Moderne it-netwerken en next-generation firewalls (ngfw) bieden veel complexiteit, wat op het eerste oog een beheerprobleem is maar wat dat juist niet hoeft te zijn. Fijnmazige afstelling en contextuele permissies maken het leven van de beheerder makkelijker.
Wereldomspannende it-netwerken met een veelvoud aan diensten zijn natuurlijk complex. En dus vereisen ze navenante security-oplossingen. De nieuwste versies van next-generation firewalls bieden daarvoor dan ook meerdere securitylagen en diverse nieuwe functies. Die gelaagde opzet en de toevoeging van nieuwe functionaliteit compliceert het al moeilijke beheerwerk nog meer. Het risico van deze complexiteit is dat het de effectiviteit vermindert van de beheermiddelen. De overvloed aan mogelijkheden en meldingen kan opmerkelijke events of gedetecteerde trends verhullen. De combinatie van monitoringdata uit verschillende securitysystemen mist dan zijn doel: de optelsom van schijnbaar losstaande incidenten wordt dan niet correct uitgevoerd. Of simpelweg niet opgemerkt.
Maar daar valt veel aan te doen. De oplossing is een algemene, geïntegreerde beheeraanpak met fijnmazige en contextuele toegang controles. Dit vervangt dan de opzet van gescheiden dashboards voor verschillende securitysystemen met minimale, of geen, integratie. Beheerders krijgen voor hun netwerkbeveiliging één dashboard om daarmee een consistent en geïntegreerd totaalbeeld te krijgen van alle netwerksegmenten en de firewalls die ze bescherming bieden. De daar weergegeven data moet gedetailleerd (granular) zijn én in context geplaatst. Bijvoorbeeld niet slechts een herhaalde inlogpoging loggen maar dat security-incident correleren: de hoeveelste inlogpoging is dit, binnen welk tijdsbestek, van welke gebruiker, vanaf welk ip-adres en is dat een nieuw of bekend ip-adres?
Dit geeft it- en netwerksecuritybeheerders overzicht en de mogelijkheid om alle NGFW-handelingen uit te voeren plus te beheren vanuit dat totaalbeeld. Daarbij zijn zij ervan verzekerd dat alle handelingen en waargenomen events worden vastgelegd in logs, ongeacht de locatie van de beheerder.
Consistentie is hierbij cruciaal. Dit hogere niveau van besef en grip voor beheerders moet breed beschikbaar zijn, ongeacht de modaliteit (fysiek of virtueel) van het systeem en de configuratie daarvan. Hier zijn vijf kritieke beheerfuncties die meespelen bij de evaluatie van een next-generation firewall:
1 Geïntegreerde vpn
Beveiligde vpn-verbindingen (virtual private network) geven deelkantoren en mobiele gebruikers toegang tot bedrijfsmiddelen, zoals applicaties en gegevens. Ngfw die de buitenkant van het bedrijfsnetwerk bewaken (first-tier) bieden normaliter speciale functies voor remote access. Dit omvat voorzieningen voor een vlotte verbinding voor de werkers op afstand, maar ook geïntegreerde beheermogelijkheden met ondersteuning voor verschillende internetproviders zodat er bij uitval van de ene verbinding toch gewoon toegang is tot de bedrijfsmiddelen.
Zulke oplossingen komen in de regel compleet met vpn-clientsoftware om volledig gebruik te kunnen maken van de diverse mogelijkheden voor succesvolle inzet. Let op de mogelijkheid om de firewall-opstelling te clusteren zodat er niet alleen hoge beschikbaarheid is maar ook overheveling (en dus ‘overleving’) van een vpn-sessie in het geval dat een firewall-appliance offline gaat. Dat laatste kan zijn vanwege onderhoud of juist vanwege een probleem. De werknemers met remote access hoeven hier echter geen hinder van te ondervinden.
