Bevoorrecht Toegangsbeheer (PAM) in een defensienetwerk is niet hetzelfde probleem dat PAM oplost in een commerciële onderneming. Een bank die PAM verkeerd doet, verliest klantgegevens; een defensieorganisatie die PAM verkeerd doet, verliest het netwerk — en de operaties die erop draaien. De accreditatieautoriteit weet dit, en de auditchain weerspiegelt het. Dit artikel behandelt de engineeringbeslissingen die een defensie-kwaliteit PAM-uitrol onderscheiden van een commerciële, op basis van de patronen die we hebben zien slagen (en falen) binnen geclassificeerde enclaves, SCIF-resident workflows en OT-omgevingen. Zie voor het bredere beeld onze complete gids voor defensiecyberbeveiliging.
1. Waarom PAM in Defensie Anders Is
Drie eigenschappen maken defensie-PAM structureel anders dan commerciële PAM. Ten eerste zijn gebruikers multi-classificatie: dezelfde menselijke operator kan accounts houden op een niet-geclassificeerd administratief LAN, een GEHEIM missienetwerk en een STRENG GEHEIM inlichtingenenclave, en het PAM-platform mag nooit een inloggedatum over die grens bemiddelen. Ten tweede zijn de hoogstwaardige workflows SCIF-resident — de gebruiker, het werkstation, de jump-host en de kluis bevinden zich allemaal in dezelfde geaccrediteerde ruimte, en elk component dat buiten de SCIF leeft is per definitie de verkeerde architectuur. Ten derde is de verwachting van de auditchain veel strenger dan commercieel: de accreditatieautoriteit accepteert "we hebben logs" niet — het verwacht een manipulatiebestendig, herspeelbaar, retentiegebonden record van elke bevoorrechte actie, teruggekoppeld aan een geclearde persoon, en overlevend wanneer het netwerk weken offline is.
Het praktische gevolg is dat "CyberArk implementeren en klaar" — het antwoord dat werkt in de meeste commerciële implementaties — niet het antwoord is in defensie. De platformkeuze is minder belangrijk dan de enclavetopologie, het bemiddelingsmodel en de auditpijplijn. We hebben organisaties gezien die het juiste product kochten en toch accreditatie faalden omdat ze twee classificatieniveaus in één kluis hadden samengevouwen.
2. CyberArk / HashiCorp Vault / BeyondTrust / Delinea
CyberArk blijft de gevestigde keuze voor geclassificeerde implementaties bij NATO-lid defensieorganisaties. Zijn Privileged Session Manager (PSM) is volwassen, FIPS 140-2 gevalideerd, en de Enterprise Password Vault heeft Common Criteria EAL4+ certificering — beide regelitems die de accrediteerder het eerst zal controleren. De kosten zijn hoog, en het licentiemodel gaat ervan uit dat er connectiviteit is met de update-infrastructuur van CyberArk, wat een offline-update-workflow dwingt binnen luchtgat-enclaves.
HashiCorp Vault (Enterprise) is de keuze wanneer de workload API-gedreven, vluchtig en Kubernetes-aangrenzend is. Zijn dynamische-geheimen- en PKI-engines zijn uitstekend voor kortlevende X.509-uitgifte, wat steeds meer de manier is waarop moderne defensiewerklasten authenticeren. Vault Enterprise ondersteunt FIPS 140-2-modus en HSM-integratie via PKCS#11. De zwakte in een defensiecontext is sessiebemiddeling — Vault is een geheimen-engine, geen sessieproxy, dus een interactieve-admin-workflow heeft een apart component nodig (Boundary, of een externe bastion) erboven gelaagd.
BeyondTrust (Password Safe + Privileged Remote Access) heeft het sterkste OT/ICS-verhaal van de vier. Zijn jump-host-model was ontworpen voor leveranciersbeheerd externe toegang tot industriële installaties, wat schoon aansluit op de depot-onderhoud- en OEM-ondersteuningsworkflows die defensielogistiekorganisaties daadwerkelijk uitvoeren. FIPS 140-2 gevalideerd; de sessieopnamepijplijn is de meest volwassen van elk product in deze categorie.
