Vijf vragen die leiden tot de juiste cloud beveiliging

  1. 26 jan 2017
  2. 0 reacties

De afgelopen tien jaar hebben bedrijven in hoog tempo verschillende cloud toepassingen in het bedrijfsnetwerk geïntegreerd, en deze trend lijkt nu in een stroomversnelling te raken. Private cloud-infrastructuren, virtualisatie en software defined networking (SDN) zorgen voor een transformatie binnen datacenters op locatie. Deze datacenters hosten het leeuwendeel van alle zakelijke server-workloads. Daarnaast omarmen steeds meer bedrijven de publieke cloud. In de meeste gevallen verbinden ze die met omgevingen op locatie om een hybride cloud-omgeving te creëren. Maar ondanks alle voordelen brengt deze versnelde transformatie van de infrastructuur ook belangrijke zorgen rond de beveiliging met zich mee. De vraag is hoe eindgebruikers en gevoelige informatie moeten worden beschermd tegen steeds nieuwe bedreigingen.

vincent Nu het moderne datacenter zich ontwikkelt van een statische interne omgeving tot een mengeling van private, publieke en hybride clouds, moeten organisaties hun traditionele firewalls en beveiligingsappliances (ingezet voor noord-zuidverkeer aan de rand van het netwerk) aanvullen met bescherming voor het oost-westverkeer dat zich zijdelings door interne netwerken en de cloud verplaatst.

Om krachtige bescherming te bieden binnen private, publieke en hybride clouds te bieden, zullen organisaties de beveiliging moeten opvoeren en beveiligingsoplossingen zelfs opnieuw toewijzen om deze dynamischer, sterker vertakte en snel veranderende omgevingen bij te kunnen benen. Hieronder volgt een overzicht van specifieke aandachtsgebieden waarmee rekening moet worden gehouden.

Schaalbaarheid

Cloud computing biedt ondersteuning voor de snelle ontwikkeling en aanlevering van uiterst schaalbare applicaties. De beveiliging moet al even flexibel en veerkrachtig zijn om met de cloud-infrastructuur mee te kunnen groeien en transparante bescherming te bieden zonder bedrijfsprocessen te vertragen.

Moderne cloud-omgevingen vragen om ultrasnelle fysieke firewalls die uiterst schaalbare beveiliging bieden aan de rand van de private cloud. Ze vragen daarnaast om virtuele firewalls die bescherming bieden voor het noord-zuidverkeer in publieke clouds. Verder zijn er virtuele firewalls nodig die bescherming bieden voor het oost-westverkeer, ter ondersteuning van de uitwisseling van data en transacties tussen apparaten in de cloud. Deze krachtig presterende firewalls en appliances voor netwerkbeveiliging moeten verticaal schaalbaar zijn om te kunnen voldoen aan de volume- en prestatievereisten, en horizontaal schaalbaar voor een naadloze bewaking en beveiliging van IoT- en endpoint-data binnen het vertakte netwerk/datacenter en in de cloud.

Segmentatie

Bedrijven hebben de efficiëntie van hun ICT-omgeving verbeterd door van pools van ICT-bronnen (rekenkracht, opslagcapaciteit, netwerkbronnen enzovoort) te creëren met behulp van technologieën als virtualisatie en software defined networking (SDN). Dit heeft geresulteerd in een steeds hechtere integratie van cloud-omgevingen, tot een punt waarop het mogelijk is om complete datacenters te consolideren. Als een hacker of geavanceerde malware erin slaagt om de beveiliging aan de rand van de cloud te doordringen door misbruik te maken van één kwetsbare applicatie, kan er binnen een plat en open intern netwerk maar weinig worden gedaan om bedrijfskritische activa te beschermen. Om de grote kans op schade en verlies te minimaliseren moeten organisaties hun business units en applicaties isoleren. Ze moeten hun netwerken op intelligente wijze segmenteren (opdelen) in functionele beveiligingszones om grip te krijgen op het oost-westverkeer.

Integrale segmentatie maakt het mogelijk om een diepgaand inzicht te krijgen in het oost-westverkeer binnen het gedistribueerde netwerk. Dit maakt het eenvoudiger om de verspreiding van malware tegen te gaan en geïnfecteerde apparaten te detecteren en in quarantaine te zetten. Een effectieve strategie voor integrale segmentatie vraagt om de inzet van interne firewalls voor netwerksegmenten in datacenters, campusomgevingen en filialen en veilige microsegmentatie binnen SDN- en cloud-omgevingen.