Een ander aandachtspunt is flexibiliteit wat de licenties betreft. Is er genoeg ruimte om plotse pieken in gebruik op te vangen? Of om goed om te gaan met snelgroeiende vereisten voor gebruik? Niets frustreert de business meer dan afgesneden zijn van noodzakelijke toegang tot het bedrijfsnetwerk. Niets schittert meer dan een beheerder die meteen kan inspelen op additionele vpn-aanvragen, bijvoorbeeld thuiswerken omdat er een nucleaire top plaatsvindt.
Tot slot is er voor VPN-functionaliteit nog een aanvullende functie die sterk wordt aangeraden. Support voor deep inspection van het netwerkverkeer dat via zo’n beveiligde verbinding van buitenaf het bedrijfsnetwerk binnenkomt. Dit om al voorbereid te zijn op de vereisten van Data Loss Prevention, wat er voor verschillende industriesectoren vanuit overheidswege aankomt.
2 Mail- en websecurity
Mail en social media zijn niet alleen nuttig. Ze kunnen een netwerk ook overspoelen met verkeer dat weinig tot geen waarde heeft voor het bedrijf. Denk aan nieuwsbrieven vol met advertenties en meldingen van likes en aanbiedingen. Naast ‘slechts’ netwerkoverlast kan die verkeersstroom ook een ingang zijn voor malware. Een mogelijke tegenmaatregel hiervoor is het uitrusten van je ngfw’s met aanvullende functies zoals deep inspection, webfiltering, antivirus en antispam. Het combineren van al die losse maatregelen onder één ngfw-paraplu zorgt ervoor dat die diensten beschikbaar zijn (zeker als de firewall-oplossing is geclusterd) en dat ze geïmplementeerd zijn voor alle relevante knooppunten in je netwerk.
Hierop voortbouwend kan een organisatie zichzelf beter bestand maken tegen cyberaanvallen en -inbraken. Dit dankzij organisatiebrede doorvoering van superieur beheer van het netwerkverkeer, gebaseerd op gebruikers en groepen, plus contextueel besef van aanvalsmethodes en hun inzet door potentiële aanvallers. Bovendien kunnen oplossingen met support voor contextueel besef hun data in detail delen met de beheerconsole voor een totaalbeeld van gedetecteerde aanvallen zodat beheerders gepaste, bedrijfsbrede tegenmaatregelen kunnen nemen. Zo kan aftasting door aanvallers op de ene firewall gebruikt worden om die aanvallers te blokkeren op alle firewalls van de organisatie.
Dit ‘versterkingseffect’ is vooral nuttig als de beheerconsole van de ngfw in staat is om meerdere ‘klanten’ te ondersteunen. Zo’n multi-tenant opstelling, bijvoorbeeld bij een aanbieder van clouddiensten aan verschillende bedrijven, kan dan meerdere bedrijfsonderdelen of firma’s in één keer beschermen. Dus een verkenning of aanval op de ene klant leidt gelijk tot bescherming van alle klanten.
3 Exacte securitypolicies
Exact gedefinieerde, en gehandhaafde, securitypolicies leveren een duidelijk raamwerk op waarbinnen netwerksecuritybeheerders dan juist flexibiliteit hebben. Broodnodige flexibiliteit om netwerkprivileges aan werknemers te verstrekken zodat die hun werk kunnen doen. Ngfw-oplossingen gaan verder dan typische firewall-functies zoals filtering op ip-adressen en -poorten. Zo bieden next-generation firewalls geavanceerdere functies zoals grip op het netwerkverkeer per service (op basis van het gebruikte protocol), per applicatie, per gebruikersidentiteit, per gebruikersgroep (bijvoorbeeld op basis van functie in de organisatie), naast nog per url-categorie, naar reputatie van de bewuste site, per tijdstip, op basis van de gebruikte authenticatiemethode(s), en ook aan de hand van de securitycontext.
De exact bepaalde securitypolicies kunnen vervolgens richtlijnen voor quality of service (QoS) opleveren voor access control. Het verlenen van toegang kan dan automatisch op basis van de dynamische vereisten van de organisatie (business requirements). Maar access control valt ook te bepalen aan de hand van wat er op een gegeven moment beschikbaar is aan onderliggende middelen voor de gewenste netwerkcommunicatie. Zo kan verkeer voor transacties voorrang krijgen boven toegang tot social media door werknemers. En verkeer met lagere prioriteit wordt automatisch opzij geschoven wanneer een storing de beschikbare bandbreedte vermindert.
