De CyberArk die je niet moet kopen
Een open-source identity stack afmaken met governance en privileged access, en waarom een AI coding agent het eindelijk goedkoper maakt dan CyberArk.
Open-source identity governance is nooit dure software geweest. Het was goedkope software met dure plumbing. De licenties kostten niks. De integratie, een governance engine vastknopen aan je directory, je certificate authority, je secret store, dat kostte een engagement van enkele weken aan consultancy-tarieven, en die rekening at de besparing stilletjes op. Elke euro die de licentie uitspaarde, gaf de plumbing terug uit. Dus deden kleine bedrijven het verstandige: ze kochten het enterprise product, of ze deden niks. “Identity governance” bleef een slide in een compliance-deck.
Die rekensom is nu veranderd. De plumbing, compose files, Ansible roles, connector configs, de runbooks die niemand graag schrijft, dat is net waar een coding agent goed in is. Ik ben mijn eigen identity stack aan ‘t afmaken met Claude Code aan het stuur van de build, en het stuk dat dit vroeger een false economy maakte, is nu het stuk dat het rapst vooruitgaat. Dus hier is de hypothese, met echte cijfers: wat het kost om een KMO de governance en privileged-access controls te geven die een auditor echt vraagt, zonder de cheque van CyberArk.
Wat er echt ontbreekt
Ik draai al het saaie, solide twee derde: Authentik voor single sign-on en MFA, Infisical voor secrets, step-ca die SSH- en TLS-certificaten uitdeelt die na minuten vervallen in plaats van standing keys die eeuwig blijven leven. Authentication, secrets, credential issuance. Goed.
De twee stukken die ontbreken zijn net diegene die in een audit naar boven komen:
- Governance (IGA). Wie heeft recht op wat, wie keurde het goed, wanneer is het laatst nagekeken, en breekt iets de separation of duties. Dat is vandaag niemand zijn taak. De directory kent de huidige staat, maar niks bewaakt hoe het zover geraakt is of bewijst dat het nog juist is.
- Privileged elevation (PIM). Als ik twintig minuten root nodig heb, is er geen request-approve-expire pad. Ofwel hou ik standing privilege, ofwel pas ik een group met de hand aan en vergeet ik het terug te draaien.
Het enterprise-antwoord kennen we: CyberArk voor de privileged kant, SailPoint voor de governance kant, een certified admin voor elk, en een jaarlijkse cheque die een KMO niet tekent. Dus koopt de KMO geen van beide, en blijft het gat open.
Hoe het eruitziet
Eén nieuw stuk doet het zware werk: midPoint, het enige open-source platform dat access-certification campaigns en separation-of-duties out of the box meelevert. Het zit boven de runtime als de governance brain. Je M365 is de bron van waarheid, midPoint provisiont in Authentik over open standards, en Authentik regelt nog altijd de login. Er wordt niks uitgerukt.
Privileged elevation valt uit datzelfde ontwerp. Je vraagt een rol aan in midPoint, een approver kent ze toe voor een window, midPoint zet de bijhorende Authentik-group enkel voor dat window aan. En omdat step-ca al SSH-certificaten maakt waarvan de principals uit je groups komen, verschijnt de verhoogde toegang vanzelf en vervalt ze ook vanzelf. Dat is het gedrag van Entra PIM, gebouwd uit stukken die je al hebt.
De rekensom
Hier is het stuk dat het doet kloppen. De build valt in twee, en maar één helft is moeilijk:
| Plumbing, de agent neemt dit over | Judgment, dit blijft van jou |
|---|---|
| compose, Ansible, connector configs | het role en org model |
| secret-engine en rotation wiring | de separation-of-duties policy |
| audit wiring en dashboards | het recertification-ontwerp |
| docs, runbooks, tests | de elevation- en approval-policy |
De plumbing is het grootste deel van het werk, en net daar is de agent goed in. De judgment, het role model, de SoD policy, verschuift amper, en dat hoort ook zo: dat is net het stuk dat je nooit door een machine wil laten beslissen. Het werk verdwijnt dus niet, het verschuift, van typen naar beslissen, en de totale build halveert ongeveer.
Eén voorwaarde, en dat is net het punt. Die halvering is geen magie uit een chatbot. Ze veronderstelt dat de base er al staat: een deftig agent framework eronder, een fleet van domain sub-agents (identity, infra, network, secrets) vastgeknoopt aan de infrastructuur, met de tool contracts, de guardrails en de read-only-by-default safety al gebouwd. Die base is zelf een investering, en de eerste build betaalt ze terug, elk project daarna is waar de plumbing tax echt valt. Zonder dat fundament zit je terug te typen, en is de besparing maar een belofte. Het is de agent fleet die het werk doet, Claude Code is de handen, de fleet is de grond waarop ze staat.
De software was altijd gratis. De plumbing was de rekening, en dat is het stuk dat de agent afbetaalt.
