NSX: het veilige antwoord voor gemeenten

Ronald de Jong

Gemiddeld één datalek per dag bij gemeenten.

Volgens de site van binnenlandsbestuur is er door gemeenten, in de eerste maanden van afgelopen jaar, gemiddeld één datalek per dag gemeld. Een behoorlijk hoog aantal, zeker als je bedenkt dat gemeenten een informatieveiligheidsbeleid voeren, gebaseerd op de 'Baseline Informatiebeveiliging Nederlandse Gemeenten' (BIG) dat onderdeel uitmaakt van de visie digitale overheid 2017. In de BIG staan verschillende maatregelen beschreven ter voorkoming van datalekken. Maar zelfs dan blijkt bescherming van data en voorkomen van datalekken, nog een lastige klus.

Een andere ontwikkeling die voor gemeenten flinke gevolgen heeft, is de activering van de “General Data Protection Regulation” (GDPR) of “Algemene Verordering Gegevensbescherming” (AVG). Deze Europese wetgeving zal op 25 mei 2018 actief worden en stelt strenge eisen aan de beveiliging van persoonsgegevens en daarmee aan de IT Infrastructuur. Voor de Functionaris Gegevensbescherming of CISO binnen elke organisatie een topprioriteit

Doordat gemeentelijke computersystemen veel moeten communiceren met elkaar en met die van andere instanties en ketenpartners, is het beveiligen van zowel de systemen zelf áls de datastromen binnen het netwerk een essentiële stap in de beveiligingstrategie.

Gemeentelijke samenwerkingen

Gemeenten werken veel samen met andere gemeenten, instanties en ketenpartners. In veel gevallen leidt deze samenwerking tot een formele oprichting van een Shared Service Centra (SSC) en daarmee de dienstverlening aan meerdere gemeenten of gemeentelijke diensten vanuit hetzelfde datacenter mogelijk maakt. Binnen deze SSC is beveiliging van datastromen essentieel om te voorkomen dat data van de ene organisatie bereikbaar is voor andere deelnemers en ketenpartners.

Netwerk Security

Moderne netwerken bestaan uit segmenten zoals een extern segment (de buitenwereld), aantal Demilitarized Zones (DMZ) en vaak een beperkt aantal interne netwerken. Het verkeer tussen deze segmenten wordt vaak alleen gecontroleerd door fysieke of virtuele firewalls.

Veelal wordt hiermee verkeer onderling gescheiden, maar is er binnen de segmenten zelf weinig tot geen controle. Eenmaal binnen, heeft men toegang tot alles wat zich in datzelfde segment bevindt. Hiervan maken kwaadwillende dan ook graag gebruik; zij richten zich namelijk op een veilig bevonden deel van het netwerk en gaan vanaf dat deel de kwaadwillende activiteiten verder optuigen.

Dé oplossing voor deze uitdaging is microsegmentatie op basis van VMware NSX. Elke virtuele machine bevindt zich in een eigen af te schermen deel van het netwerk, zelfs als deze logisch en fysiek naast andere virtuele machines opereert. Verkeer tussen deze microsegmenten vindt plaats volgens vastgestelde policies. Alleen verkeer dat vooraf is toegestaan tussen de virtuele machines, behorende bij een specifiek bedrijfsproces, is toelaatbaar.

De gebruikte policies kunt u dynamisch en pragmatisch aanpassen. Zo kunt u bijvoorbeeld een virtuele machine waarop gevoelige data of een virus wordt gedetecteerd, automatisch isoleren van de rest van het netwerk. De schade aan de andere systemen blijft hierdoor beperkt, bedrijfsprocessen blijven zoveel mogelijk in takt en u voorkomt dat data van andere diensten wordt weggesluisd.

Microsegmentatie betekent dus niet alleen dat de kans op een inbraak aanzienlijk afneemt, maar bovendien dat een inbraak beperkt blijft tot dat ene microsegment. De veiligheid van het algehele netwerk neemt significant toe!

