Arista Networks heeft een update aangekondigd van het Arista MSS (Multi-Domain Segmentation Service)-aanbod, voor het creëren van een bedrijfsbreed zero trust-netwerk. Zonder de noodzaak van ‘endpoint software agents’ en proprietary protocollen maakt Arista MSS effectieve microperimeters mogelijk. Deze limiteert de laterale bewegingen in campus- en datacenternetwerken en daarmee het bereik van cyberaanvallen, zoals ransomware. Arista MSS wordt nu door klanten getest en komt in het derde kwartaal
Bedrijfsbrede zero trust vereist effectieve microsegmentatie
De gedistribueerde IT-infrastructuur om overal te kunnen werken, een wildgroei aan IoT-apparaten en multi-cloud-applicaties heeft de traditionele netwerksecurity op zijn kop gezet en geleid tot een dynamisch en onvoorspelbare aanvals plekken. Om hun beveiliging te verbeteren, zijn bedrijven gestart met zero trust-initiatieven die een vergaande controle vereisen over alle noord-zuid- en oost-west-communicatie. Firewalls zijn simpelweg niet geoptimaliseerd om bescherming te bieden tegen al deze laterale bewegingen. Dat zou een vergaande uitbreiding van de beveiligingsapparatuur, stijgende kosten en een enorme toename aan complexe policies vergen, die nog steeds onvoldoende bescherming bieden tegen laterale verkeersbewegingen.
Het Cybersecurity & Infrastructure Security Agency (CISA) adviseert in het ‘Zero Trust Maturity Model’ de adoptie van microsegmentatie voor sterk gedistribueerde, fijnmazige handhaving via microperimeters. Hoewel er al microsegmentatieoplossingen op de markt beschikbaar zijn, zowel voor netwerken als endpoints, kampen deze met uitdagingen op het gebied van de complexiteit, interoperabiliteit, portabiliteit, en kosten. Die uitdagingen beperken de organisatiebrede toepassing ervan, waardoor zero trust-initiatieven vaak stranden.
Op standaarden gebaseerde microsegmentatie
Arista MSS biedt op standaarden gebaseerde microsegmentatie met behulp van de bestaande netwerkinfrastructuur en overwint tegelijkertijd de uitdagingen van bestaande oplossingen. MSS is zowel netwerk-agnostisch als eindpunt-onafhankelijk. Het vermijdt propriëtaire protocollen en kan naadloos worden geïntegreerd in een omgeving met meerdere netwerken. De oplossing vereist ook geen endpoint-software, waardoor beperkingen in de flexibiliteit en operationele complexiteit worden vermeden, die nu kenmerkend zijn voor agent-based microsegmentatie-oplossingen.
Samenvatting functionaliteit Arista MSS
Arista MSS combineert drie mogelijkheden waarmee organisaties microperimeters kunnen bouwen rond elk digitaal device dat ze willen beschermen, zowel op de campus als in het datacenter. Dat zijn:
* ‘Stateless wire-speed enforcement’ in het netwerk: Arista EOS-gebaseerde switches bieden een eenvoudig model voor fijnmazige, identiteitsbewuste microperimeterhandhaving. Dit model is onafhankelijk van het type endpoint en identiek voor zowel gebruik in campus- als datacenteromgevingen en versimplificceert de dag 2 operatie.. Arista MSS maakt dus laterale segmentatie mogelijk die momenteel vaak ontbreekt en ontlast de functionaliteit van firewalls die expliciet voor dit doel zouden moeten worden ingezet.
* Omleiding naar ‘Stateful Firewalls’: Arista MSS kan naadloos integreren met firewalls en cloud proxy’s van partners zoals Palo Alto Networks en Zscaler voor statefull network handhaving, vooral voor noord-zuid- en interzoneverkeer. MSS zorgt er dus voor dat het juiste verkeer naar deze kritieke beveiligingscontroles wordt gestuurd, waardoor ze zich kunnen concentreren op de handhaving van L4-L7, terwijl onnodig uitpluizen van het andere verkeer wordt vermeden.
* CloudVision voor microperimeterbeheer: Arista CloudVision mogelijk gemaakt door NetDL, biedt diep realtime inzicht in netwerkpakketten, flows en endpoint-identiteiten. Dit maakt een effectieve oost-west laterale segmentatie mogelijk. Bovendien verlichten MSS-dashboards binnen CloudVision de inspanningen van operators om de microperimeters te beheren. MSS breidt de Ask AVA-service (Autonomous Virtual Assist) van Arista uit om een chatachtige interface te bieden waarmee operators door de dashboarddata kunnen navigeren en afwijkingen van de policies kunnen opvragen en filteren.
Zero trust ecosysteem
Arista MSS is tevens naadloos te integreren met de bredere Arista Zero Trust Networking-oplossing, waaronder Arista CloudVision, CV AGNI en Arista NDR. Het kan bovendien worden geïntegreerd met veelgebruikte firewalls zoals van Palo Alto Networks, oplossingen voor IT-servicemanagement (ITSM) zoals ServiceNow en virtualisatieplatforms zoals VMware.
Meer lezen
