Vanwege het succes van internetgebaseerde bedrijfsprocessen maken ondernemingen en managed security providers steeds meer gebruik van netwerk-gateways. En met de toename van het aantal gateways groeit de beheeroverhead.
Pogingen van leveranciers van gateways om de installatie en onderhoud van hun apparatuur te vereenvoudigen doen er niet langer toe. Het enorme aantal gateways kost op zichzelf al enorm veel tijd en mankracht. De infrastructuren zijn in de loop van jaren gegroeid en worden daarmee al te complex. De wildgroei aan systemen voor netwerkbeveiliging, connectiviteit en wan-optimalisatie resulteert in steeds ongelijksoortiger infrastructuren waarbinnen sprake is van ontelbare interacties tussen apparaten.
De belangrijkste vereiste voor efficiënt beheer van beveiligingssystemen kan worden geïllustreerd aan de hand van een simpel voorbeeld. Wanneer een nieuw appartementencomplex wordt gebouwd, zijn alle wooneenheden aanvankelijk identiek. In een omgeving als deze is het uiterst eenvoudig om beslissingen te nemen met betrekking tot de manier waarop het complex wordt gebouwd. Men hoeft immers geen rekening te houden met speciale omstandigheden. Echter, zodra de huurders hun intrek nemen, treden de wooneenheden als het ware in werking, en moet er opeens rekening worden gehouden met specifieke woonwensen. Sommige bewoners zullen het sanitair willen vervangen, terwijl andere huurders nieuwe ramen laten installeren. De wooneenheden blijven in ieder geval niet lang identiek. In plaats daarvan worden ze 'aangepast' door de bewoners, oftewel de gebruikers.
Algemene beleidsregels die op het gehele appartementencomplex van toepassing zijn, vereisen veel meer planning, en moeten bovendien rekening houden met de specifieke omstandigheden binnen de verschillende wooneenheden. Ondanks deze verschillen zullen de wooneenheden echter niet fundamenteel van elkaar afwijken. Op veel gebieden zal er nog altijd sprake zijn van een groot aantal gelijkenissen. Als men aan deze overeenkomsten voorbijgaat, zal elk van de woonheden als een op zichzelf staande eenheid moeten worden beschouwd. Aan de andere kant is de grote gemene deler niet langer groot genoeg om alle eenheden op identieke wijze te behandelen.
Een nieuwe beheeraanpak
Als we deze inzichten toepassen op het beveiligingsbeheer, wordt het duidelijk dat conventionele technieken bezwijken onder een op overeenkomsten gebaseerd beheer. Beheer dat louter op profielen is gebaseerd, richt zich op de grootste gemene deler, en gaat daarmee voorbij aan de individuele kenmerken van gateways. Op apparatuur gebaseerd beheer houdt wel rekening met deze unieke kenmerken, maar is relatief kostbaar, zeker als er sprake is van complexe infrastructuren.
Binnen moderne bedrijfsnetwerken wordt gebruikgemaakt van talloze specialistische systemen. Naast gangbare systemen zoals switches en routers gebruikt men firewalls voor het filteren, versleutelen en optimaliseren van het netwerkverkeer, vpn-gateways, gateways voor de beveiliging van het internet- en mailverkeer en speciale gateways voor wan-optimalisatie. Deze standalone oplossingen zijn kostbaar qua beheer en onderhoud en vergroten de complexiteit van het netwerk aanzienlijk. Het is verre van simpel om binnen dergelijk chaotische omgevingen consistente werkprocessen te introduceren. Dergelijke pogingen mislukken vaak als gevolg van het grote aantal onderlinge relaties en de gebrekkige compatibiliteit tussen de verschillende beveiligings- en netwerkoplossingen. Onder deze omstandigheden is het een uiterst moeilijke opgave om de netwerkbeveiliging grondig in kaart te brengen op een manier die voldoet aan de uiteenlopende eisen van de wet- en regelgeving.
De combinatie van verschillende beveiligingstechnologieën binnen elke gateway vormt een belangrijke stap in het terugbrengen van de complexiteit en het faciliteren van betaalbaar beheer van moderne infrastructuren. Het simpelweg opnemen van meerdere beveiligingstechnologieën is echter niet voldoende. Er moet sprake zijn van complete, naadloze integratie.
Centraal beheer
De volgende stap is het mogelijk maken van integraal beheer van alle verbonden systemen. Voor een centraal beheer van alle firewalls en externe verbindingen is het van cruciaal belang dat beheerders beleidsregels voor de beveiliging kunnen instellen, de aanwezigheid van de laatste firmware-updates kunnen controleren en de gebruikersinstellingen kunnen beheren met behulp van speciale hardware of een virtuele appliance. Een op templates gebaseerde configuratie en het gebruik van beveiligingsobjecten die wereldwijd beschikbaar zijn maken het mogelijk hardware op duizenden verschillende locaties op efficiënte wijze te configureren.
Veel ict-organisaties besteden aanzienlijk veel tijd, geld en mankracht aan het opnieuw configureren van beveiligings-gateways. Bijvoorbeeld omdat de verantwoordelijke beheerder ziek wordt, omdat zogenaamde 'onbelangrijke' wijzigingen niet zijn gedocumenteerd of omdat er geen rekening is gehouden met complexe afhankelijkheden tussen hardwareobjecten. Bedrijven hebben audit trails altijd gezien als een noodzakelijk en kostbaar kwaad. Deze opstelling is echter niet langer acceptabel binnen het huidige zakelijke klimaat, waarin sprake is van een groeiend aantal richtlijnen en steeds hogere eisen worden gesteld aan de controlemechanismen. De traceerbaarheid en controlemechanismen spelen een cruciale rol bij het beheer van moderne beveiligingsarchitecturen. De traceerbaarheid is van belang voor bedrijfsprocessen en het personeelsbeheer, terwijl controlemechanismen uitkomst bieden bij het in stand houden en herstellen van configuraties.
Kort gezegd zijn de beveiligingsbehoeften van bedrijven onveranderd gebleven, maar is de complexiteit van zakelijke infrastructuren drastisch gegroeid, terwijl de vereisten van ict-managers zijn veranderd. Beheerders hebben daarom behoefte aan tools waarmee ze hun organisatie beter kunnen beveiligen. Tegelijkertijd hebben ze oplossingen nodig die efficiënt beheer van de beveiligingssystemen mogelijk maken. Centraal beheer van geïntegreerde beveiligingsoplossingen lijkt in dit verband uitkomst te bieden.