Integratie met Palo Alto (optie)

VMware NSX biedt (afhankelijk van de gekozen licentievorm) 'out of the box' standaard firewallfunctionaliteit tot laag 4 van het OSI-model (Open Systems Interconnection). Dat wil zeggen dat u verkeersstromen kunt controleren op basis van IP-adressen en gebruikte protocollen.

Wanneer dat voor uw organisatie niet genoeg is, kunt u gebruikmaken van de 'Palo Alto Networks Perpetual Bundle for VMware NSX'. Een virtuele firewall die ook de hogere lagen van het OSI-model beveiligt. Met de integratie tussen NSX en Palo Alto kunt u automatisch een Firewall VM uitrollen op elke vSphere server waar deze nodig is, om het verkeer van virtuele machines te controleren. Met behulp van policies, kunt u verkeer tussen de virtuele machines, inclusief verkeer van en naar de fysieke wereld, controleren en eventueel blokkeren, als er ongewenst verkeer wordt gedetecteerd. Dit gebeurt vervolgens net zo dynamisch als het binnen de NSX geïntegreerde firewall plaatsvindt. Dat is mogelijk omdat NSX de Palo Alto Firewall VM’s informeert over doorgevoerde wijzigingen.

Het toevoegen van een nieuwe virtuele machine betekent dan ook dat deze meteen beschermd is, op dezelfde manier als de bestaande virtuele machines beschermd zijn. De complexiteit wordt hiermee teruggebracht en levert een gunstig effect op de veelal toch al hoge beheerlast voor beveiliging.

PQR adviseert u graag over een Software Defined Networking strategie

De combinatie van VMware NSX en Palo Alto Next Generation Firewall is hét platform waarmee u de veiligheid van gemeentelijk data verhoogt. VMware NSX kunt u inzetten zonder dat daarvoor grote aanpassingen nodig zijn aan de bestaande netwerkinfrastructuur. NSX legt een virtuele laag over de bestaande netwerkinfrastructuur, vergelijkbaar met de manier waarop vSphere dat met fysieke servers doet.

De kracht van VMware NSX wordt nog eens versterkt in combinatie met de virtuele Next Generation Firewall oplossingen van Palo Alto Networks.

PQR helpt u graag bij het ontwikkelen van een visie voor beveiliging. Wij ondersteunen u bij het implementeren van VMware NSX en kunnen desgewenst een deel van de beheerwerkzaamheden van u overnemen, bijvoorbeeld door een jaarlijkse health check te doen. Heeft u liever vooraf meer inzicht? PQR maakt voor u de verschillende datastromen die in uw netwerk voorkomen, eenvoudig inzichtelijk door het uitvoeren van een NSX Network & Security Scan.

Indien u meer informatie wilt over microsegmentatie met VMware NSX of de mogelijkheden van een vrijblijvende NSX Security & Network Scan, neem dan vooral contact met mij op!

Ronald de Jong
Senior consultant SDDC

P.S. Wilt u graag zien hoe deze oplossing in de praktijk functioneert? Dan tonen we u dat graag in ons PQR Experience Center!

>> meer blogs

Reacties

Reactie toevoegen

Ervaar SDDC in het PQR Experience Center!
Vanaf nu is het mogelijk om te kijken naar de functionele infrastructuur áchter de werkplek. PQR presenteert dan ook met enige trots de Software Defined Data Center oplossingen (SDDC) van VMware in het PQR Experience Center (PEC).
27/01/2017
VMware NSX
Op 3 mei jl. heeft VMware een nieuw licentiemodel met betrekking tot VMware NSX geannonceerd. Een belangrijke stap in het dichterbij brengen van microsegmentatie naar een groot deel van organisaties in Nederland.
10/05/2016
Security & Network Assessment
Controle over de fysieke en virtuele netwerkinfrastructuur en een verbeterde beveiliging.