De netwerkomvang van bedrijven groeit exponentieel, zeker nu er meer dan ooit wordt thuisgewerkt. Deze situatie vraagt om een uitermate sterke beveiliging. Virtual private networks (vpn’s) bieden daarom niet langer voldoende bescherming. Wil je kritische bedrijfsgegevens goed beveiligen, dan biedt een software-defined perimeter (sdp) uitkomst. Vier redenen waarom je de overstap van vpn naar sdp vandaag nog moet maken.
Een software-defined perimeter (sdp) beveiligt je bedrijfsnetwerk vele malen beter dan een virtual private network (vpn). Een vpn kun je vergelijken met de voordeur van je huis. Iedereen die een sleutel heeft, kan naar binnen. Eenmaal in het huis zijn er geen beperkingen meer. Vpn’s zijn daarom geliefd bij hackers, want via de voordeur kunnen ze vrij eenvoudig inbreken om vervolgens ongestoord hun gang te gaan. Uiteraard kun je de voordeur extra beveiligen, maar door het groeiende netwerk zijn er vaak tientallen, zo niet honderden deuren van individuele gebruikers. Controle over de veiligheid en toegang via deze deuren wordt hierdoor praktisch onmogelijk.
Een sdp kun je daarentegen zien als een huis zonder deur; het netwerk is onzichtbaar. Een hacker die naar binnen wil, moet een baksteen weghalen. Zelfs als dat hem lukt, komt hij nog geen stap verder. Door microsegmentatie is er namelijk geen ‘binnen’. Als de inbreker een baksteen weghaalt, komt hij gewoon een volgende steen tegen. Het maximale wat er voor een hacker te halen valt, is dus een steen. En zelfs daarmee bereikt hij niets. Door middel van dynamische isolatie worden kritieke gegevens en systemen geïsoleerd van malafide gebruikers. Zo is een aanval binnen vijf seconden onder controle te brengen waardoor (verdere) schade en data-exfiltratie worden voorkomen.
Implementatie en security management
Een tweede reden om een sdp te verkiezen boven een vpn is de snelheid. Het implementeren van een vpn is tijdsintensief, maar bij een sdp kan dit juist heel snel. Het overwegen van scenario’s, het beoordelen van gebruikers en het schrijven van regels is hierbij niet nodig. In een nacht rol je een sdp uit naar duizenden gebruikers. Het enige wat je nodig hebt, is een veilige en stabiele verbinding tussen twee endpoints. De gebruiker hoeft vervolgens alleen maar zijn apparaat opnieuw op te starten.
Wat betreft complexiteit van securitymanagement zijn er duidelijke verschillen tussen vpn’s en sdp’s. Vpn’s zijn berucht omdat het ontwerpen, beheren en onderhouden hiervan complex is. Voor het toevoegen van iedere vpn of gebruiker moeten bijvoorbeeld nieuwe firewall-regels geschreven worden. Het is wiskundig gezien onmogelijk alle regels altijd up-to-date te houden, gezien de dynamiek van het personeelsbestand en het netwerk. Met een sdp-oplossing die zowel on-premise als in de cloud beschikbaar is, kun je omgevingen, gebruikers en apparaten eenvoudig beheren. Een sdp geeft namelijk toegang op basis van identiteit, waardoor veranderende ip-adressen, omgevingen of netwerktypologieën er niet meer toe doen. Daardoor voeg je ook eenvoudig servers en endpoints toe aan een bestaande omgeving.
Kostenbesparingen
Sdp’s overtreffen vpn’s ook op het gebied van kosten. Zowel op de korte als de lange termijn is het financieel voordelig om de vpn te vervangen door een sdp. Allereerst bespaar je op personeelskosten, omdat er geen specialistisch team meer nodig is om de complexe vpn te beheren. Daarnaast is dure hardware overbodig en kun je kosteloos opschalen voor nieuwe gebruikers, applicaties of servers. Ten slotte integreert een sdp naadloos met andere security-oplossingen. ‘Rip and replace’ is niet langer aan de orde, waardoor je kosten bespaart.
Verbeterde security, snelheid, eenvoud en kostenbesparing: dat zijn de redenen om een sdp boven een vpn te verkiezen. Nu medewerkers vaker thuiswerken en bedrijfsnetwerken groter worden, is het de hoogste tijd om over te stappen op het zero trust-model, mogelijk gemaakt door een sdp.
Jack Koons, chief strategist cybersecurity bij Unisys
Ik wil het product niet te kort doen maar wel de verwachtingen bijstellen over de implementatietijd want je rolt niet in één nacht een Zero Trust model naar duizenden gebruikers uit. Het is weliswaar 5 jaar geleden en Unisys kan veel aan het product verbeterd hebben maar servers en endpoints toevoegen aan een ‘Community of Interest’ was dus niet het probleem, uitvinden welke dat precies moesten dus zijn wel. Recentelijke documentatie laat zien dat hierin weinig veranderd is, de planningsfase vergt dus nog altijd veel tijd en hetzelfde geldt voor de worflows van het IdM deel van de oplossing.
Ik zou nog wel wat verder willen gaan dan @oudlid: Ik vind dit echt een zwamverhaal/verkooppraatje. Met name de stelling dat een SDP makkelijker op te zetten en te beheren is dan een VPN is zonder verdere onderbouwing niet geloofwaardig. De meeste bedrijven kunnen (naar eigen ervaring) nauwelijks een interne DNS opzetten en beheren, laat staan dat ze zo’n gecompliceerde security architectuur kunnen opzetten en aan de gang kunnen houden.