De firewall is een van de meest bekende stukjes beveiligingstechnologie. Zelfs een leek weet tegenwoordig wat een firewall ongeveer doet. Dit is gedeeltelijk te danken aan Hollywood-films. Telkens wanneer een hacker in een film een mainframe moet kraken, worden ze vaak geconfronteerd met een firewall, die ze snel zullen omzeilen door woedend op het toetsenbord te tikken.
En het lijkt erop dat het leven de kunst imiteert, want de eerste vermelding van een firewall in de context van cyberbeveiliging verscheen in een film; War Games uit 1983. Het heeft bijna tien jaar geduurd voordat deze term ook in het woordenboek van de security-professional voorkwam. Gedurende de jaren ’80 en in de jaren ’90 hebben technologen zoals Jeff Mogul, Steve Bellovin en Bill Cheswick, Marcus Ranum en Nir Zuk de technologie naar voren geschoven. Halverwege de jaren ’90 was het normaal dat bedrijven verbinding maakten met internet en werd het dreigingslandschap steeds erger. De firewall werd een enorm populaire en essentiële technologie voor bedrijven.
De firewall was destijds volkomen logisch, aangezien het internet uit de jaren ‘90 uit slechts honderden servernummers bestond (vergeleken met de tientallen miljoenen vandaag). Het was een eenvoudigere plaats en ook de dreigingen waren eenvoudiger. Er waren hackers, maar dat waren meestal solisten. In tegenstelling tot de wereldwijde, door de staat gesteunde groepen, waarmee we tegenwoordig te maken hebben. De firewall was de perfecte oplossing om slecht verkeer uit te filteren. Het netwerk was veilig, het internet niet, en de firewall hield die externe gevaren waar ze waren.
Het paradigma is veranderd
De manier waarop we internet gebruiken, is sinds de jaren ’90 fundamenteel veranderd. Het is niet langer alleen een hulpmiddel dat op kantoor wordt gebruikt om ons te helpen ons werk te doen, of een voorrecht voor de verveelde kantoormedewerker. Het is een essentieel onderdeel geworden van ieders bestaan. De dreiging is niet langer een hacker, maar dreigingen zijn ingebed in de applicaties en services die we allemaal gebruiken als onderdeel van ons dagelijks leven. Of het nu gaat om sociale media, streamingdiensten of welke applicatie dan ook. Zelfs de vertrouwde bedrijven die ons ecosysteem vormen, zijn nu allemaal bronnen van deze dreigingen.
De firewall-industrie heeft dit niet ongemoeid gelaten en als reactie daarop werden er nieuwe functionaliteiten ingebouwd in firewalls om deze opkomende dreigingen te stoppen. Denk hierbij aan packet-filtering, firewalls met antivirus, dos-preventie, vpn’s en tunnels, botnet-detectie en meer. Het werd een wapenwedloop en naarmate de functionaliteiten groeiden, namen ook de complexiteit, de latency en de kosten toe. Met alle bedieningselementen van een bedrijf op één plek, werd de firewall de enige verdediging voor bedrijven en bijna het enige dat hackers hoefden te omzeilen.
Zelfs de meest vooraanstaande firewalls van vroeger hebben in relevantie afgedaan. Cheswick en Bellovin noemden de firewall al in 2008 respectievelijk een ‘economische oplossing voor zwakke hostbeveiliging’ en ‘een laagwaardige toegangscontrole voor laagwaardige bronnen’.
Cloud en mobiliteit waren de genadeslag
Als er iets is dat de doodsteek voor de firewall werd, dan is het wel de cloud en de mobiliteit die de cloud mogelijk maakt. Covid-19 heeft de overstap naar de cloud versneld en de spijkers verder in de kist van de firewall geslagen. Tegenwoordig vindt business plaats buiten het netwerk en op het internet zelf.
De firewall is een geweldige dienaar geweest voor cybersecurity, maar het is een verouderde technologie en vertegenwoordigt een verouderde architectuur. Dit is niet alleen vanwege de toenemende leeftijd en het verdwijnen van functies, maar ook omdat het is gebaseerd op verouderde opvattingen over vertrouwen. Het hebben van een firewall houdt in dat de ene kant van de muur op de een of andere manier betrouwbaarder is dan de andere. Met internetverkeer dat van de ene naar de andere kant stroomt, is dit allesbehalve waar. Dat vertrouwen kan meer risico’s veroorzaken dan het vermindert.
De firewall wilde dat bedrijven het netwerk en de ip-adressen zouden vertrouwen, terwijl we in de wereld van vandaag een zero-trust-benadering moeten toepassen. Zero-trust begint met het valideren van de gebruikersidentiteit, in combinatie met handhaving van het bedrijfsbeleid. Dit doet zero-trust op basis van contextuele gegevens van gebruiker, apparaat, app en inhoud om geautoriseerde, directe toegang tot applicaties en bronnen te bieden. Het brengt het verkeer naar de controle en niet andersom.