Een bewuste beveiligingsinfrastructuur

De onderliggende infrastructuur zou naast schaalbaarheid en segmentatie ook moeten voorzien in automatische detectie van dynamische wijzigingen binnen de cloud-omgeving, zodat naadloze bescherming kan worden geboden. Het is niet voldoende om kwaadaardig verkeer te detecteren of malware te blokkeren met behulp van discrete beveiligingsapparaten. De beveiliging van private en publieke clouds zou moeten worden geïntegreerd met een SIEM en andere tools voor het uitvoeren van beveiligingsanalyses. Dit maakt het mogelijk om gegevens te verzamelen en met elkaar in verband te brengen en automatisch wijzigingen van de beveiligingsregels en -mechanismen door te voeren in reactie op de detectie van incidenten. De afzonderlijke beveiligingscomponenten moeten daarnaast samenwerken als een geïntegreerd en gesynchroniseerd systeem om te zorgen voor een optimaal overzicht en grip op de omgeving.

Uitbreidbaarheid

Beveiligingsoplossingen moeten daarnaast zijn gebaseerd op een uitbreidbaar platform met programmeerbare API’s (zoals bijvoorbeeld REST en JSON) en andere interfaces voor dynamische integratie met alle hypervisors, SDN-controllers, consoles voor cloud-beheer, orchestration-tools en softwaregedefinieerde datacenters en clouds. Dit zal bijdragen aan beveiliging die in staat is om zich automatisch aan te passen aan de voortdurende veranderingen van de netwerkarchitectuur en het bedreigingslandschap.

Kiezen voor de juiste oplossing voor cloud-beveiliging

Bij het evalueren van beveiligingsoplossingen zou u zichzelf de volgende vragen moeten stellen:

  1. Is de oplossing schaalbaar? Een uitgebreide beveiligingsstrategie moet flexibiliteit bieden in zowel de diepte (prestatievermogen en diepgaande inspectie) als de breedte (integraal).
  2. Is de oplossing bewust? U moet niet alleen het inkomende en uitgaande netwerkverkeer in kaart brengen, maar ook het dataverkeer binnen de netwerkrand en wie daar toegang toe heeft.
  3. Is de oplossing werkelijk veilig? De uiteenlopende tools die uw netwerk beschermen moeten samenwerken als een geïntegreerd systeem om integraal overzicht en grip te bieden op de hele omgeving.
  4. Is de oplossing praktisch inzetbaar? U hebt een oplossing nodig die bedreigingsinformatie binnen het hele netwerk beschikbaar stelt en centrale orchestration-functionaliteit biedt die de beveiliging in staat stelt zich dynamisch aan te passen zodra er nieuwe bedreigingen worden ontdekt. Dit maakt het mogelijk om gecoördineerde tegenmaatregelen te treffen binnen het hele netwerk met al zijn vertakkingen.
  5. Hoe open is de oplossing? Helder gedefinieerde, open API’s stellen technologiepartners in staat om hun oplossingen te integreren met de beveiligingsstructuur. Op deze manier kunnen de bestaande investeringen in beveiligingstechnologie optimaal worden benut en kan de beveiliging zich dynamisch aanpassen aan wijzigingen.

Andere specifieke functies die de beveiligingsoplossing zou moeten bieden, zijn:

Software defined security (SDS): Ga op zoek naar een geïntegreerd beveiligingsplatform op basis van één besturingssysteem dat voorziet in automatisering en orchestration van de fysieke, gevirtualiseerde en cloud-beveiliging.

Integratie: De oplossing zou ondersteuning moeten bieden voor integratie met VMware vSphere- en NSX-omgevingen en publieke cloud-omgevingen zoals AWS en Azure. Op deze manier kunt u profiteren van demand provisioning, pay as you go-tariefmodellen, flexibele schaalbaarheid en geïntegreerde analysemogelijkheden die bijdragen aan verbeterde beveiliging en meer overzicht.

Centraal overzicht en beheer: Uw beveiligingsoplossing zou centraal beheer moeten bieden in combinatie met een geconsolideerde weergave van beleidsregels en events, of het nu gaat om een fysieke, gevirtualiseerde of cloud-infrastructuur.

Conclusie

Voortdurende veranderingen binnen het bedrijfsnetwerk en digitale transformatie vertegenwoordigen momenteel de grootste uitdagingen voor de netwerkbeveiliging. Tegelijkertijd draagt de snelle opkomst van private, publieke en hybride clouds bij aan de verdere ontwikkeling van cloud-beveiliging.

Bedrijven moeten hun statische traditionele beveiligingsmechanismen inruilen voor een nieuwe generatie van flexibele en veerkrachtige beveiligingsoplossingen die optimale schaalbaarheid bieden en voor segmentatie zorgen binnen en tussen cloud-omgevingen. Daarmee kunnen ze profiteren van de voordelen van een beveiligingsinfrastructuur die zichzelf voortdurend ontwikkelt en in staat is om te anticiperen op bekende en nieuwe bedreigingen.

Vincent Zeebregts, Fortinet

Dossiers