Publieke sector 
Keeper Security is nu beschikbaar via twee belangrijke contractvehikels op staatsniveau: California's Software Licensing Program (SLP) en Texas' Department of Information Resources (DIR). Dankzij deze contracten
Als voormalig federaal CISO die tientallen jaren heeft gewerkt aan het ontwerpen en beveiligen van bedrijfsinfrastructuur, maak ik me steeds meer zorgen over het feit dat organisaties blijven vertrouwen op verouderde Privileged Access Management (PAM)-oplossingen die zijn ontworpen voor een ander tijdperk.
Deze systemen waren ooit de gouden standaard op het gebied van beveiliging, maar zijn in de moderne cloudeigen wereld van tegenwoordig gevaarlijke risico’s geworden. Hieronder wordt uitgelegd waarom uw verouderde PAM-oplossing niet alleen ineffectief is,—maar ook een actief risico vormt voor uw organisatie.
De misvatting van perimetergebaseerde beveiliging
Het fundamentele probleem met veroude PAM-oplossingen ligt in hun architecturale DNA. Deze systemen zijn gebouwd voor een tijdperk waarin de grenzen van netwerken duidelijk waren en een sterke perimeter voldoende was om bedreigingen te weren. In de huidige omgeving van hybride clouds, werken op afstand en onderling verbonden systemen is dit model niet alleen verouderd, maar vormt het ook een grote bedreiging.
We blijven vasthouden aan het idee van ‘vertrouwde’ en ‘onbetrouwbare’ netwerken die zijn gebonden aan beveiligingsmaatregelen. Keeper faciliteert een perimeterloze omgeving door geheimen en wachtwoorden gedurende hun hele levenscyclus te beschermen, waar ze zich ook bevinden.
Denk aan een typische federale veroudere PAM-implementatie: hiervoor moeten meerdere firewallpoorten worden geopend (443, 80, 8080, 22, 23, 1434), alleen voor basisfunctionaliteit. Elke poort vertegenwoordigt een potentieel toegangspunt voor aanvallers, waardoor het ‘gatenkaasmodel’ ontstaat – een perimeter vol noodzakelijke gaten die de onderneming in gevaar kan brengen.
Moderne oplossingen zoals Keeper werken daarentegen volgens een zero-trust model, waarbij elk toegangsverzoek op apparaatniveau wordt geauthenticeerd en versleuteld, waardoor permanente firewall-openingen niet meer nodig zijn.
De nachtmerrie van de implementatie
Ik lig ’s nachts niet alleen wakker van de architecturale zwakheden, — maar ook van de realiteit van hoe deze systemen worden gebruikt. Uit mijn ervaring blijkt dat organisaties doorgaans slechts 20-30% van de mogelijkheden van hun verouderde PAM-oplossing benutten. De reden is eenvoudig: deze systemen zijn zó complex en omslachtig dat volledige implementatie praktisch onmogelijk is.
Door deze gedeeltelijke implementatie ontstaat een gevaarlijk vals gevoel van veiligheid. Organisaties geloven dat ze beschermd zijn omdat ze een PAM-oplossing hebben, maar ze hebben onbedoeld een shadow-IT-nachtmerrie gecreëerd. Wanneer gebruikers het officiële systeem te omslachtig vinden, bedenken ze oplossingen — ze slaan wachtwoorden op op ongeoorloofde locaties, delen aanmeldingsgegevens via onofficiële kanalen en maken ongemonitorde beheerdersaccounts aan “om de baan gedaan te krijgen”.
De cloudeigen ontkoppeling
Het grootste minpunt van oudere PAM-oplossingen is dat ze geen ondersteuning bieden voor moderne cloudeigen activiteiten. Deze systemen zijn niet ontwikkeld voor de dynamische aard van de huidige infrastructuur, waarin containers binnen enkele seconden worden opgestart en afgesloten en infrastructuur wordt bepaald door code in plaats van hardware.
Niet-geïmplementeerde functies in uw verouderde PAM-oplossing zorgen ervoor dat u kwetsbaarder bent voor aanvallen en maken uw onderneming minder veilig. Overbodige functionaliteit is een bug, geen feature.
Dit heeft ernstige gevolgen: DevOps-teams worden geconfronteerd met PAM-oplossingen die niet kunnen worden geïntegreerd in hun CI/CD-pijplijnen of die geen dynamische injectie van geheime gegevens kunnen verwerken, waardoor de beveiligingsmaatregelen vaak volledig worden omzeild.
Moderne oplossingen pakken dit aan via API-first ontwerpen en eigen integratie met ontwikkelingswerkstromen. Keeper’s Secrets Manager is bijvoorbeeld een provider van zero-knowledge versleuteling en kan naadloos worden geïntegreerd met CI/CD-pijplijnen. Het maakt automatische injectie en roulatie van geheimen mogelijk zonder de veiligheid of ontwikkelingssnelheid in gevaar te brengen.