Tegenover de gevestigde namen
Om de scope te matchen vergelijk je niet tegen één product. Je vergelijkt tegen CyberArk en SailPoint samen, privileged access langs de ene kant, governance langs de andere.
| Wat je vergelijkt | Open stack (dit plan) | CyberArk + SailPoint |
|---|---|---|
| Licensing | €0 (EUPL / MPL / Apache) | 5–6 cijfers/jaar, quote-only |
| Governance (IGA) | Sterk, certification + SoD (midPoint) | Sterk, SailPoint is de leider |
| Privileged elevation (PIM) | Sterk, request / approve / expire | Sterk |
| Session recording / isolation | Matig, Teleport of Devolutions | Moeilijk te kloppen (PSM) |
| Time-to-value | Weken (zie de rekensom) | Maanden professional services |
| Lock-in / exit cost | Minimaal, open standards op elke seam | Hoog |
| Data sovereignty | Volledig, self-hosted, EU | Hangt af van de editie |
| Naambekendheid bij auditors | Lager, moet je uitleggen | Hoog, ze kennen het logo |
| Past bij een KMO | Uitstekend, modulair, je betaalt niks | Zwak, gebouwd voor de enterprise |
Ik ga niet doen alsof de open stack overal wint. De session isolation en recording van CyberArk zijn echt beter, de rotation-library is dieper, en voor een bank zijn de naambekendheid bij auditors en de contractuele SLA het geld waard. Drie eerlijke nadelen langs mijn kant: je bezit de lijm zelf, er bestaat geen supported midPoint-naar-Authentik connector, dus die seam is bouwwerk, session recording is het zwakke punt, en “wij draaien midPoint en OpenBao” weegt in een audit minder zwaar dan een logo, terecht of niet. Dit is niet “CyberArk is slecht”. Het is “CyberArk is geprijsd voor een organisatie die een KMO niet is”.
Wat een auditor echt vraagt
Governance is geen vibe, het is bewijs, en de open stack levert net de artefacten die een framework wil:
- ISO 27001:2022 A.5.18 (access rights) en A.5.16 (identity lifecycle): de joiner-mover-leaver en recertification campaigns van midPoint zijn de review-en-removal control, met een getekend record van wie wat nakeek.
- A.5.3 (separation of duties): midPoint dwingt SoD af als policy en flagt het conflict voor het toegekend wordt, niet in de findings van volgend jaar.
- A.8.2 (privileged access rights): de request-approve-expire flow is de control, en elke elevation wordt gelogd met een reden.
Dat telt elk kwartaal zwaarder, want NIS2 trok een hoop middelgrote bedrijven in scope en maakte het management persoonlijk accountable voor net deze maatregelen, access control en privileged access erbij. De open stack vinkt niet enkel de box af, hij genereert de audit trail die bewijst dat de box ook klopt. Een recertification campaign die je een auditor in de hand kan duwen, is meer waard dan een product-logo dat je niet kan uitleggen.
De rekening
Hardware, voor één host die de hele stack virtualiseert, en bijna €0 incrementeel als je al een hypervisor draait:
| Item | Single node | HA (3 nodes) |
|---|---|---|
| Compute host (≈8 core / 64 GB / 2×1 TB NVMe) | €2.500 | €7.500 |
| UPS + backup target | €800 | €1.000 |
| Capex | ~€3.300 | ~€8.500 |
Dan het beeld over vijf jaar, en daar stopt het met close te zijn:
| Lijn | Open stack | CyberArk + SailPoint |
|---|---|---|
| Software licensing (5 jaar) | €0 (±€2–5k/jaar optionele support) | ~€400k+ |
| Build / implementatie | je eigen tijd, ongeveer gehalveerd door de agent | een volledige professional-services engagement |
| 5-jaar totaal (illustratief) | ~€60k | ~€500k+ |
Het grootste deel van dat open-stack totaal is je eigen engineering-tijd, geen geld dat het huis verlaat, en die tijd is nu de helft van wat ze was, omdat de agent de plumbing schreef terwijl ik nadacht. (De cijfers zijn illustratief en grootteorde, de prijzen van CyberArk zijn quote-only, dus die bedragen zijn third-party-gerapporteerde ranges, geen offerte.)
Dus waarom zo bouwen
Dezelfde regel waar ik altijd op terugkom: bouw alsof je moet vertrekken. Elke seam hier is een standard, elke box vervangbaar, de data van jou en in de EU. Stelt midPoint teleur, dan wissel je de governance brain zonder Authentik aan te raken. Ontgroeit een klant de open PAM, dan klikt CyberArk op dezelfde governed identity, want de governance was nooit de lock-in.
Het is niet anti-vendor. Het is pro-exit. En wat het eindelijk doet lonen voor een KMO is geen nieuwe software, het is dat de plumbing tax, de stille moordenaar van elke open-source IAM business case sinds tien jaar, nu gehalveerd is door een agent die graag het saaie werk schrijft terwijl jij de stukken ontwerpt die ertoe doen.
Hypothetisch, voorlopig. Maar de rekensom is de rekensom.