Technische richtlijnen identity & access management (IAM)
Identity & Access Management (IAM) binnen Infraplannen is ontworpen met beveiliging en compliance als kernprincipes. Alle toegangscontroles en authenticaties verlopen via Entra ID (voorheen Azure AD), waarbij least privilege access, role-based access control (RBAC) en Managed Identities worden toegepast om ongeautoriseerde toegang te voorkomen.
Om identiteiten te beschermen en toegang te reguleren, maakt Infraplannen gebruik van Multi-Factor Authentication (MFA), Privileged Identity Management (PIM) voor beheerders en Conditional Access Policies voor aanvullende toegangscontrole. API’s en services maken uitsluitend gebruik van OAuth 2.0, Managed Identities en Azure Key Vault om credentials en secrets veilig te beheren.
- 1 FAQ
- 1.1 1. Hoe wordt authenticatie geregeld binnen Infraplannen?
- 1.2 2. Welke autorisatieprincipes worden toegepast?
- 1.3 3. Hoe worden API’s en applicaties geauthenticeerd?
- 1.4 4. Hoe wordt toegang tot beheerdersaccounts beveiligd?
- 1.5 5. Hoe wordt toegang tot applicaties en systemen gecontroleerd?
- 1.6 6. Hoe worden mislukte inlogpogingen en verdachte activiteiten gemonitord?
- 1.7 7. Hoe wordt ongeautoriseerde toegang tot data voorkomen?
- 1.8 8. Wordt federatieve authenticatie ondersteund?
- 1.9 9. Hoe wordt identiteitsbeheer over verschillende domeinen geregeld?
- 1.10 10. Hoe wordt wachtwoordbeheer afgedwongen?
- 1.11 11. Hoe voldoet Infraplannen aan beveiligingsstandaarden?
- 2 Toelichting op de maatregelen
- 3 bronverwijzingen
FAQ
1. Hoe wordt authenticatie geregeld binnen Infraplannen?
Authenticatie verloopt via Entra ID (voorheen Azure AD) met Multi-Factor Authentication (MFA). Dit zorgt ervoor dat gebruikers zich veilig kunnen aanmelden en extra verificatie nodig is bij risicovolle aanmeldpogingen.
2. Welke autorisatieprincipes worden toegepast?
Infraplannen maakt gebruik van Role-Based Access Control (RBAC) en het Least Privilege-principe, zodat gebruikers en services alleen toegang hebben tot de bronnen die ze strikt nodig hebben.
3. Hoe worden API’s en applicaties geauthenticeerd?
API’s en services gebruiken OAuth 2.0 Client Credentials Flow voor authenticatie. Secrets en certificaten worden beheerd via Azure Key Vault, en applicaties maken gebruik van Managed Identities om veilige toegang te krijgen zonder hardcoded credentials.
4. Hoe wordt toegang tot beheerdersaccounts beveiligd?
Beheerders hebben alleen tijdelijke verhoogde rechten via Privileged Identity Management (PIM). Dit betekent dat admin-rechten pas worden toegekend na expliciete goedkeuring en voor een beperkte periode.
5. Hoe wordt toegang tot applicaties en systemen gecontroleerd?
Toegang wordt gereguleerd via Conditional Access Policies, waarbij extra controles worden uitgevoerd op basis van locatie, apparaatstatus en risicoanalyse.
6. Hoe worden mislukte inlogpogingen en verdachte activiteiten gemonitord?
Alle aanmeldingen en toegangsverzoeken worden geregistreerd en geanalyseerd via Azure Monitor en Defender for Cloud. Verdachte aanmeldingen, zoals pogingen van onbekende locaties, worden automatisch gemarkeerd.
7. Hoe wordt ongeautoriseerde toegang tot data voorkomen?
Toegang tot data is beperkt via Private Endpoints, RBAC en Managed Identities. Alleen geautoriseerde services en gebruikers kunnen databases en opslagservices benaderen.
8. Wordt federatieve authenticatie ondersteund?
Ja, Infraplannen ondersteunt federatieve authenticatie voor integraties met externe identiteitsproviders via SAML 2.0 en OpenID Connect.
9. Hoe wordt identiteitsbeheer over verschillende domeinen geregeld?
Infraplannen maakt gebruik van System for Cross-domain Identity Management (SCIM) om identiteiten tussen verschillende systemen en domeinen automatisch te synchroniseren. Dit zorgt ervoor dat gebruikersaccounts en toegangsrechten consistent en up-to-date blijven, zonder handmatige tussenkomst.