4 Geïntegreerde authenticatiediensten
Vaak missen authenticatiemechanismes van derden integratie met de firewall. Het integreren van authenticatiediensten met de securitypolicies van de ngfw heeft beheerders echter veel te bieden. Zij kunnen dan toegang tot de bedrijfsapplicaties en -data beter beheersen, volgen en vastleggen in logs. Dergelijke grip op de netwerktoegang gebruikt vaak een meervoud aan authenticatiemethodes, inclusief inlog-tokens en systemen voor virtuele tokens. Laatstgenoemde zijn in trek als apps voor smartphones en tablets, waarbij de kosten lager zijn dan voor traditionele fysieke tokens (zoals sleutelhangers). Integratie van de gebruikte authenticatiediensten met de ngfw geeft weer een unified beeld en beheerpallet voor de authenticatie van individuele werknemers én van groepen.
5 Verkeersbeheer en QoS
Firewalls met mogelijkheden voor verkeersbeheer (traffic management) en QoS kunnen een gedetailleerde grip geven op wat voor netwerkverkeer wel en niet is toegestaan, en met welke prioriteit. Daarbij is dan de netwerkcapaciteit voor de hele verbinding (end-to-end) verzekerd om te voldoen aan de vereisten voor de toepassing die de sessie heeft opgezet. Verschillende QoS-instellingen spelen hierbij een behulpzame rol om de verkeersstromen van elkaar te onderscheiden. Dit omvat bijvoorbeeld het instellen van minima en maxima voor de bandbreedte, per toepassing.
Dergelijke differentiatie zorgt ervoor dat de verschillende verkeersstromen eerlijk worden behandeld en niet per ongeluk uitgesloten. Tegelijkertijd kan niet de ene verkeersstroom dermate veel bandbreedte opeisen dat dit het netwerkverkeer voor andere bedrijfsactiviteiten benadeelt.
Ook van belang is goede afhandeling van prioriteitsrichtlijnen voor verkeer wat van verder komt dan alleen het bedrijfsnetwerk en aanpalende netwerken. Deze zogeheten long-haul communicatie heeft striktere vereisten voor tijdgevoelig verkeer zoals VoIP-gesprekken en videoconferencing. Dat soort isochroon verkeer (wat dus in een bepaalde volgorde moet doorkomen) is niet altijd aan de orde dus de benodigde netwerkinstellingen zijn ad hoc vereist. Het faciliteren hiervan brengt dan ook forse complexiteit met zich mee: voor bandbreedtevereisten enerzijds, voor de acceptabele afwijkingen (jitter) in de netwerkvertraging (latency) anderzijds. Goed beheer van het netwerkverkeer verlicht deze last.
Effectief verkeersbeheer helpt niet alleen bij uitzonderingssituaties zoals isochroon verkeer. Het kan ook helpen bij problemen om dan het gedefinieerde prioriteitsverkeer echt voorrang te garanderen. In geval van onvoldoende bandbreedte voor alle toegestane verkeersstromen valt er gelijk een verkeersindeling te maken om op basis daarvan het netwerk goed te laten functioneren. Bijvoorbeeld door voorrang te geven aan transacties van bedrijfsapplicaties, boven het uitvoeren van back-ups of toegang van werknemers tot social media.
Kortom, een next-generation firewall kan de effectieve uitnutting én de beveiliging van je netwerk flink verbeteren. De NGFW is ook een knooppunt voor netwerktoegang: uiteenlopend van wide area networks (WAN’s) en deelkantoren tot mobiele werknemers en het internet. Besteed gedegen aandacht aan alle opties die ngfw-producten te bieden hebben, zorg voor goed begrip van hoe deze opties zich doorontwikkelen, en hoe dat jouw organisatie kan helpen om zowel kosten in de hand te houden als ook beheercomplexiteit te verminderen.
