Een écht veilige infrastructuur is vanaf de grond af opgebouwd met veiligheid in het achterhoofd. Geen woonhuis met talloze deuren en ramen, maar een bunker met één hele dikke, goed beveiligde deur.
Hoe veilig het werken in de cloud ook is, zo nu en dan gaat er toch wat mis. Hackers vinden een achterdeurtje dat niet op slot zitten en gegevens blijken per ongeluk toch niet versleuteld. Of er zit een lek in het managementconsole, waardoor een buitenstaander zichzelf en anderen meer rechten kan geven dan eigenlijk de bedoeling is.
Dichttimmeren die zaak, dus. Maar als je daar pas mee begint nadat je infrastructuur op poten is gezet, dan ben je eigenlijk te laat, vindt Martijn Bosschaart. Als Systems Architect bij Nutanix adviseert hij bedrijven over hun infrastructuur. “Wil je een écht veilig systeem, dan leg je je security er niet als een laag bovenop. Wil je het echt goed doen, dan moet security in het DNA van je infrastructuur verweven zitten.”
Nutanix doet dat door bij zijn infrastructren (op afstand in de cloud en on-premise) veiligheid al vanaf begin af aan in acht te nemen. “Onze systemen worden met security in mind ontworpen”, aldus Bosschaart. “We bieden de mogelijkheid om self-encrypting schijven te gebruiken. Je stopt je gegevens als het ware in een kluis waar je zonder sleutel niet inkomt. Daardoor zijn ze goed beveiligd, zelfs als ze zelf niet versleuteld zijn. Daarnaast bouwen we onze eigen software van de grond af aan op, zodat we niet afhankelijk zijn van het werk van anderen.”
‘Hardened’ uit de fabriek
De systemen die Nutanix leveren komen volgens Bosschaart hardened ‘uit de fabriek’. Daardoor hoeft de klant zich niet druk te maken over alle mogelijke deurtjes die hij dicht moet zetten. Alles zit al dicht. Dat komt doordat het Amerikaanse bedrijf het standaard drielaagsmodel – waarbij computing, networking en storage ieder een eigen laag in de infrastructuur zijn – loslaat. In plaats daarvan levert Nutanix hyper-converged infrastructures: systemen opgebouwd uit blokjes (nodes) die allemaal een stukje computing, networking en storage bevatten en die ieder door hun eigen software worden aangestuurd.
“Security bevindt zich op alle niveaus: software, netwerk, opslag en management-console. Als je je infrastructuur vergelijkt met een huis, dan heb je met het drielaagsmodel een woning met talloze ramen en deuren. Die kunnen allemaal geforceerd worden en je kunt ze allemaal per ongeluk op een kier laten staan”, aldus Bosschaart. “Bij een hyper-converged infrastructure heb je als het ware een huis met maar één toegangsdeur, een soort bunker. Bij een gewoon huis is het lastig om tegelijkertijd alle ramen en deuren in de gaten te houden. Een bunker heeft maar één deur, een hele dikke. En alle beveiligingsogen zijn daarop gericht. Zo wordt de attack surface geminimaliseerd.”
De gebruiker controleren
Al die maatregelen ten spijt, in veel gevallen is het niet het deurslot van het huis dat niet deugt, maar laat de gebruiker een raampje op een kier staan. “Wij richten ons vooral op de onderlaag van het systeem. Klanten zijn zelf verantwoordelijk voor de software die ze op hun servers zetten en het gebruik daarvan”, verduidelijkt Bosschaart. “Hackers richten zich echter vaak op die software. Daardoor vinden lekken vaak plaats op applicatieniveau. Daarnaast ben je als je een clouddienst gebruikt vaak ook niet de enige op een infrastructuur. Als de buurman op softwareniveau gehackt wordt, dan kan dat ook voor jou gevolgen hebben. Zonder dat je dat aan ziet komen.”
Dat klanten van clouddiensten ook eigen verantwoordelijkheid hebben, wil niet zeggen dat je hen als leverancier dan maar aan hun lot moet overlaten, vindt Bosschaart. Daarom ontwikkelde Nutanix STIG (de Security Technical Implementation Guide), een stukje software boordevol checklists, dat het systeem keer op keer controleert op veiligheid. “Stel je voor dat je als gebruiker even de firewall uitzet, omdat je die bijvoorbeeld voor een installatie tijdelijk moet omzeilen. STIG controleert dan na verloop van tijd of je de firewall ook weer aan hebt gezet. Blijk je dat vergeten te zijn, dan zet STIG hem automatisch weer voor je aan.”
Meten, rapporteren en bijstellen, dat is het idee. Zo worden systemen beschermd, ook als de gebruiker eens een menselijke fout maakt. De gebruiker merkt daar overigens niets van. “Alles gebeurt onder water. Je hoeft gebruikers niet steeds op hun fouten te wijzen als die ook automatisch hersteld kunnen worden”, aldus Bosschaart. “Uiteindelijk draait het om het ontlasten van de klant. Dankzij onze veiligheidsmaatregelen hebben onze klanten bijna geen omkijken meer naar de beveiliging van hun infrastructuur. Daardoor kunnen ze zich richten op dat waar zíj goed in zijn: het leveren van goede producten en diensten.”
Nutanix.NEXT on Tour
Nutanix organiseert op 1 December Nutanix .NEXT On Tour in De Fabrique te Maarssen. Dit 1-daags event biedt organisaties inzichten in de laatste en nieuwste datacenter ontwikkelingen.
