Het nieuwe jaar is begonnen. Dat betekent dat er weer veel voorspellingen komen op het gebied van trends in informatie- en netwerkbeveiliging. Hoewel deze trends interessant kunnen zijn, is het veel nuttiger om alvast de praktische invulling ervan voor te bereiden. Denk hierbij uiteraard aan jouw plannen op het gebied van netwerkbeveiliging; met name de best practices op het vlak van it-strategie zijn interessant. Maar bedenk ook vast hoe je een goede balans vindt tussen beveiligingsrisico’s en de te behalen voordelen voor de business. En hoe je de juiste vereisten bepaalt bij het zoeken naar een leverancier. Dit zijn de it-onderdelen die in 2014 belangrijk zijn.
Het plannen van netwerksegmentatie was ooit zeer eenvoudig. Het kwaad – aanvallen en hackers – bevond zich immers buiten het netwerk. De goeden bevonden zich binnen jue netwerk. Denk aan je interne werknemers die verbinding maken met het netwerk en toegang hebben tot datacenterapplicaties op beheerde apparaten (vooral via bekabelde Ethernet-verbindingen op IBM-pc’s, weet je nog? Macs mochten destijds niet eens).
Compliancy
Segmentatie in het netwerk richt zich over het algemeen op ‘compliancy’. Denk bijvoorbeeld aan het ervoor zorgen dat alleen een bepaalde groep werknemers bij vertrouwelijke informatie, zoals creditcardinformatie (pci), kan. Mogelijke netwerksegmentatiemethodes waren netwerkisolatie via vlan’s en switch-ACL’s, die samen met twee robuuste firewalls de checklist voor firewallvereisten in pci-dss of gelijkwaardig vormden. Klinkt eenvoudig, toch?
De globalisatie veranderde alles, ook de manier waarop we business deden. Zo werd er onderlinge afhankelijkheid van wereldwijde supply chains en multinationale partners gecreëerd. Ook leidde het tot een groei van het aantal wereldwijde interacties met diverse ‘countries of interest’, en werd het vrije transport van mensen, goederen en informatie mogelijk. Gebruikers zijn nu mobiele werknemers, partners of aannemers die gebruik kunnen maken van verschillende apparaten, die business doen met technologische en productiepartners, die samenwerken in nieuwe acquisities en die toegang hebben tot applicaties die zijn gevirtualiseerd in wereldwijde datacenters.
Wat gebeurt er dan met netwerksegmentatie? De Zero Trust-netwerksegmentatiearchitectuur – een architectuur die al het verkeer continu inspecteert en vastlegt, toegangscontrole op basis van ‘need-to-know’ vereist en ervoor zorgt dat alle bronnen op een veilige manier toegankelijk zijn – is en blijft het juiste model. Plannen in 2014 moet zich richten op hoe je de grenzen van Zero Trust creëert op een manier die de impact op het netwerk minimaliseert en tegelijkertijd de grootste zichtbaarheid en beveiliging biedt tegen de bedreigingen van vandaag en die van de volgende generatie.
De cloud en software definiëren ‘alles’
Cloud computing en software vallen in dezelfde categorie doordat de implementatie van software-defined datacenters (sddc) of software-defined networks (sdn) in veel gevallen bedoeld is om dynamische, programmeerbare en meer geautomatiseerde netwerken aan te bieden voor applicatielevering.
In 2014 hebt je meer cloud-keuzes dan ooit. De aankondiging dat de Google Compute Engine-cloud er aankomt, biedt nog meer opties voor Infrastructure as a Service (IaaS). Echter, de ophef rondom Snowden en WikiLeaks, en over de NSA die Google, Yahoo en Facebook bespioneert door glasvezeldata te tappen, heeft het enthousiasme voor de cloud enigszins getemperd. Volgens meerdere onderzoeken bestaat er steeds meer weerstand tegen het gebruik van cloud-serviceproviders, vooral dankzij de gelekte informatie van Snowden over de integriteit van in de Verenigde Staten gelokaliseerde datacenterinfrastructuren.
Het alternatief is dan om publieke-cloud-implementaties uit te breiden met een robuuste private cloud of over te stappen naar alleen een private cloud. Er zijn diverse technologieën van VMware en Cisco beschikbaar om private clouds te bouwen. Denk bijvoorbeeld aan het software-defined datacenter dat gebruik maakt van VMware NSX-netwerkvirtualisatietechnologieën, of aan een meer hardwarecentrische sdn-architectuur met Application Centric Infrastructure (ACI) van Cisco.
Voor organisaties die veel waarde hechten aan beveiliging is een hybride model mogelijk. Hier worden bepaalde applicaties en diensten in een publieke cloud geplaatst, maar blijven bedrijfskritische diensten, zoals interne r&d, financiële data en klantgegevens, alleen toegestaan binnen de grenzen van de private cloud.
