Edge-datacenters zijn in opkomst en brengen vele voordelen. Bedrijven moeten hiervoor wel eerst hun securityomgeving en -infrastructuur in orde brengen door securityprincipes als zero-trust en secure access security edge (sase) te omarmen.
Kleine datacenters aan de rand van de netwerkomgeving, edge-datacenters, zijn sterk in opkomst als onderdeel van een moderne gedistribueerde it-infrastructuur. Onder andere de explosie aan data die bedrijven overspoelt door de snelle toename van het aantal iot-devices, de komst van 5G-netwerken en het hybride werken zijn hier debet aan.
Security-uitdaging
Niet alleen vormen dit soort omgevingen een uitdaging voor netwerkbeheerders voor het beheer van de netwerkinfrastructuur, maar zeker ook voor de securityspecialisten. Gedistribueerde omgevingen, waartoe edge-datacenters behoren, zijn moeilijker te beveiligen dan centrale datacenters.
De security van de centrale datacenters is op fysieke en virtuele perimeterbeveiliging gebaseerd. Hierbij verzorgen één of meerdere firewalls de security en toegang. Als gebruikers dan toegang wordt verleend, hebben zij in veel gevallen toegang tot alle applicaties en diensten die in het datacenter draaien. Deze manier van beveiliging is relatief eenvoudig in het beheer.
Gaat een organisatie meerdere edge-datacenters exploiteren, dan moet er aan de inrichting van de security extra aandacht worden besteed. Dit om de security voor de verschillende omgevingen consistent en efficiënt in te regelen. Belangrijk daarbij is dat alle benodigde security-instellingen en policies identiek over alle omgevingen en locaties worden uitgerold.
Daarnaast hebben organisaties voor dit soort omgevingen absoluut een goed in- en overzicht nodig. Deze kennis maakt het gelijkwaardig uitrollen van alle benodigde policies makkelijker en efficiënter.
Bij een gebrek aan een efficiënte uitrol én inzicht en overzicht van de omgevingen, ontstaan er voor de edge-datacenters tal van risico’s. Bedrijven riskeren dan dat ze, naast het inzicht en overzicht over de infrastructuur, ook de controle over het dataverkeer binnen deze omgevingen kwijtraken.
Hierdoor kunnen edge-datacenters ook moeilijker voldoen aan wet- en regelgeving, zoals privacy en compliance. Geen goede gang van zaken voor welke organisatie dan ook. Binnen bepaalde sectoren, zoals de financiële sector, kan dit zelfs tot serieuze problemen leiden.
Een ander risico is dat de security achterloopt bij de groei van gedistribueerde omgevingen. Zo kunnen bedrijven de toename van het aantal iot-devices op securityniveau niet meer bijbenen. Om dit soort snelgroeiende infrastructuren aan te kunnen, is een goed inzicht en overzicht van levensbelang.
Hand in hand
Een tweetal moderne securityprincipes helpen bedrijven hierbij door policies overal en altijd af te kunnen dwingen: zero-trust en secure access security edge (sase). In een goed geïmplementeerde sase-omgeving is zero-trust een belangrijk onderdeel, dus deze technologieën gaan hand in hand.
Bij zero-trust worden alle devices en personen die toegang zoeken tot het netwerk, of een resource die zich op dat netwerk bevindt, bij voorbaat en permanent niet vertrouwd. Hierdoor zijn fijnmazige security-policies af te dwingen over wat en wie en zelfs wanneer iemand netwerk-, applicatie- en datatoegang krijgt. Waar de devices en personen zich ook bevinden. De security is zo tot op het kleinste detail te bepalen en af te dwingen.
In sommige gevallen vormt zero-trust wel een uitdaging voor het beheer van de security-policies. Bedrijven kunnen dit echter stapsgewijs aanpakken. Als eerste stap is een matrix te gebruiken om te bepalen welke medewerkers en devices toegang hebben tot specifieke diensten en bronnen.
Met het verkregen inzicht en overzicht kan vervolgens worden bepaald in welke mate de policies verder moeten worden gedefinieerd of aangescherpt. Zo kunnen securitybeheerders voor alle devices en eindgebruikers nauwkeuriger bepalen of er veranderingen moeten worden doorgevoerd.
Naast zero-trust is ook sase een belangrijk principe voor het bepalen van de securitystrategie voor gedistribueerde omgevingen. Sase is een securityraamwerk dat constant eindgebruikers of devices identificeert en hiervoor op eerder gedefinieerde policies gebaseerde beperkende maatregelen toepast. Op deze manier levert dit raamwerk een veilige toegang voor dynamisch geaccrediteerde gebruikers tot de juiste applicaties, data of diensten.
Belangrijk is wel dat securitymaatregelen als zero-trust en sase ook op netwerkomgeving worden geïmplementeerd en dat hiervoor een centraal beheer wordt ingericht. Dit betekent dat de netwerkbeheer- en securityafdelingen binnen bedrijven, die nu nog vaak in aparte omgevingen werken, op organisatorisch niveau veel nauwer met elkaar moeten samenwerken.
Securityperimeter
De komst van edge-datacenters dwingt bedrijven na te denken over hun securityomgeving en bijbehorende maatregelen. In plaats van de traditionele securityperimeter, is de security voor gedistribueerde omgevingen precies het tegenovergestelde. Toegang is in principe niet mogelijk, tenzij aan de bepaalde policies wordt voldaan.
Zero-trust en sase zijn hiervoor goede principes; die leveren het juiste in- en overzicht. Binnen een gedistribueerde omgeving met edge-datacenters volstaat het echter niet om deze aanpak alleen binnen de securitypraktijk toe te passen. Zero-trust en sase moeten overal worden doorgevoerd, ook op de netwerkcomponenten. Geïntegreerd netwerk- en securitybeheer is daarbij essentieel om op een veilige manier aan de almaar complexere gebruiksbehoeften te voldoen.
