Wanneer het gaat om het opslaan van digitale informatie dient informatiebeveiliging altijd voorop te staan. Dit is ook altijd het geval bij de samenwerkings- en archiefsystemen die OPEN.satisfaction aanbiedt, zowel on-premise als in de cloud. Daarom wordt regelmatig de deployment strategie onder de loep genomen om te controleren of deze nog voldoet aan onze strenge eisen. Mark Tielemans, Lead R&D Engineer, heeft enkele tips om de informatiebeveiliging van de iDocumenten/Alfresco omgeving te waarborgen.
Browser SSL
Binnen het digitaal domein is SSL een veel gehoorde term. SSL staat voor ‘Secure Sockets Layer’, de inzet van SSL kan simpelweg uitgelegd worden als versleuteling (encryptie) van gegevensstromen tussen partijen.
Wanneer er verbinding wordt gemaakt met de website van bijvoorbeeld je bank, toont traditioneel een label in je browser met behulp van een slotje en een tekst als ‘Secure’ dat de gegevensstroom tussen jou en je bank versleuteld zijn met behulp van SSL. Dit principe is in te zetten voor alle websites en applicaties. Of dat nodig is, hangt er vanaf wat voor gegevens je uitwisselt. Voor een applicatie als Alfresco is het gebruik van versleuteling sterk aan te raden, omdat er gegevens worden uitgewisseld. Voorbeelden hiervan zijn het tonen (downloaden) en toevoegen (uploaden) van documenten, maar ook aan het inloggen.
Binnen besloten of beveiligde netwerken, bijvoorbeeld bij een gemeente, gebeurt het regelmatig dat klanten opteren voor het niet beveiligen van hun applicaties met versleuteling middels SSL. De verklaring is vaak dat men het netwerk veilig acht. Dit is niet een juist uitgangspunt. Een enkele kwetsbaarheid binnen het netwerk, zoals een onvoldoende beveiligde WiFi hotspot, of een willekeurige applicatie die al enige tijd niet onderhouden is, kan kwaadwillende individuen in staat stellen het netwerkverkeer binnen het gehele netwerk te onderscheppen. Het versleutelen van het netwerkverkeer tussen de gebruiker en applicaties als Alfresco en iDocumenten is dus belangrijk, ook al zijn deze applicaties zelf veilig.
SSL voor Microsoft Office
De softwaresuite van OPEN.satisfaction stelt gebruikers in staat om documenten uit het archief te openen in Microsoft Office. Om dit te kunnen laten werken moet voldaan worden aan configuratie vereisten die gesteld worden door Microsoft Office, waaronder een beveiligde verbinding met de applicatie. We zien soms dat een klant zelf heeft gekozen voor het uitschakelen van deze eisen in Microsoft Office, in plaats van het correct inrichten van SSL-versleuteling. Dit is net zo onveilig als een niet versleutelde verbinding vanuit de webbrowser en dient te worden vermeden.
SSO met Windows authentication
Standaard is er de mogelijkheid gebruikers en diens wachtwoorden te beheren in de applicaties van OPEN.satisfaction. Een betere mogelijkheid echter, is het inrichten van gebruikerssynchronisatie en SSO (Single Sign-On) met Windows authentication. Dit is een authenticatie protocol dat standaard beschikbaar is op werkplekken voorzien van Microsoft Windows.
Bij de inrichting van SSO worden gebruikers uit de centrale Identity Management Service van de organisatie gesynchroniseerd naar iDocumenten/Alfresco, waardoor alle medewerkers beschikbaar zijn in het bestand. De wachtwoorden worden nooit ontsloten en dus ook niet binnen iDocumenten/Alfresco opgeslagen.
Vervolgens wordt SSO met Windows authentication ingericht. Dit werkt op basis van een vertrouwensrelatie tussen iDocumenten/Alfresco en de Identity Manager, en de werkplek en de Identity Manager. Het wachtwoord van de gebruiker wordt nu niet meer via het netwerk uitgewisseld behalve bij login op de werkplek zelf, bij aanvang van de werkdag. Dit maakt de login procedure aanzienlijk veiliger. Daarnaast kunnen medewerkers op deze wijze gemakkelijker doorwerken in het digitaal archief zonder interruptie!
Two-factor authentication
Voor cloud-klanten van OPEN.satisfaction is er een two-factor authentication module ontwikkeld. Deze wordt op ons cloud aanbod ingezet om de toegang tot de omgevingen te beveiligen met een extra authenticatiemechanisme. Op aanvraag is deze module ook beschikbaar voor on-premise installaties.
De module two-factor authentication kan onderscheid maken tussen gebruikers die vanuit het interne netwerk inloggen en gebruikers die vanaf daarbuiten inloggen, bijvoorbeeld vanaf een thuis werkplek. Gebruikers die inloggen vanaf buiten het interne netwerk krijgen een aangepast inlogscherm waar zij een extra code moeten invullen, die steeds anders is en zij op een app op hun smartphone kunnen zien. Op deze manier wordt de beveiliging van de software naar een niveau getild dat geschikt is voor verbinding van buitenaf.
Heeft u vragen over de beveiliging van uw Alfresco of iDocumenten omgeving? U kunt altijd met uw vragen bij OPEN.satisfaction terecht. Onze consultants begeleiden u graag bij het implementeren van deze en meer beveiligingsmaatregelen.