Is microsegmentatie de nieuwe Haarlemmerolie?

Ronald de Jong

Hoe gaat u de strijd aan tegen kwaadwillenden?

Weet u nog die tijd dat virussen vooral werden gemaakt door scholieren en studenten? Toen de meeste hackers tijdens schooluren wel andere dingen te doen hadden, dan te proberen om ergens in te breken, omdat ze moesten opletten in de klas? In die tijd was de gevolgschade van een aanval vaak beperkt tot het opschonen of herinstalleren van een paar PC’s of het vernietigen van besmette diskettes.

Ik wil het zeker niet bagatelliseren, ook ik heb menig nacht doorgebracht achter een scherm om een bedrijf te helpen met het opruimen van de puinhoop die door de virusmakers was gecreëerd. In die tijd was de situatie vaak nog goed te overzien. Datalekken waren nog nauwelijks een probleem.

Die tijd is al een paar jaar voorbij. Tegenwoordig zijn de aanvallen niet meer gericht op het ‘plagen’ van bedrijven, maar gaat het om het verdienen van geld. Veel geld. We noemen het cybercriminaliteit en het valt te rangschikken onder georganiseerde misdaad. Meestal zijn de kosten die organisaties hebben om te herstellen van een aanval, nog vele malen hoger dan de opbrengsten voor de cybercriminelen.

Hoe gaat u de strijd aan met deze criminelen?

Beveiliging van uw zakelijke informatie is niet iets wat met een enkel apparaat of een enkel stuk software kan worden bereikt. Ik ken geen bedrijven die claimen dat hun product dé oplossing is voor alle security problemen. Dat is logisch, het is namelijk belangrijk om op meerdere vlakken beveiliging aan te brengen. Een zogenaamde gelaagde beveiliging.

Beveiliging van het netwerk

Eén van de onderdelen binnen het gelaagde (beveiligings)model, is het netwerk. De laag waarover alle (gevoelige) informatie wordt getransporteerd en het hart van uw IT-infrastructuur.

In traditionele netwerken wordt de beveiliging overgelaten aan één enkele firewall tussen het interne netwerk en de boze buitenwereld (het internet). Vaak worden er door deze firewall nog één of meerdere Demilitarized Zones (DMZ) beschikbaar gesteld, waar gecontroleerd toegang vanaf het internet mogelijk is, maar daar houdt de controle op verkeer meestal wel op.

Het netwerk gedraagt zich daarbij als een ei, een harde buitenlaag met een zacht binnenste. Wordt de buitenlaag doorbroken, dan ligt het binnenste (vaak letterlijk) op straat. En probeer er dan nog maar eens een omelet van te maken.

Dat is precies wat kwaadwillenden tegenwoordig doen. Ze vinden een manier om binnen te komen in uw interne netwerk en als ze eenmaal binnen zijn, dan kunnen ze hun gang gaan, zonder dat hen een strobreed in de weg wordt gelegd. En reken maar dat ze creatief zijn in het verkrijgen van toegang.

Segmenteren

Eén van de middelen om hier iets tegen te doen, is het verder segmenteren van het interne netwerk, zodat het dataverkeer gecontroleerd plaats kan vinden via een firewall. Hierbij doen zich echter een aantal praktische problemen voor. Er wordt nog steeds niet voorkomen dat, eenmaal binnenin een segment, een kwaadwillende weer zijn gang kan gaan.

Segmenteren in het interne netwerkDaarnaast is de hoeveelheid verkeer binnen een datacenter vaak veel groter dan het verkeer van en naar buiten, waardoor een interne firewall een zeer prijzige aanschaf wordt of er meerdere firewalls moeten worden ingezet.

Tenslotte wordt het bijhouden van de regels om dataverkeer mogelijk te maken een administratieve nachtmerrie. Elke verandering in het netwerk, zoals het toevoegen of verwijderen van een VM betekent het aanpassen, toevoegen of verwijderen van één of (vaak) meerdere regels.

De oplossing: microsegmentatie

Dé oplossing voor het probleem dat er binnenin een segment nog steeds vrij dataverkeer mogelijk is, heet microsegmentatie. Door op VM-niveau te segmenteren (elke VM vormt zijn eigen segment) en verkeer tussen deze microsegmenten via een firewall te laten plaatsvinden, wordt het mogelijk om het totale verkeer te controleren. Echter moet hierdoor nóg meer data door de interne firewall(s) worden gestuurd en daarmee wordt de investering hoger. Ook wordt het beheren van nog meer firewall regels vrijwel onmogelijk.

Gelukkig is nu ook daarvoor een oplossing beschikbaar, te weten VMware NSX.

