Bij alle dagelijkse besognes in zakelijke it-omgevingen zijn er twee situaties die extra aandacht vereisen : een inbreuk op de beveiliging en kuren in de prestaties van het netwerk. Op die twee risicovlakken kan een manager zich nog echt onderscheiden. Maar kunnen zij ook het ene vraagstuk oplossen zonder compromissen te doen aan het andere?
Netwerkbeheerders realiseren zich dat het vaak de firewall de grote boosdoener is als het gaat om vertraging in het netwerkverkeer. Dat is ook wel verklaarbaar, tenslotte werkt een firewall net zoals een politiefuik op een zaterdagnacht: al het verkeer wordt ‘aangehouden en gecontroleerd’. Voor de verkeersveiligheid is een grondige controle van levensbelang, want niemand is gebaat bij dronken of agressieve verkeersdeelnemers. Voor de controle van netwerkverkeer is dit niet anders, want het gaat om bedrijfskritische applicaties en gegevens. De doorgifte daarvan moet optimaal, betrouwbaar en veilig zijn om de bedrijfscontinuïteit te garanderen. Uit een onderzoek dat onlangs namens Fortinet werd uitgevoerd blijkt dat de firewall er in 65 procent van de gevallen verantwoordelijk voor is dat het netwerk zo traag als stroop is. Een firewall is echter maar één wapen in het hele beveiligingsarsenaal. Maatregelen zoals antivirus, IPS, traffic shaping en antispam makken de stroop alleen maar dikker.
Nu weten we allemaal dat geen directie- of bestuurslid het in zijn hoofd zal halen om de netwerkbeveiliging te verminderen. Dat risico wil niemand lopen. Ze weten echter ook aan wie ze de zwarte piet moeten geven als technologie de bedrijfsprestaties in de weg staat. Dan wijzen alle vingers naar de netwerkbeheerder, die de winstgevendheid in gevaar zou brengen. Oftewel, het verlagen van beveiligingsniveaus is geen optie, en tegelijkertijd zijn het opofferen van de netwerkprestaties of het vergroten van het it-budget dat ook niet.
Wat is de impact van vertraging?
Is het nou echt zo erg wanneer het netwerkverkeer een vertraging oploopt van enkele milliseconden of zelfs microseconden? Om dit in het juiste perspectief te zien is het goed te weten dat een knipoog gemiddeld 300 milliseconden duurt. Toch kan een vertraging van slechts tien milliseconden een verlies opleveren van miljoenen euro's (bron: TABB Group). Als de kleinste vertraging voorkomt in zelfs het kleinste bedrijf onderbreekt dit de communicatie met klanten, belemmert dit het beslissingsproces en frustreert dit de medewerkers.
Natuurlijk neemt vertraging toe naarmate de afstand toeneemt. Zelfs onder perfecte omstandigheden neemt het versturen van een datapakket van 1 KB tussen Tokio en New York al 33 milliseconden in beslag. Door verschillende externe factoren duurt dit in de praktijk vaak zes keer langer en dat verdubbelt nog eens als pakket ook een retourtje neemt. Dit is een belangrijk gegeven, zeker nu steeds meer bedrijven Security-as-a-Service adopteren. Als de netwerkprestaties van applicaties die op afstand of via internet gebruikt worden essentieel zijn, moet men in overweging nemen waar deze applicaties zich bevinden. Tokio is dan mogelijk niet de beste plek. Diegenen die prestaties de hoogste prioriteit geven, zullen er ofwel veel geld voor over moeten hebben om optimale dienstverlening te garanderen, of het vertragingsvraagstuk intern aan moeten pakken.
Of applicaties nu afgenomen worden als een dienst of intern worden beheerd, van belang is te weten wat vertraging voor nu precies voor beveiliging betekent. De meest op zichzelf staande firewalls laten al pakketten vallen bij een bescheiden netwerkbelasting van 3 Mbps. Bij een zwaardere multicastbelasting (circa 10 Mbps) kunnen firewalls volledig bevriezen (bron: Firewall Latency Optimisation Workshop- FLOW 2009). Andere beveiligingsmaatregelen zijn dan nog eens extra prestatieverminderende middelen.
Zeven overwegingen voor de aanpak van beveiliging versus prestaties:
• Implementeer minder netwerkcomponenten – consolideer functionaliteit om data zodoende door minder appliances, en dus sneller, te transporteren.
• Kijk naar hardwareversnelde beveiligingsappliances – grote verwerkingskracht zorgt ervoor dat data sneller wordt gecontroleerd.
• Analyseer alle mogelijke oorzaken van vertraging grondig om deze continu in kaart te brengen en te controleren.
• Kijk naar wan-optimalisatie voor beveiligingsoplossingen.
• Minimaliseer het afbreken en opbouwen van ip-pakketten – voorkom dat er verschillende op zichzelf staande oplossingen zijn die allemaal afzonderlijke broncodes hanteren om de pakketinspectie te optimaliseren
• Zet betere QoS (quality of service) in – rangschik bedrijfskritische applicaties op prioriteit en bescherm deze tegen vertraging door er speciale netwerkcapaciteit aan toe te wijzen.
• Maak de opstelling schaalbaar – Als er nu 1 Gbps gebruikt wordt, zal dat snel oplopen naar 10 Gbps. Zorg dat de beveiligingsmaatregelen op de komende capaciteitseisen zijn voorbereid.
Terwijl netwerkbeheerders zich het hoofd breken over hoe ze én het netwerk, en de beveiliging optimaal houden, juichen internetcriminelen het alleen maar toe dat de bandbreedtecapaciteit alsmaar groeit. Dit komt door de populariteit van webapplicaties. Het biedt de cybercriminelen een snellere en grotere ingangen naar het bedrijfsnetwerk. Bovendien nodigt niet alleen uit tot meer van dit soort bedreigingen, maar maakt ze ook complexer en gecombineerd. Hierdoor kan netwerkbeveiliging zich niet langer beperken tot louter het inspecteren van ip-pakketten. Deze bedreigingen zwemmen eenvoudig door alle mazen in de individuele beveiligingsnetten. Daarom is een gecombineerd antwoord nodig, of één nauwsluitend vangnet. Als de politie deze aanpak zou kunnen hanteren, kon de agent bij de verkeersfuik in één oogopslag zien of zowel de bestuurder als de auto volledig geschikt zijn om deel te nemen aan het verkeer. Het inspecteren van netwerkverkeer is met deze methode een kwestie van één allesziende controle. Hierdoor hoeft het verkeer niet door meerdere apparaten het verkeer behandeld te worden. Dat voorkomt vertraging en versterkt de beveiliging.