In 2014 is het aan jou om deze nieuwe wijzen van aanpakken op het vlak van networking en datacenterdesign in te plannen en te beoordelen. Wat zijn de in deze architecturen ingebouwde beveiligingsopties? Is het mogelijk om een consistent netwerkbeveiligingsraamwerk neer te zetten binnen private en publieke clouds?
Mobiliteit en byod
Mobiliteit en byod behoren nog steeds tot de grootste uitdagingen voor beveiligingsorganisaties wereldwijd – in 2014 meer dan ooit. Er zijn zoveel cases op het gebied van gebruik van mobiele apparatuur en de voorwaarden voor het veiligstellen van apparaten op basis van gebruikers of organisaties zijn zo divers, dat het ontwerpen van de juiste mobiele beveiligingsoplossing een enorme uitdaging kan zijn. In het verleden hebben mobiele beveiligingsarchitecturen zich voornamelijk gericht op een serie van opties – het uitbreiden van legacy-technologieën als vpn naar mobiele apparaten, het gebruiken van technologieën als vdi of containers om applicatie- en datatoegang te compartimenteren, of het inzetten van technologieën als mdm, die zich meer richten op het beheer van mobiele apparaten.
In 2014 richt de planning zich op het ontwerpen van een uitgebreide en geïntegreerde oplossing die alle onderdelen biedt, die nodig zijn voor het veiligstellen van diverse mobiele apparaten, beheerd of onbeheerd. Dit omvat het beheren van het apparaat, het beveiligen van het apparaat en het beheren van de data erop. De oplossing moet een balans vinden tussen wat de gebruiker wil en wat de onderneming nodig heeft. De balans moet uitvallen richting de applicaties waartoe de gebruiker toegang wil, de data die hij nodig heeft, en de acceptatie van de gebruiker van de beveiligingsniveaus die nodig zijn om toegang tot vertrouwelijke data en applicaties te verkrijgen.
Stijn Rommens, systems engineering manager Northern Europe bij Palo Alto Networks
Knap staaltje weer van het intrappen van open deuren.
Eenvoud
Auteur stelt dat het segmenteren van newterken ooit eenvoudig was. Mijn beste auteur, als je slim bent houd je die ook eenvoudig. Hoe meer componenten, hoe meer uitdagingen. Niet alleen meer uitdagingen maar ook nog eens de kans dat er een kritisch component de bottleneck zou kunnen blijken.
Compliancy
Er is een wereld van verschil tussen netwerk compliance en internet compliancy. Ik zie hier namelijk geen werkelijk doelgerichte vingerwijzing op welke wijze je daar beveiligingstechnisch een hoger standaard van kunt maken. Het kan namelijk.
Cloud
Bedrijfstechnisch simply NOT! Ik weet niet hoe vaak ik dat zou moeten herhalen. Kijk eerst eens naar je eigen visie, wens en idee of cloud een 0oplossing is ja of nee. Je zult zien dat je zaken heel goed in eigen regie en hand kunt houden en toch nog steeds uitgaven verder reduceren.
Auteur geeft het tweede al aan, Snowden en NSA. Als dit de klant al iets zou moeten zeggen dan is het dat de techniek, proven systems’ en de mensen er al zijn die het mogelijk maken en dat cloud leveranciers er niet tegen gewapend zijn. Zo eenvoudig is dat.
Ik wil de meest kritische lezer hier dan nogmaals even wijzen op de regelgeving inzake compliance van alleen al van de GEC en Amerikaanse regelgevingen op dit gebied. Die zijn niet mals maar zo u wil, we willen u wel een beetje op weg helpen.
Definiëring
Definiëring is zeer subjectief. Het is maar net wat je je (commercieel) als model laat opleggen of accepteert. Als je maar hard genoeg roept dat er ‘iets’ een standaard zal gaan worden omdat omdat omdat, zul je best wat volgers krijgen maar wil nog niet zeggen dat het ook potentie tot standaard heeft.
Private Cloud
Private cloud is geen cloud maar gewoon een exclusieve omgeving in een datacenter of gewoon bij de klant inpandig. Verschil is dan alleen maar zakelijk cosmetisch en, oh ja, heel misschien beheerskosten. Hebben we het over ter beschikking stellen van bepaalde faciliteiten, zoals je bijvoorbeeld bij overheid of banken ziet, wil je dat zelfs in eigen beheer houden.
– Zakelijk, beveiligingstechnisch en meetkundig
In alle drie genoemde opzichten wil je eigenaar zijn en blijven van sensitieve data en stromen. Tenminste, als je er werkelijk over na zou willen denken.
Een eenvoudig voorbeeld van waar u staat als klant wanneer het kwaad is geschied? Diginotar faalde, werd door Donner de wacht aangezegd. Ik heb zelden een miljoenen verdienende organisatie zo snel failliet zien gaan maar nog saillanter, er is niemand door de staat aansprakelijk gesteld. Stelt u zich eens voor dat u zo’n klant zou zijn? even in de marge maar toch.
Byod e.d.