VMware NSXVMware NSX biedt ons microsegmentatie zonder de hoge investering en de administratieve nachtmerrie. Wat virtualisatie ons gebracht heeft, is de mogelijkheid om bepaalde functies uit te voeren tússen de workload (VM) en de hardware. Door in deze (kernel) laag firewall functionaliteit in te zetten, kan verkeer van en naar een VM worden gecontroleerd nog voordat het daadwerkelijk op het fysieke netwerk terecht komt. Door de controle van datastromen op deze plek uit te voeren wordt microsegmentatie ineens wél mogelijk. Door de firewall functie in de kernel van de virtualisatie host te laten uitvoeren, wordt een enorme snelheidswinst geboekt en het wordt dan mogelijk om al het verkeer te controleren, zónder dat daarvoor een investering in een zeer krachtige firewall nodig is.

Metingen hebben aangetoond dat gecontroleerd dataverkeer per virtualisatie host, met 19,2 Gb/s kan worden verwerkt, terwijl zonder controle 20 Gb/s wordt gehaald. En dat pér virtualisatie host. Uitbreiding met één host verhoogt dus ook de firewall capaciteit met een kleine 20 Gb/s.

Integratie met Palo Alto

Integratie Palo Alto met VMware NSXVMware NSX biedt ‘out of the box’ firewall functionaliteit tot laag 4 van het OSI (Open Systems Interconnection) model. Dat wil zeggen dat verkeersstromen kunnen worden gecontroleerd op basis van ip-adressen en gebruikte protocollen.

Wanneer dat voor een organisatie niet genoeg is, kan gebruik gemaakt worden van “Palo Alto Networks VM-Series for NSX”. Een virtuele firewall die ook de hogere lagen van het OSI-model kan beveiligen. Dit heeft overigens wel enige consequenties voor de doorvoersnelheid, maar met 1 Gb/s per virtualisatie host is dit ruim voldoende voor vrijwel alle organisaties.

Integratie met de Cloud

De cloud heeft zijn intrede gedaan in de dagelijkse gang van zaken bij veel organisaties en biedt een hoge mate van flexibiliteit om de schaalbaarheid te verhogen en/of de interne omgeving te beschermen tegen calamiteiten. Het is tevens mogelijk om microsegmentatie te gebruiken in de cloud (bijvoorbeeld door gebruik te maken van vCloud Air). Door een nauwe integratie tussen de lokale (on premises) omgeving en de cloud, is het mogelijk dat de policies worden meegenomen als een workload wordt verplaatst naar of uit de cloud. Daarnaast heeft VMware aangekondigd dat dergelijke functionaliteit binnenkort ook te verwachten is in cloudomgevingen van (onder andere) AWS en Azure.

Conclusie

Microsegmentatie als de nieuwe Haarlemmerolie? Nou, dat gaat misschien wel heel erg ver, het is geen oplossing voor alles en het is ook niet de enige oplossing in de strijd tegen kwaadwillenden, maar het is wel een zeer goede oplossing om netwerken veiliger te maken.

Vrijblijvend advies

Wij helpen u graag bij het ontwikkelen van een visie op, of het implementeren van Microsegmentatie met VMware NSX, Palo Alto Networks Next Generation Firewalls en aanverwante producten en diensten.

Maak direct een vrijblijvende afspraak met PQR.

P.S. Op 31 mei a.s. organiseren PQR en VMware, gezamelijk met gastspreker SecureLink, het seminar 'Het Software Defined Datacenter, the next step'. Wilt u weten wat het Software Defined Datacenter, automation & orchestration en Software Defined Networking met elkaar te maken hebben? Schrijf u dan direct in!

Ronald de Jong
Senior Consultant PQR

>> meer blogs

Reacties

Reactie toevoegen

Zonder Software Defined geen toekomst
In deze heldere blog over software defined o.a. de feitelijke verschillen tussen een traditioneel datacenter en een SDDC. Waarom een SDDC wèl voldoet en op welke aspecten een traditioneel datacenter nu precies achterblijft.
25/04/2016
Revolutie in netwerkland
De kracht van VMware NSX wordt vergroot, indien deze wordt gecombineerd met de fysieke switches van HPE Networking en de virtuele Next Generation Firewall oplossingen van Palo Alto Networks. Een revolutie in netwerkland, die zijn weerga niet kent.
10/02/2016
Software Defined Networking
In deze ePaper wordt beschreven hoe netwerkvirtualisatie zorgt voor veiligheid, flexibiliteit en schaalbaarheid in hybride IT-omgevingen. Benieuwd hoe dit uw organisatie kan helpen?