Hoewel sommigen menen via internet informatie uit te kunnen wisselen zonder gebruikmaking van een firewall, is Gil Shwed het daar totaal niet mee eens. De ceo van Check Point ziet wel dat de rol van de firewall moet veranderen.
Skinny-dipping heet het fenomeen: de letterlijke vertaling is ‘naaktzwemmen’, maar in combinatie met internet houdt de term in dat iemand gaat surfen op internet zonder bescherming. Geen antivirussoftware, geen firewall; niets van dat al, en toch veilig internetten. Bill Cheswick, vooraanstaand lid van de technische staf van AT&T Research en een van de eerste uitvinders van firewalls, meent dat dit mogelijk is en noemt het zelfs ‘bevrijdend’. Een voorwaarde is wel dat webdiensten voorzien moeten zijn van zogenoemde sandboxes (zandbakken). Dit is een soort niemandsland waar applets op hun waarde kunnen worden beoordeeld.
De grootste irritatie tegen firewalls is dat deze grensbewaking niet werkt in een wereld waar leveranciers, partners, klanten, thuiswerkers, controlerende organen en overheidsinstanties elkaar in toenemende mate op elkaars netwerken toelaten. Een firewall is een gatenkaas geworden en het helpt niet om nog meer uitzonderingsregels aan de al bestaande duizenden regels toe te voegen, want onbeheerbaarheid ligt op de loer, zo luidt de kritiek
Shwed, de uitvinder van de stateful inspection firewall, is het niet met Cheswick eens. Hij plaatst overigens dezelfde kanttekening als Cheswick: met zandbakken houd je geen Ddos-aanval (Distributed Denial of Service) tegen. “Maar we zullen in die wereld van elektronische handel, webdiensten en virtuele applicaties de firewall wel een andere rol moeten geven”, zegt hij tijdens de jaarlijkse gebruikersbijeenkomst Experience in München. Een conferentie die meer bezoekers trok dan verwacht. Hij beschouwde de belangstelling als een opsteker.
Databescherming
Zonder de waarde van de firewall te bagatelliseren, staat Shwed nu op het standpunt dat beveiliging van bedrijfsgegevens een kwestie is van ‘totale databescherming’. “We hebben het afgelopen jaar zeker niet stil gezeten. We hebben geïnvesteerd in nieuwe technologie en in bedrijven die binnen onze visie passen”, verwijzend naar de aankoop van Pointsec Mobile Technologies dat versleuteling voor mobiele apparatuur regelt. “Wij hebben deze technologie inmiddels geïntegreerd in ons beveiligingsplatform.”
Hij verkondigt trots de samenwerking met Nokia en Intel om razendsnelle appliances op de markt te brengen die netwerkverkeer in multigigabit-omgevingen weten te inspecteren zonder merkbaar gevolg voor de prestaties van het netwerk. “Intel levert de snelle processoren, Nokia brengt zijn geharde IPSO-besturingssysteem in, en wij hebben CoreXL, onderdeel van ons Open Performance Architecture”, legt Shwed uit.
CoreXL speelt in op de behoefte in rekencentra servers, software en opslag te virtualiseren om kosten en energie (minder koeling nodig) te besparen. De oplossing zorgt voor load balancing in een omgeving waar met processoren met meerdere kernen wordt gewerkt en voorkomt dat er een ‘single point of failure’ ontstaat.
Ambitieus
Shwed erkent dat hij er nog niet helemaal is om tot op het bot complete beveiliging te bieden, als dat ooit al mogelijk is. De menselijke factor speelt immers altijd een rol; mensen moeten wel afspraken naleven. “We kunnen wel veel afdwingen, maar nog niet alles. We hebben wel een ambitieus programma”, zegt hij. Eraan toevoegend dat het om totale dataprotectie gaat. “Wij werken nu al soms op applicatieniveau, maar nog niet altijd. We werken zelf in ons laboratorium aan verbetering van de technologie en het is waarschijnlijk dat we ook nog ontbrekende stukken moeten aankopen. We beginnen steeds beter te begrijpen wat een gerechtvaardigd webverzoek is en wat niet”, zegt hij zonder zich verder uit te laten over wat hij dan nog mist.
Check Point noemt zijn nieuwe aanpak PURE: Protected (op infrastructuur- en dataniveau), Unified (voor beheergemak), Reliable en Extensible. Met de nadruk op databescherming gaat Check Point de strijd aan met zijn grootste rivalen: Juniper en Cisco. “Wij zijn eigenlijk een van de weinige bedrijven die heel specifiek alleen met beveiliging bezig zijn”, vertelt Shwed. “Symantec heeft Veritas gekocht, IBM heeft Internet Security Systems binnengehaald en Juniper heeft Netscreen overgenomen.”
Over de integratie van zijn beveiligingsbeheersysteem met de completere systeembeheerpakketten van CA (Unicenter), IBM (Tivoli) en HP (Openview) zegt Shwed dat het logisch zou zijn om een innige band op te bouwen. “Ik heb daar wel vaker op aangedrongen, maar ik vind maar weinig weerklank. CA heeft er nog wel oren naar, maar de andere niet.”