Delinea (voorheen Thycotic + Centrify) is de lichtgewichtoptie, vaak gekozen voor sub-enclaves waar de volledige CyberArk-footprint overdreven is. Secret Server is FIPS 140-2 gevalideerd; de Server Suite dekt AD-overbrugging voor Linux/Unix waarop de oudere defensie-omgevingen nog steeds afhankelijk zijn.
Bij alle vier is de FIPS 140-3-overgang bezig — 140-2-validaties blijven geaccepteerd onder overgangsregels door de accreditatiecyclus van 2026 in de meeste NATO-contexten, maar nieuwe implementaties moeten 140-3 specificeren waar de leverancier dat aanbiedt. Common Criteria-dekking is ongelijkmatig; CyberArk en BeyondTrust hebben de diepste schema's.
3. Classificatiebewuste Sessiebemiddeling
De enige meest consequentiële architectuurbeslissing in defensie-PAM is of het platform sessies bemiddelt over classificatiegrenzen — en het juiste antwoord is altijd "nee." Elke enclave krijgt zijn eigen kluis, zijn eigen sessiebeheerder en zijn eigen auditopslag. De inloggedatum voor het GEHEIME adminaccount bestaat nooit in de niet-geclassificeerde kluis, zelfs niet versleuteld, zelfs niet "voor noodgeval." Als accreditatie één record van een hogere-classificatie-inloggedatum vindt binnen een lager-classificatie-component, is de hele implementatie terug bij af.
Cross-enclave-sessieverhoging — de workflow waarbij een operator aan de niet-geclassificeerde kant een GEHEIME host moet bereiken — wordt opgelost aan de cross-domain-oplossing (CDS)-grens, niet binnen het PAM-platform. De operator authenticeert binnen de hogere-classificatie-enclave; de CDS geeft geen inloggegevens door. Het PAM-platform aan elke kant is onbewust van de andere. Dit sluit schoon aan op het zero-trust militaire netwerken-model waar elke enclave zijn eigen vertrouwensdomein is.
Voor SCIF-resident workflows leven de kluis, de sessiebeheerder en de auditcollector allemaal binnen de SCIF. De verleiding om het beheervlak buiten de SCIF te hosten "voor gemak van beheer" is de meest voorkomende architectuurfout die we zien, en het is niet-herstelbaar — de accrediteerder zal geen extern beheerskanaal naar een SCIF-resident inloggegevenopslag goedkeuren, hoe het ook versleuteld is.
4. Just-in-Time (JIT) Verhoging
JIT-verhoging is de discipline om bevoorrechte toegang alleen te verlenen op het moment dat het nodig is, voor de duur dat het nodig is, en het daarna automatisch in te trekken. In defensienetwerken vervangt het het langdurige patroon van "het onderhoudsteam heeft permanent Domain Admin omdat ze het soms om 03:00 nodig hebben" — wat precies het patroon is dat een tegenstander met persistente toegang misbruikt.
De architectuur heeft drie componenten. Ten eerste een verzoekworkflow — doorgaans geïntegreerd met het ticketsysteem — waarbij de operator vraagt om verhoging, met een opgegeven reden en een opgegeven duur. Ten tweede een goedkeuringspad: voor routineonderhoud kan dit beleidsgeautomatiseerd zijn; voor noodtoegang tot OT-systemen of cryptografisch sleutelmateriaal vereist het de goedkeuring van een tweede geclearde operator (vier-ogenprincipe). Ten derde een uitgiftemechanisme: het PAM-platform munt een tijdgebonden inloggedatum — een vluchtig SSH-certificaat (doorgaans 1-4 uur), een kortlevend X.509-clientcert voor API-toegang, of een tijdelijk AD-groepslidmaatschap dat verloopt op een geplande timer.
Vluchtige SSH-certificaten zijn het schoonste patroon voor Linux/Unix-beheer: het verzoek van de operator triggert Vault (of het equivalent van CyberArk) om een certificaat te munten ondertekend door de SSH-CA, gericht op specifieke hosts, met een geldigheid van 4 uur. Er zit nooit een langlevende publieke sleutel op de doelhost, en intrekking is automatisch wanneer het certificaat verloopt. Voor Windows-beheer bereiken kortlevende X.509-clientcerts gecombineerd met smartcardlezers dezelfde eigenschap, gebruikmakend van het hardware-vertrouwensanker dat al aanwezig is op de meeste defensiewerkstations.