10. Hoe wordt wachtwoordbeheer afgedwongen?
Entra ID handhaaft sterke wachtwoordregels, waaronder minimale lengte, complexiteitseisen en periodieke rotatie. Bij voorkeur wordt passwordless authenticatie gebruikt, zoals FIDO2 of Windows Hello.
11. Hoe voldoet Infraplannen aan beveiligingsstandaarden?
IAM binnen Infraplannen voldoet aan de richtlijnen van ISO 27001, NCSC, NIST 800-63 en Microsoft Security Best Practices. Beveiligingsinstellingen worden regelmatig gecontroleerd en geüpdatet om te voldoen aan de nieuwste best practices.
Infraplannen is een Agile-ontwikkelde applicatie en bevindt zich nog in actieve ontwikkeling. Dit betekent dat zowel de functionaliteit als de beveiligingsmaatregelen continu worden verbeterd en geoptimaliseerd.
Toelichting op de maatregelen
1. Authenticatie en identiteitsbeheer
Entra ID (Azure AD) is de primaire Identity Provider voor alle gebruikers en services.
Multi-Factor Authentication (MFA) is verplicht voor alle gebruikers en beheerders.
Single Sign-On (SSO) via Entra ID zorgt voor veilige en gestroomlijnde toegang tot applicaties.
Privileged Identity Management (PIM) wordt gebruikt voor tijdelijke, just-in-time administratieve rechten.
2. Autorisatie en toegangscontrole
RBAC (Role-Based Access Control) wordt toegepast om toegang te beperken op basis van rollen.
Managed Identities worden gebruikt voor applicaties en services, waardoor hardcoded secrets worden geëlimineerd.
Conditional Access Policies controleren toegang op basis van apparaatstatus, locatie en risicoanalyse.
Least Privilege-principe wordt strikt nageleefd, zodat gebruikers alleen toegang hebben tot wat noodzakelijk is.
3. Beveiliging van API’s en secret management
OAuth 2.0 Client Credentials Flow wordt gebruikt voor API-authenticatie.
Secrets, certificaten en API-sleutels worden uitsluitend beheerd via Azure Key Vault.
Private Endpoints en VNET-integratie beperken directe toegang tot gevoelige systemen.
Access Tokens hebben beperkte levensduur en worden automatisch vernieuwd via Entra ID.
4. Logging, auditing en threat detection
Azure Monitor en Defender for Cloud registreren alle loginpogingen en toegangsverzoeken.
Risk-based Sign-In Detection waarschuwt bij verdachte inlogpogingen of locatie-afwijkingen.
Activity Logs en Conditional Access Logs worden geanalyseerd op mogelijke beveiligingsincidenten.
Aanmeldpogingen met verhoogd risico worden automatisch geblokkeerd of onderworpen aan extra verificatie.
5. Compliance en integratie met security standards
Federatieve authenticatie en System for Cross-domain Identity Management wordt ondersteund voor integraties met externe identiteitsproviders.
Security reviews en periodieke audits worden uitgevoerd om naleving van best practices te waarborgen.
bronverwijzingen
ISO 27001:2022 – Internationale norm voor informatiebeveiliging https://www.iso.org/standard/27001
NCSC (Nationaal Cyber Security Centrum) – Beveiligingsrichtlijnen voor IAM https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties
Microsoft Entra ID (Azure AD) Security Best Practices https://learn.microsoft.com/en-us/entra/architecture/secure-best-practices
Microsoft Security Baseline – Best practices voor toegangsbeheer https://learn.microsoft.com/en-us/security/
OAuth 2.0 & OpenID Connect Security Guidelines https://datatracker.ietf.org/doc/html/rfc6749
Microsoft Conditional Access Policies – Toegangscontrole op basis van risicoprofielen https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/
Privileged Identity Management (PIM) – Beheer van tijdelijke admin-rechten https://learn.microsoft.com/en-us/azure/active-directory/privileged-identity-management/
Azure Key Vault – Geheimenbeheer en certificaatopslag https://learn.microsoft.com/en-us/azure/key-vault/general/
Azure Monitor en Defender for Cloud – Logging en dreigingsdetectie https://learn.microsoft.com/en-us/azure/defender-for-cloud/
NIST Digital Identity Guidelines (800-63) – Standaard voor identiteitsverificatie en authenticatie https://pages.nist.gov/800-63-3/