Veilig omgaan met informatie: wat doen hindernissen? | Technische blog deel 4
Vroeger, in de tijd van Het IJzeren Gordijn, was de grens tussen het Oostblok en het Westen een doolhof van hindernissen. De scheidingslijn bestond uit blokkades in allerlei vormen. Maar ondanks deze vorm van ‘bescherming’, boden de hindernissen vooralsnog geen garantie dat alles en iedereen tegen gehouden werd. Want wie het écht wilde ging proberen om aan de andere kant te komen. Hoe zit dat eigenlijk in de wereld van automatisering? Kunnen we onze data beschermen met hindernissen? En zo ja, welke hindernissen komen we bijvoorbeeld tegen?
Data: veilig, maar toch flexibel
Wanneer we automatiseren zetten we hindernissen op om ‘verkeerde invloeden’ (denk aan hackers, aanvallen of datalekken) buiten te houden. Want we willen onze data beschermen en veilig houden. Tegelijk wil je dat je data goed te benaderen is, dat de medewerkers goed met data en de geautomatiseerde stromen kunnen werken én dat het makkelijk met andere applicaties om kan gaan.
De route van data
In deze blog vertelde ik je meer over het veilig borgen van informatie en over de route die data aflegt via het internet. Onderstaande afbeelding geeft dit weer. Je ziet hier de verbinding vanuit de cloud naar een portal en naar een webservice:
Nu gaan we verder in op de inkomende route: van de cloud applicatie naar de "op locatie" applicatie.
Het is net als een postpakketje
Eigenlijk kun je deze inkomende route vergelijken met een postpakket. Er is een initiatief vanuit een applicatie of een persoon om data uit te wisselen. Dit resulteert in een bestelling. Aan het einde van de bestelling moet je vaak je adresgegevens invoeren. Of, als je bent ingelogd, liggen de adresgegevens al vast. Het pakket krijgt een postzegel of een stempel, het transport is betaald en geregeld. Het transport wordt door een betrouwbare partij uitgevoerd en bij het afleveren moet je nog even een ontvangstbevestiging tekenen. Een proces waar we allemaal bekend mee zijn in deze tijd van internetaankopen.
Wat doen certificaten, servernamen en host headers?
In de eerdere blog benoemde ik certificaten, servernamen en host headers. Dit zijn hindernissen die je in kunt zetten. Kijken we naar het postpakket dan hebben ze alledrie een herkenbare rol:
- Certificaten: de postzegel en het plakband waarmee het pakket "verzegeld is";
- Servernamen: de combinatie van een postcode en het huisnummer;
- Host headers: het complete adres, dus ook met de persoonsnaam.
Certificaten en servernamen
Certificaten en servernamen zijn algemeen in gebruik. Dat moet ook: anders is er geen sprake van veiligheid. Het uniek zijn van een certificaat, net zoals het uniek zijn van een postcode en huisnummer combinatie, garandeert dat het pakket maar op één plek afgeleverd kan worden. Dat is logisch. Wanneer je de pakketbezorger aan de deur treft vraagt diegene hoogstens nog eens een naam of om een identiteitsbewijs.
Host header
De host header is wat complexer: die gebruiken we om een aantal hindernissen extra in te bouwen. Zichtbaar én onzichtbaar. Hiermee willen we voorkomen dat invloeden van buitenaf bij jouw data komen. In de afbeelding is de WAF hier een belangrijke schakel. De WAF maakt gebruik van de host header om controles te doen en om de juiste routering naar de achterliggende services te doen.
Hindernissen: stap vooruit denken
In deze blog heb ik je laten zien hoe hindernissen je informatiestromen kunnen beschermen. De vergelijking van het postpakket geeft hier een concreter beeld bij. De belangrijkste boodschap? Hindernissen zijn noodzakelijk voor veilige informatiestromen. Want je data, die moet veilig zijn. Daar hechten we bij VanMeijel grote waarde aan. Daarom proberen we altijd drie of vier stappen vooruit te kijken rondom informatie(veiligheid) en passen we verschillende hindernissen actief toe binnen onze systemen. De certificaten, servernamen en hostheaders zijn voorbeelden hiervan. Met hindernissen kun je strategisch denken en handelen, veiligheidsrisico's proactief verminderen en je data en de IT-infrastructuur beschermen.
De volgende technische blog, deel 5, zal ingaan op de cloud. Coming soon!