5. Serviceaccounts en Geheimen
De door de leverancier aanbevolen rotatiecadansen — 30 dagen voor serviceaccounts, 90 dagen voor applicatiegeheimen, jaarlijks voor root-CA-sleutels — zijn het gemakkelijke deel. Het moeilijke deel is roteren onder luchtgat. Een verbonden onderneming roteert een serviceaccountwachtwoord en de nieuwe inloggedatum propageert via Active Directory, de geheimen-opslag, de consumerende applicatie en het bewakingssysteem in seconden. Binnen een luchtgat-enclave is elk van die stappen handmatig, gepland en risicodragend — en het onderhoudsvenster wordt gemeten in eenhandig-cijferige uren, vaak 's nachts, vaak met een back-upoperator in stand-by.
Het realistische operationele antwoord is gelaagde cadansen: hoogwaardige inloggegevens (Domain Admin, root-CA's, KMS-ontsleutelsleutels) roteren op versnelde schema's met volledige wijzigingsbeheersdiscipline; gemiddeldwaardige inloggegevens (database-serviceaccounts, applicatieprincipals) roteren via geautomatiseerde PAM-workflows tijdens geplande onderhoudsvensters; laagwaardige maar langlevende inloggegevens (legacy-app-accounts, ingebedde apparaatwachtwoorden) worden geïnventariseerd, opgeslagen in een kluis en geroteerd op de langzaamste cadans die het risicoregister zal accepteren.
De langlevende-inloggedatum-realiteit is degene die audits altijd opvangen. Elke defensieomgeving van enige omvang heeft een lange staart van serviceaccounts aangemaakt in 2014 voor een systeem dat niemand meer bezit, met het wachtwoord op een wikipagina die vier keer is gemigreerd. De PAM-uitrol ontdekt deze, en de ontdekking zelf is de waarde — zelfs als de rotatie nog een jaar duurt.
6. PAM voor OT / Industriële Installaties
Operationele Technologie — de industriële besturingssystemen die depotmachines, basisstroominfrastructuur, brandstofopslag en toenemend de productielijnen die de defensietoeleveringsketen voeden — is de moeilijkste PAM-omgeving in elke defensieorganisatie. Drie patronen overheersen.
Ten eerste, jump-host-architectuur: elke administratieve verbinding naar het OT-netwerk eindigt bij een geharde bastion die het protocol bemiddelt (RDP, VNC, serieel-over-IP), sessieopname afdwingt en het werkstation van de operator isoleert van het besturingsnetwerk. Het Privileged Remote Access-product van BeyondTrust is de referentie-implementatie hier; PSM van CyberArk voor SSH en het open-source Apache Guacamole-patroon dekken hetzelfde terrein op verschillende kostenniveaus.
Ten tweede, het in-15-jaar-niet-gewijzigd-wachtwoord-probleem. PLC's, HMI's en historicusservers verzonden door de OEM met standaard of zelden geroteerde inloggegevens, en het roteren ervan riskeert het apparaat te breken of een leverancierssupportcontract te schenden. Het pragmatische antwoord is de inloggedatum op te slaan in een kluis (zodat het toegangspad op zijn minst geauditeerd is en de leesbare tekst uit het operatorgeheugen en Post-it-briefjes is verwijderd), rotatie uit te stellen tot het volgende geplande onderhoudvenster en het residuele risico in het accreditatiepakket te documenteren.
Ten derde, leveranciersbeheerd externe toegang. OEM-technici moeten de apparatuur bereiken voor garantieondersteuning. Het PAM-platform bemiddelt dit als een volledig opgenomen, tijdgebonden sessie bemiddeld via de jump-host — nooit een permanente VPN-tunnel naar het OT-netwerk. Het account van de leverancier is JIT-uitgegeven, de sessie is end-to-end opgenomen, en de geclearde operator aan de defensiezijde keurt goed en observeert.
Kerninsicht: Het PAM-platform is niet de beveiligingscontrole. De accrediteerbare auditchain is dat. Een perfecte kluis met een gebroken auditpijplijn faalt accreditatie; een bescheiden kluis met een ongebroken, retentiedisciplineerde auditchain slaagt. Ontwerp eerst voor de audit; de inloggegevenworkflows volgen daaruit.
