verbinding gebruikers toegang te verlenen tot hun applicaties en gegevens. Behalve je inloggegevens heb je de AuthPoint app nodig, nadat de gebruiker zijn wachtwoord heeft ingevoerd in b.v. zijn VPN client verschijnt er op de smartphone een Push die de gebruiker met een druk op de knop moet goedkeuren, dit is erg gebruiksvriendelijk, voorkomt vertraging en omdat er geen eenmalige code meer nodig is, voorkomt het bovendien fouten bij lezen en invoeren. Dat betekent tegelijkertijd dat keyloggers (die hackers vaak gebruiken om gegevens te achterhalen) geen kans maken.
Behalve het beveiligen van applicaties en b.v. VPN toegang, kan via de AuthPoint agent voor Windows en Mac OS de computer zelf extra beveiligd worden met inloggen via dezelfde AuthPoint app. De app zelf heeft ook allerlei optionele security features in zich, zoals de extra beveiliging met een vingerafdruk of gezichtsherkenning, voor oudere smartphones kan naar keuze in plaats hiervan gewerkt worden met een PIN-code. Er is, zo laat Nielen zien, zelfs een mogelijkheid bedacht om toch met twee-factor authenticatie toegang te krijgen tot cloud applicaties als de smartphone geen bereik heeft. Dankzij gebruik van een QR code die gescand kan worden door de smartphone kan de gebruiker zich aanmelden met sterke authenticatie. Dankzij slim gebruik van deze QR code kan dit ook toegepast worden voor lokale aanmelding op de computer, zelfs als de computer en de smartphone beide off-line zijn.
AuthPoint werkt samen met elke applicatie die SAML (Security Assertion Markup Language), ADFS en RADIUS ondersteunt. Daarnaast biedt WatchGuard standaard ondersteuning voor Office365, Citrix, VDI, RDP en RD Web. De mogelijkheden hiervoor zijn uitgewerkt in toegespitste documentatie. Bovendien is er een API voor klant-specifieke applicaties. “Zo kunnen de meeste ziekenhuizen hun Elektronisch Patiënten Dossier ontsluiten via onze multifactor authenticatie. Een uitkomst voor bijvoorbeeld HagaZiekenhuis”, besluit Nielen.
