Op de website van het Jericho Forum (http://www.opengroup.org/jericho/) komt één onderwerp naar voren dat me in het bijzonder bezighoudt: 'de-perimeterisation'. De Jericho-visie op het fenomeen vertoont een aantal gelijkenissen met een onderzoek van architecten over de invoering van een veiligheidsmodel voor toegang tot een zeer grote diversiteit aan computersystemen. Ik zal uitleggen wat dat inhoudt.
In de informatiebeveiliging wordt onder de-perimeterisation verstaan de tendens om de beveiliging in de richting van de ‘eindpunten’ te bewegen, dus naar de servers en de werkstations. En minder te vertrouwen op de firewallbenadering.
De term de-perimeterisation is voor het eerst gebruikt door de Engelsman Jon Measham, een medewerker van Britse Royal Mail. In een rapport dat hij publiekelijk maakte in 2001 wordt voor het eerst gerept over het fenomeen. De term is vervolgens overgenomen door het Jericho Forum, waarvan de Royal Mail een van de medeoprichters was.
Hoewel traditionele beveiligingssystemen wel hun rol zullen blijven spelen, moeten we ook hun beperkingen inzien. In een volledig ge-de-perimeteriseerd netwerk zal elke component geheel veilig zijn, onafhankelijk van andere componenten in dat netwerk. Om dat te bereiken zullen systeembeveiliging en databeveiliging gebruik moeten maken van verschillende technieken: encryptie, beveiligde computerprotocollen, beveiligde computersystemen en authenticatie op dataniveau. Op den duur zal dat een betrouwbaarder aanpak zijn dan te vertrouwen op de eigen netwerkbeveiliging voor internettoegang.
De de-perimeterisation vraagt om een mentaliteitsverandering. In onze traditionele visie zien we de IT-infrastructuur als een netwerk met servers en clients, omgeven door een goed beveiligde netwerkomgeving. Jericho noemt dit de fortress mentality. We beschermen de infrastructuur met firewalls en DMZ-technologie. Tot nu toe heeft deze aanpak voldaan.
Maar de tijden veranderen. De clients zijn niet meer allemaal terug te vinden in ons fort, maar meer en meer daarbuiten. Denk daarbij aan klanten, onze eigen buitendienstmedewerkers, zakenpartners en toeleveranciers. Bovendien ontstaan er nieuwe IP-technologieën die in de zakenwereld bruikbaar zijn, maar die vreemd zijn aan onze gebruikelijke aanpak van de IT, mobiele apparaten met WiFi of UMTS, GPS-toepassingen en peer-to-peer-applicaties. Jericho ziet een toenemende mismatch tussen de IT-perimeter en de zakelijke-perimeter.
Betekent dit het einde van de firewall? Waarschijnlijk niet, maar Jericho wijst er wel op dat je de beveiliging daar moet aanbrengen waar die het meest doeltreffend is. En dat is niet meer het netwerk, maar de individuele componenten daarin. En, zegt Jericho, als dat allemaal aangebracht is en op zijn plaats zit, is een netwerkperimeter overbodig. Een doordenkertje, als u het mij vraagt.
Dank je Remco voor deze toelichting op het gebruik van Jericho. Is het zo in jouw visie dat met het verdwijnen van de grenzen van de traditionele netwerk architectuur je controle over de end-points moet krijgen? En hoe kan die controle dan worden bereikt?
Leon,op basis van vertrouwensregels zal toegang verleend worden. Dus afhankelijk van de rol van een gebruiker zal er verschillend toegang verleend worden. Hiermee komt (eendeel van) de verantwoordelijkheid ook meer helder te liggen waar hij hoort. Dat wil niet zeggen exclusief bij de eindgebruiker. In het kort: door dat je er niet bij kunt als je de boel niet op orde hebt voor de specifieke toegang die je verlangt.