De zero-trust noodzaak
Vandaag de dag kunnen we het ons niet meer veroorloven om binnen een netwerkomgeving blindelings te vertrouwen op de veiligheid. Verouderde PAM-oplossingen werken echter nog steeds volgens dit verouderde principe. Zodra gebruikers zich authenticeren bij het PAM-systeem, krijgen ze vaak brede toegang met beperkte doorlopende verificatie.
Moderne beveiliging vereist een zero-trust benadering waarbij elk toegangsverzoek wordt geverifieerd, geautoriseerd en versleuteld. Dit vereist de implementatie van versleuteling op recordniveau, beveiliging op apparaatniveau en voortdurende validatie van de beveiligingsstatus. De architectuur van Keeper zorgt er bijvoorbeeld voor dat elk opgeslagen kluisrecord afzonderlijk wordt versleuteld met AES-256 Galois/Counter Mode (GCM), waarbij versleuteling en ontcijfering lokaal op het apparaat plaatsvinden — en nooit in de cloud of op centrale servers.
Het nalevingsmoeras
De implicaties van verouderde PAM-oplossingen op het gebied van naleving worden steeds problematischer. Naarmate de regelgeving zich ontwikkelt om moderne bedreigingen aan te pakken, slagen veel verouderde systemen er maar moeilijk in om de nodige controles en zichtbaarheid te bieden. Hun logboek- en auditmogelijkheden missen vaak cruciale toegangsgebeurtenissen, waardoor het valideren van de naleving een handmatig en foutgevoelig proces wordt.
Moderne PAM-oplossingen bieden uitgebreide log- en rapportagemogelijkheden die direct integreren met SIEM-systemen. De geavanceerde rapportage- en alarmfuncties van Keeper bieden bijvoorbeeld gedetailleerde auditsporen van alle toegangspogingen en wijzigingen, terwijl zero-knowledge versleuteling wordt gehandhaafd om de privacy van gegevens te waarborgen.
Zero-knowledge-architectuur opnieuw uitgevonden
De kern van moderne PAM is een zero-knowledge architectuur die traditionele kwetsbaarheden elimineert. De implementatie van Keeper gaat nog een stap verder met een meerlaags versleutelingsmodel.
Elk kluisrecord wordt versleuteld met behulp van een unieke 256-bits AES-sleutel in Galois/Counter Mode (GCM) die op het apparaat van de klant wordt gegenereerd. Deze versleuteling op recordniveau zorgt ervoor dat zelfs als één record gecompromitteerd raakt, andere records veilig blijven. Het versleutelings- en ontcijferingsproces vindt volledig plaats op het apparaat van de gebruiker — en nooit in de cloud of op de servers van Keeper.
Als u PAM on-premise implementeert, vertrouwt u op alle lagen van de infrastructuur waarvan u al weet dat ze onveilig zijn, zoals uw netwerk, uw hypervisor en uw besturingssystemen.
Dit model gaat nog verder voor implementaties in ondernemingen: recordsleutels in gedeelde mappen worden omhuld met een 256-bits AES-sleutel voor gedeelde mappen en de recordsleutels en mappensleutels worden versleuteld met een andere 256-bits AES-sleutel, de zogeheten gegevenssleutel. Dit creëert meerdere versleutelingslagen die moeten worden doorbroken om toegang te krijgen tot elk afzonderlijk stukje informatie, waardoor laterale bewegingen en extra compromissen worden voorkomen.
Authenticatie opnieuw uitgevonden
Moderne PAM vereist een heroverweging van de manier waarop we omgaan met authenticatie. De aanpak van Keeper elimineert traditionele kwetsbaarheden door middel van een geavanceerd proces in meerdere stappen:
- Apparaatverificatie: Voordat gebruikers zich kunnen aanmelden, moeten ze een goedkeurings- en verificatiestap doorlopen. Dit voorkomt opsommingsaanvallen en beschermt tegen brute force-pogingen.
- Zero-Knowledge Single Sign-On (SSO): Keeper behoudt zero-knowledge beveiliging bij integratie met identiteitsproviders voor ondernemingen, terwijl naadloze SSO-verificatie mogelijk blijft. Dit wordt bereikt via een unieke aanpak: er wordt een Elliptic Curve-privésleutel gegenereerd en lokaal opgeslagen op elk apparaat. De sleutel wordt opgeslagen als een niet-exporteerbare CryptoKey in moderne browsers, in de Keychain op iOS/macOS-apparaten of versleuteld met de Android Keystore op Android-apparaten.
- Multi-factor-authenticatie (MFA): Keeper ondersteunt veel MFA-opties, waaronder FIDO2 WebAuthn-hardwaresleutels, biometrie en tijdgebaseerde eenmalige wachtwoorden (TOTP’s). Het unieke is dat MFA wordt uitgevoerd na apparaatverificatie maar vóór het invoeren van het hoofdwachtwoord. Dit creëert meerdere beveiligingslagen die achtereenvolgens moeten worden doorlopen.
