Microsegmentatie: de digitale tegenhanger van social distancing
We zijn inmiddels allemaal noodgedwongen bekend geraakt met de term social distancing. We moeten een veilige afstand van anderen bewaren om de risico’s voor elkaars gezondheid tot een minimum te beperken. En het lijkt nu mogelijk om parallellen te trekken tussen epidemiologie en informatiebeveiliging. Het concept ‘digital distancing’ als aanvullend beveiligingsmechanisme is een duidelijke tegenhanger van het bewaren van een veilige afstand tussen mensen.
Microsegmentatie vertegenwoordigt een steeds populairdere benadering van digital distancing. De meeste computers hoeven slechts met een uiterst beperkte deelverzameling van andere computers te communiceren. Alle andere systemen moeten op afstand worden gehouden. Dat is waar microsegmentatie om de hoek komt kijken.
Whitelisting van het netwerkverkeer
Microsegmentatie omvat in feite het gebruik van een whitelist voor het netwerkverkeer. Dat betekent dat systemen binnen het netwerk alleen met andere systemen kunnen communiceren als dat strikt noodzakelijk is, en alleen op de manier waarop ze dat horen te doen. Microsegmentatie biedt zo grip op het ingaande en uitgaande verkeer van elke netwerkverbinding en draagt bij aan verbeterde beveiliging binnen datacenters. Het uiteindelijke doel van microsegmentatie is de realisatie van het zero trust-principe.
Als je de communicatie van elk systeem met andere systemen binnen het netwerk beperkt tot het strikt noodzakelijke, wordt de kans op malware-besmettingen een stuk kleiner. Je kunt de risico’s verder terugdringen door netwerksegmenten selectief in quarantaine te zetten. We hebben het dan over een complete lockdown van besmette segmenten die de kans op verdere verspreiding voorkomt.
Dit vertegenwoordigt een complete breuk met het ‘eggshell computing’-model. Daarbij concentreren alle beveiligingsmechanismen zich bij de netwerkrand (de eierschaal), terwijl alles daarachter wijd openstaat en in feite onbeschermd is (het zachte gedeelte binnen het ei). Eggshell computing is ineffectief. Cybercriminelen hoeven maar één systeem te besmetten om het als springplank naar de rest van het netwerk te gebruiken. Dat doen ze al jarenlang. Het is daarom van cruciaal belang dat er binnen datacenters naast de meer traditionele beveiligingsmechanismen voor het noord-zuidverkeer ook sprake is van bescherming van het oost-westverkeer.
Kun je systemen ook te veel isoleren?
Bij meer geavanceerde implementaties van microsegmentatie gaat men verder dan wat in feite niet meer is dan een extra firewall die door een ander team wordt beheerd, aangevuld met netwerk-overlays. Een combinatie van overlays en access control lists (ACL’s) maakt het mogelijk om al het ingaande en uitgaande verkeer van een bepaald systeem in te perken. In dat geval kunnen alleen systemen met toestemming om dit verkeer te ontvangen het verkeer ook daadwerkelijk zien. Andere systemen kunnen dat niet, laat staan dat ze op dit verkeer kunnen reageren.
Deze systemen moeten minimaal met een ander systeem binnen het netwerk communiceren om regelmatig beveiligingsupdates te ontvangen. Dit kan voor de nodige problemen zorgen, zeker vanuit het oogpunt van de regelgeving. Want hoeveel richtlijnen vragen niet om het isoleren van allerlei systemen? En hoe kun je een systeem isoleren dat met andere systemen binnen verschillende netwerksegmenten moet communiceren?
Een slim ingericht systeem voor microsegmentatie maakt het mogelijk om bepaalde microsegmenten te omringen met virtuele firewalls, zodat al het inkomende en uitgaande verkeer via die firewalls verloopt. Dit maakt het mogelijk om systemen zoveel mogelijk te isoleren. De firewall draagt daarbij zorg voor de routering buiten het segment.
Het door een firewall laten afhandelen van het verkeer dat segmenten binnenkomt en verlaat biedt een aanvullend, en steeds noodzakelijker niveau van bescherming. Dit is echter lastig te realiseren met alleen ACL’s en netwerkoverlays. Het is echter de combinatie van de twee benaderingen (de eierschaalrand plus de zorgvuldig beheerde ACL’s) die maximale bescherming voor workloads biedt.