7. Auditchain en Sessieopname
De auditchain is het artefact waar de accreditatieautoriteit het meest om geeft, en het is degene die defensie-PAM-uitrollen het vaakst onderbouwen. Drie lagen zijn belangrijk. Toetsaanslageenloggen legt de letterlijke commando's vast die een operator heeft getypt in een bevoorrechte sessie — van onschatbare waarde voor forensica, duur in opslag en onderhevig aan retentiediscipline. Video-sessieopname legt de weergegeven RDP/VNC-frames vast — niet-onderhandelbaar voor SCADA/HMI-sessies waarbij de interactie van de operator grafisch is, niet tekstueel. Commandoniveau-audit legt het gestructureerde event vast ("gebruiker X verhoogd tot rol Y op host Z op tijdstip T voor ticket #N") — de laag die de SOC daadwerkelijk consumeert in SIEM-correlatie en zero-trustverificatie.
Langretentiediscipline is waar commerciële PAM-draaiboeken tekortschieten. Defensieretentiehorizons bereiken regelmatig 7-10 jaar, soms langer voor nucleair-aangrenzende of strategische-systemencontexten. De opslagtier moet onveranderlijk zijn (WORM-klasse, of schrijf-eenmaal objectopslag met retentiesloten), de integriteit moet cryptografisch verankerd zijn (ondertekende manifesten, hash-geketende logs), en het ophalenpad moet werken in 2034 met de mensen en tooling die dan beschikbaar zijn — niet de mensen die nu beschikbaar zijn.
GDPR- en NIS2-afstemming is belangrijk in EU-defensiecontexten. Sessieopname legt persoonsgegevens vast (de toetsaanslagen van de operator, soms hun gezicht op een webcam-gestuurde sessie). De rechtsgrondslag onder GDPR is doorgaans "wettelijke verplichting" plus "gerechtvaardigd belang", met gedocumenteerde retentielimieten en toegangscontroles. NIS2 versterkt dit met expliciete incidentrespons- en audidbeschikbaarheidsvereisten die PAM-logging direct dient.
8. Migratie en Co-existentie
De realistische tijdlijn om een alleen-AD defensieomgeving in moderne PAM te brengen is twee tot vier jaar. Het eerste jaar is ontdekking en opslaan in kluis: elke bevoorrechte inloggedatum wordt geïnventariseerd, in kluis opgeslagen en ondergebracht in een check-out/check-in-workflow, zonder nog te veranderen hoe operators werken. Het tweede jaar is sessiebemiddeling: interactieve admin-sessies bewegen achter de PAM-proxy, opname begint en de auditchain komt online. Het derde jaar is JIT-verhoging en rotatie: permanente privileges worden omgezet in tijdgebonden, en rotatiecadansen worden afgedwongen. Het vierde jaar, indien nodig, is opschoning van de lange-staart serviceaccounts en OT-inloggegevens.
Co-existentie met legacy alleen-AD-patronen is de norm, niet de uitzondering, voor het grootste deel van deze tijdlijn. Het PAM-platform bemiddelt toegang tot AD-verbonden hosts, slaat AD-inloggegevens op in een kluis, en vervangt geleidelijk permanent Domain Admin-lidmaatschap door JIT-verhoging via schaduwgroepen. Proberen de gehele omgeving in een enkel weekend over te zetten, is elke keer mislukt die we dit hebben zien proberen.
De met hard werk verworven les: PAM-terugdraaien is erger dan langzame uitrol. Zodra een operatorpopulatie is verplaatst naar kluis-bemiddelde, JIT-verhoogde, volledig geauditeerde workflows, is terugdraaien naar het oude "Domain Admin permanent"-patroon operationeel en cultureel bijna onmogelijk — de auditleemte is zichtbaar, de SOC is afhankelijk geworden van de telemetrie en het accreditatiepakket is bijgewerkt. Een gedeeltelijke uitrol die standhoud, is beter dan een volledige uitrol die teruggedraaid moet worden. Plan de fasen zodat elke fase onafhankelijk stabiel is, en behandel de meerjarige cadans als een kenmerk, niet als een bug.