Ook dat verhaal hoeft helemaal niet ingewikkeld te zijn. Automatiseren, mijn beste lezeres, lezer, doe je maar vanuit één heel eenvoudig oogpunt. WINST! Winst, winst, en nog eens winst. Anders heeft het namelijk geen enkele zin te automatiseren. Lever BYOD winst op denkt u? Volgens mij nog steeds heel veel hoofdbrekens en risico waar u voor betaald en natuurlijk een commerciële partij ‘winst’ uit haalt. Dan leg ik u, gewaardeerde klant, de vraag nogmaals voor. Waarom automatiseert men?
I rest my case.
Het artikel begint al fout met een verkeerde titel. Ik denk dat 2013 eens te meer heeft laten zien dat het niet meer om het netwerk draait, maar om de applicatie. Zelfs een netwerkhuis als Cisco heeft zich met de lancering van Application Centric Infrastructure (ACI) dit gerealiseerd.
Applicaties zitten voornamelijk nog in silo’s opgesloten, dit is anno 2014 overbodig en bedrijven worden uitgedaagd opnieuw over hun business strategie na te denken. De genoemde trends als BYOD, maar voornamelijk Cloud bieden organisaties handen en voeten om de daarbij behorende IT aanpak te kunnen gebruiken om kosten te kunnen drukken en de winst te vergroten. De inzet om dit te bereiken is het flexibel kunnen beschikken over je resources en de daarbij behorende processen te automatiseren om uiteindelijk toepassingen zo efficiënt mogelijk aan gebruikers te kunnen faciliteren.
Uiteraard is beveiliging een onlosmakelijk onderdeel van het hiervoor geschetste betoog, maar begin bij de applicatie die je wenst te beschermen en ga voor een universele aanpak die bescherming biedt in eigen datacenter, maar ook daar waar u virtueel richting Cloud expandeert.
Ik wens uw applicaties een veilig en efficiënt 2014!
Gert Jan,
Goede toevoeging.
Ik denk persoonlijk altijd in ketens. Netwerk, storage, servers, werkstations zijn de fysieke onderdelen van de keten en data en applicaties de softe kant. En security is zowel fysiek als soft.
Als er in van deze ketens iets niet naar behoren functioneert heeft iedereen hier last van. Dit is ook wat Reza hier geregeld schrijft.
Hier geldt ook weer meten is weten. En dit moet je niet 1x doen maar die moet je blijven doen om te zorgen dat je omgeving blijft voldoen. Een zwakke schakel in de keten zorgt er voor de rest van de keten ook last van gaat krijgen.
Ik kom graag terug op enkele opmerkingen naar aanleiding van mijn blog over netwerkbeveiliging in 2014.
• Netwerken zijn niet meer campusgeoriënteerd. Vandaar dat segmentatie niet iets fysieks, maar iets logisch is, gebaseerd op ‘compliant’ toegang.
• Gebruikers komen van verschillende netwerken (intern – fysiek of wifi – en extern) en gebruiken vandaag al vele types toestellen. Dat betekent dat toegang en de beveiligingscontrole niet mogen verschillen.
• Servers/services/applicaties zouden altijd op een goed gedemarkeerde plaats in het netwerk moeten staan, zodat consequente en coherente controle mogelijk is.
• Er is ongetwijfeld in bijna elk bedrijf wel sprake van gebruik van ‘the cloud’ – in welke vorm dan ook. Denk aan salarisverwerking of opslag van data.
• Beveiliging moet vandaag in zijn totaliteit bekeken worden en moet dezelfde bouwstenen en ‘coverage’ hebben; of het nu intern, extern of in het datacenter is.
Een en ander betekent dat bedrijfsbrede beveiliging vandaag alleen te behalen is door te werken met een positief enforcement-model. Dat wil zeggen: werken met een model, waarbij je alleen de applicaties toelaat die nodig zijn voor de gebruikers, inclusief subfuncties van een applicatie. Een perfect voorbeeld is ‘Lync’. Deze applicatie is niet te controleren via poortgebaseerde controle.
Doordat Lync een eigen vorm van encryptie hanteert, is het een perfect malware-transportkanaal. Met andere woorden: de vraag moet gesteld worden of je alle functies van Lync voor elke gebruiker vanaf iedere plaats wil toelaten. Als je die vraag negatief beantwoordt, moet je ervoor zorgen dat de data in je netwerk altijd via dezelfde validatie passeert, onafhankelijk of het intern of extern is.
Daarna ga je op zoek naar gekende gevaren om deze te voorkomen binnen de toegelaten applicaties. Ten slotte zoek je naar nieuwe gevaren en ga je deze zo snel mogelijk voorkomen, op alle plaatsen in je netwerk en niet alleen waar ze de eerste keer gezien zijn. Belangrijk hierbij is dat met een positief enforcement- model je vaak ook het gevaarlijke command & control-verkeer automatisch kan blokkeren of minimaal identificeren. Een positief enforcement-model is iets dat je bereikt door meer inzicht te creëren en daardoor controle in je netwerk te ontwikkelen en dan stap voor stap te werken richting een allow but-policy.