Uit een recent onderzoek blijkt dat meer dan driekwart van de it-beveiligingsteams denkt over te stappen op een hybride werkmodel, wat zal resulteren in de behoefte aan nieuwe en geavanceerde beveiligingsvereisten. In een ‘work from anywhere’-wereld raken perimeter-gebaseerde controles, zoals de firewall, snel achterhaald. De zero-trust-aanpak maakt gebruik van een cloud-native architectuur voor meer high-performance beveiligingscontroles, op schaal. Dit is een veel aantrekkelijkere en effectievere manier om organisaties te beschermen. Wat de firewall fout deed, was denken dat we een betere tool nodig hadden, terwijl we in werkelijkheid een betere architectuur nodig hebben.
Maar… maar.. security bestaat toch uit laagjes? Security is zoiets als ongedierte bestrijden. Je weet dat niet 1 oplossing volledig werkt en dat een goede muur niet alles tegenhoudt.
Ik ben gek op mijn firewall, gewoon met een paar klikken zorgen dat alleen een paar IP adressen de databaseserver kunnen bereiken. Ik heb dan ook firewalls op diverse plekken staan. Extra laagje er bovenop voor de rapportages en ik voel me weer een klein beetje veiliger.
Om eerlijk te zijn: Ik begrijp de strekking van het artikel niet helemaal.
Want gebruikers kunnen je eigenlijk nooit identificeren zonder dat je ze fysiek voor je hebt. Is een gebruiker die zijn wachtwoord en tweestapscode laat stelen wel goed geïdentificeerd?
Of nog platter gesteld: Hoe weet ik dat een examen van een e-learning door een gebruiker zelf is gemaakt?
“Wat de firewall fout deed, was denken dat we een betere tool nodig hadden, terwijl we in werkelijkheid een betere architectuur nodig hebben.”
Ow de firewall dee het fout dus 😛
De architectuur verandert inderdaad, maar juist als data, applicaties, users op verschillende locaties zitten en ze allemaal intern en extern via webservices communiceren, over een gedeeltelijk onvertrouwd netwerk, heb je firewalls nodig. Je ziet ze ook in de cloud, AWS security groups, WAF. Of voor tegengaan van DOS attack. etc
Maar Henri, niet zo reactionair zijn ;-)… het staat immers uitstekend uitgelegd in het artikel: “De zero-trust-aanpak maakt gebruik van een cloud-native architectuur voor meer high-performance beveiligingscontroles, op schaal”.
En dat wil je. Want: “Dit is een veel aantrekkelijkere en effectievere manier om organisaties te beschermen”.
haha Robert, prachtig sarcasme!
En reactionair… ik moet nog een paar keer de betekenis doorlezen voordat ik begrijp wat dat precies betekent.
“Een reactionair wordt wel als extreem conservatief omschreven, maar in tegenstelling tot een gematigd conservatief streeft hij niet naar het in stand houden van de politieke status quo maar streeft actief naar een terugkeer van een situatie uit het verleden.”
Dat past dan wel weer in de geest van het artikel.
Ik ben het eens met Henry dat firewall voorlopig nog wel zo handig is, ook omdat je deze zelf kan instellen en ook meerdere firewalls achter elkaar kan zetten. De meeste particulieren hebben er minimaal twee in huis, één van de provider en één van de pc. Een firewall van een bedrijf kan je ook lekker in de virtuele periferie zetten.
De opmerking van Marc Lueck is helaas ook waar. De meeste bedrijven en particulieren hebben koppelingen met diverse clouds en vele aansluitmogelijkheden. Er worden veel gaten in de verdediging gecreëerd door de diensten via het internet, IOT, SIM swapping en Apps. En vergeet niet dat het overzicht verdwijnt door de omvang en complexiteit van veel bedrijfsnetwerken. Als je het beheer over laat aan een externe provider, dan kan die ook gehackt worden via gaten in de beheersoftware.
Ok, stel we gaan naar een andere beveiligingsarchitectuur. Maar hoe moet de functionaliteit van bijvoorbeeld de Atlantikwall van MicroSoft, de Maginotlinie van Google, de Bar-Lev-linie Van Apple, de Molotov-linie van Amazon Web Services, de Nieuwe Hollandse Waterlinie van KPN, enz. zodanig evolutionair samenvloeien, dat de nieuwe linie echt onneembaar wordt en niet te omzeilen? Hoe gaat de nieuwe architectuur er uitzien?
Henri,
Ik wil geen spelbreker zijn maar als je via de lagere lagen in het OSI model je beveiliging in gaat richten dan is dat niet erg flexibel. Terug naar de meterkast is niet een cloud-native oplossing die schaalt, het enige wat goed schaalt is de complexiteit en daarmee de kans op fouten. Maar desondanks ga ik mee in je idee want het er is nog veel onverplaatsbare IT. En misschien wil je het beheer van je firewall niet uitbesteden maar de monitoring wel want om dat 7×24 te doen vraagt nogal wat organisatorische schaalbaarheid. En het is geen geheim dat hackers graag op vrijdagavond toeslaan waardoor een extra laagje voor de rapportages zonder waarde is als je niks met de meldingen doet.