Het is niet zinnig (meer) om beveiliging te zien als statische omheining van het bedrijf waarbij toegang wordt verleend aan bekende, gereguleerde apparaten. We moeten gebruiker-, device- en applicatiegericht gaan denken. Dat de bedrijfsomheining verschuift, heeft meerdere redenen. Onder meer de drang om applicaties te implementeren in de cloud, en de wens dat ze snel, beschikbaar en veilig zijn.
Daarnaast hebben gebruikers meer zeggenschap en invloed. Ze hebben meer keuzes gekregen: Keuze van het apparaat, het besturingssysteem en van de plek van toegang. En de gebruiker heeft toegang tot meer applicaties, die zowel in het eigen datacenter worden gehost als op heel andere plekken. Plekken waarvan de exacte locatie niet eens bekend is.
Het netwerk is niet langer privé. Applicaties bevinden zich niet langer uitsluitend in datacenters van bedrijven. Het gevaar wordt groter, omdat de applicaties zich nu buiten de veilige omheining bevinden. Het bedrijf heeft er minder greep op. Een enquête van RightScale in mei 2013 wijst uit dat 77% van alle organisaties met meer dan duizend werknemers kiezen voor hybride implementaties met meerdere clouds.
De applicatie verplaatst zich dus steeds meer naar de cloud. De meeste web applicaties zijn gebouwd op een Web 2.0-raamwerk en genereren dus HTTP- en HTTPS-verkeer. Dit laatste protocol is versleuteld, zodat de sessies vanuit de gebruiker naar de applicatie heel moeilijk te analyseren zijn voor netwerkapparaten.
Het bovenstaande zorgt allemaal voor meer complexiteit en een forse uitdaging voor de IT-afdeling als het gaat om beveiliging. Beveiliging is nodig, vanwege nieuwe complexe dreigingen, die bovendien in aantal toenemen. DDoS-aanvallen, diefstal van identiteit, aanvallen op de DNS omgeving en SQL-injectie. M.a.w. de bedreigingen vinden plaats op alle lagen van het OSI model en moeten dus ook op deze lagen afgevangen worden.
Meer context is nodig, of anders gezegd: meer inzicht in de gebruikers en de applicaties waarmee ze verbinding maken. Doorsnee gebruikers van nu hebben toegang tot het bedrijfsnetwerk wanneer ze zich binnen de bedrijfsomheining bevinden. Daarbuiten krijgen ze doorgaans VPN-toegang, en dat is bijna alsof ze op het bedrijfsnetwerk zitten. Maar mogelijk maken ze wel verbinding vanaf plekken of apparaten die niet veilig zijn.
Sleutels voor deze regulering zijn endpoint-inspectie, inzicht in geografische locatie, eenmalige wachtwoorden en dergelijke. Het tweede puzzelstukje betreft applicaties. Door de cloud kunnen bedrijven kiezen van waaruit hun applicaties worden uitgevoerd. Beleidsregels voor applicaties in het datacenter zijn misschien moeilijk uit te voeren op applicaties die worden aangereikt door een externe cloudprovider.
Ook dit laat duidelijk zien hoe organisaties in hun pogingen flexibel te zijn, problemen creëren in de bescherming, beschikbaarheid en toegang. Het is denkbaar dat ze zo uiteindelijk zelfs slechter af zijn. Applicaties in de cloud moeten beveiligd zijn en toegangsservices moeten eraan zijn gekoppeld, om te voldoen aan hedendaagse IT-normen voor de levering van applicaties.
Het perspectief op en de toepassing van beveiliging verschuiven. Daarom is het cruciaal om een beter inzicht te hebben in de gebruiker (met z’n device en zijn locatie) gekoppeld aan de mogelijkheid om beleidsregels uit te voeren op afzonderlijke applicaties in het datacenter, of de cloud – waar dan ook.
Jack Niesen is Pre Sales Consultant bij F5 Networks