Cloudeigen beveiliging zoals het hoort
Keeper is niet achteraf aan een verouderde architectuur toegevoegd, maar vanaf de basis ontwikkeld voor moderne omgevingen. Het platform maakt gebruik van AWS in meerdere regio’s (VS, US GovCloud, EU, AU, CA, JP) voor het hosten en exploiteren van de infrastructuur, waardoor organisaties hun gegevenssoevereiniteit kunnen behouden en tegelijkertijd een hoge beschikbaarheid kunnen garanderen.
Alle gegevens in rust worden op het apparaat van de gebruiker versleuteld met AES-256 GCM. Gegevens onderweg worden beschermd met TLS 1.3, plus een extra versleutelingslaag in de payload. Deze dubbele versleutelingsmethode biedt bescherming, zelfs als TLS op een bepaalde manier gecompromitteerd raakt.
DevOps-integratie die echt werkt
Keeper Secrets Manager biedt de juiste DevOps-integratie voor ontwikkelingsteams zonder afbreuk te doen aan de veiligheid. De implementatie omvat:
- Zero-knowledge API-toegang: Applicaties halen geheimen op met behulp van een 256-bits AES-coderingssleutel die aan de clientzijde in GCM-modus wordt gegenereerd. Elk geheim wordt afzonderlijk versleuteld, waarbij de versleuteling en ontcijfering lokaal op het apparaat plaatsvinden.
- Veilige sleuteldistributie: Wanneer geheimen moeten worden gedeeld tussen gebruikers of applicaties, gebruikt Keeper Elliptic Curve-cryptografie om sleutels veilig te distribueren. Zo blijft zelfs het sleuteluitwisselingsproces zero-knowledge.
- Geautomatiseerde roulatie van geheimen: Er wordt een unieke gateway geïnstalleerd in de omgeving van de klant, die veilige uitgaande verbindingen tot stand brengt met de infrastructuur van Keeper. Dit maakt automatische roulatie van geheimen mogelijk zonder interne systemen bloot te stellen.
Realtime bescherming tegen inbreuken
Moderne PAM moet actief bescherming bieden tegen wachtwoordcompromittering. De BreachWatch®-functie van Keeper laat zien hoe dit zou moeten werken: Het systeem onderhoudt een aparte, op zichzelf staande architectuur op AWS voor het verwerken van inbraakdetectie. Wachtwoorden worden verwerkt met HMAC_SHA512-hashing met een Hardware Security Module (HSM) met niet-exporteerbare sleutels. Bij het controleren op gecompromitteerde wachtwoorden wordt een HMAC_SHA512-hash gegenereerd op het clientapparaat en er wordt een tweede hash op de server gemaakt via de HSM. Deze “hashes-van-hashes”-benadering zorgt ervoor dat de daadwerkelijke wachtwoorden nooit worden blootgesteld tijdens het proces om inbreuken te detecteren.
Sessiebeveiliging opnieuw uitgevonden
Voor scenario’s voor externe toegang geeft Keeper Connection Manager een nieuwe invulling aan veilig sessiebeheer:
- Zero-trust verbindingen: Bij het opzetten van externe sessies communiceert de kluisclient met de routerinfrastructuur van Keeper via WebRTC-verbindingen, die worden beschermd door symmetrische ECDH-sleutels die zijn opgeslagen in het relevante Keeper-record.
- Veilige tunneling: Voor poortdoorschakelingsfuncties worden gegevens via WebRTC-verbindingen naar de Keeper-gateway verzonden en vervolgens doorgestuurd naar doeleindpunten. Elke sessie wordt beschermd door een AES-256-coderingssleutel die op de gateway wordt gegenereerd.
- Sessie-opname: Alle sessie-opnamen worden beschermd door een unieke AES-256-coderingssleutel die voor elke sessie wordt gegenereerd, en die verder wordt verpakt door een HKDF-afgeleide AES-256-bronsleutel.
De weg vooruit
De overgang naar moderne PAM gaat niet alleen over het invoeren van nieuwe technologie — het gaat over het omarmen van een fundamenteel andere benadering van beveiliging. Organisaties moeten zich realiseren dat hun verouderde PAM-oplossing, die verre van een beveiligingsvoordeel is, in feite een aanzienlijke aansprakelijkheid kan vormen.
Gelukkig bewijzen oplossingen zoals Keeper dat moderne PAM-oplossingen ijzersterke beveiliging kunnen bieden in combinatie met naadloze gebruiksvriendelijkheid. Door een zero-knowledge architectuur, versleuteling op apparaatniveau en ingebouwde integratie met moderne workflows te combineren, kunnen organisaties werkelijk geprivilegieerd toegangsbeheer realiseren zonder daarbij de beveiliging of gebruikerservaring in gevaar te brengen.
In het huidige bedreigingslandschap gaat het bij de juiste PAM-oplossing niet alleen om het beheren van privileges — maar ook om ervoor te zorgen dat uw beveiligingsbasis zakelijke flexibiliteit mogelijk maakt en niet de vooruitgang belemmert. De technologie bestaat; het is de vraag of organisaties de overstap zullen maken voordat hun verouderde oplossingen hun ondergang worden.
Boek vandaag nog een demo om te zien hoe KeeperPAM uw omgeving kan helpen beveiligen.