Daarmee ontstaat een gelaagde beveiligingsaanpak die workloads veilig houdt voor bedreigingen die afkomstig zijn van buiten het datacenter (beveiligingsmechanismen aan de rand van het datacenternetwerk), van binnen het datacenter, maar van buiten het netwerksegment dat de workload behuist (beveiligingsmechanismen aan de rand van het segment) en van binnen het netwerksegment zelf (ACL’s). Als de beveiligingsmechanismen te kritisch zijn afgesteld, wordt het door al deze verschillende beveiligingslagen echter moeilijk om na te gaan welke laag ervoor zorgt dat een applicatie niet kan functioneren. Dit is echter een aanzienlijke verbetering ten opzichte van de ‘harde schaal met een zachte binnenkant’-benadering van traditionele eggshell computing, die louter gebruikmaakt van beveiligingsmechanismen aan de rand van het datacenter.
Flexibiliteit
De combinatie van ACL’s met netwerkoverlays maakt het mogelijk om workloads op flexibele wijze in het netwerk onder te brengen. Dankzij de netwerkoverlays kunnen workloads op elk gewenst punt binnen het netwerk worden gehost, zolang ze maar bereikbaar zijn. Als alle switchpoorten in staat zijn om een workload te accepteren als deelnemer binnen het overlaynetwerk, kan die workload fysiek worden vertegenwoordigd op alle punten waarnaar het netwerk zich uitstrekt. Dit maakt het eenvoudiger om workloads toe te voegen waar en wanneer dat maar nodig is, zonder noemenswaardige planning.
In de praktijk houdt het gebruik van microsegmentatie vaak verband met de populariteit van gedistribueerde applicaties. Soms zet de vraag naar deze applicaties organisaties aan tot het toepassen van microsegmentatie. In andere gevallen opent microsegmentatie juist de deur naar het gebruik van gedistribueerde applicaties, iets wat vaak geen haalbare kaart was vanwege de beveiligingsrisico’s die ermee gepaard gaan.
Gedistribueerde applicaties vertonen net als alle andere applicaties een verschillende mate van veerkracht bij storingen. Een grootschalig gebruik van gedistribueerde applicaties kan de impact van de storing van een switch exponentieel vergroten, omdat die switch mogelijk componenten van verschillende applicaties of services host. Vanuit die gedachte is actieve redundantie altijd een goed idee. En die noodzaak wordt nog dringender zodra organisaties serieus met microsegmentatie aan de slag gaan.
Een dergelijke flexibele positionering van workloads legt druk op het netwerkontwerp. Er is niet langer sprake van een strikt hiërarchisch netwerk dat voor noord-zuidinteractie is ontwikkeld. Bij microsegmentatie groeit het belang van oost-westverkeer en winnen mesh-achtige netwerken aan populariteit. De overstap van de ene naar de andere ontwerpfilosofie vraagt vaak om een overbruggingsperiode. Maar een mesh-achtig netwerkontwerp kan voor kostenbesparingen zorgen dankzij de mogelijkheid te bieden om op een meer organische wijze netwerkcapaciteit toe te voegen, zonder de noodzaak van core switches die vrijwel al het oost-westverkeer zelfstandig afhandelen.
Microsegmentatie is geen overbodige luxe
Een steeds belangrijker aandachtspunt bij het evalueren van de voordelen van microsegmentatie is de naleving van de wet- en regelgeving. Microsegmentatie is een waardevolle tool voor het waarborgen van compliance. Want meestal luidt de vuistregel: hoe veiliger en geïsoleerder een workload, hoe tevredener de toezichthouder. Vanuit functioneel opzicht vraagt microsegmentatie echter om een centraal beheerplatform.
Als er sprake is van een centraal beheerplatform voor de orchestration van de netwerkbeveiliging, houdt dat in dat alle beleidsregels voor de netwerkbeveiliging zich op een en dezelfde locatie bevinden. Dit biedt de mogelijkheid van snelle en eenvoudige rapportage, en dat maakt beveiligingsaudits er een stuk minder problematisch op. Eén rapport kan volstaan om de effectiviteit van het beveiligingsontwerp aan te tonen. Zeker in het geval van microsegmentatie, omdat de auditors kunnen beschikken over een accuraat overzicht van alle beperkingen die aan het netwerkverkeer zijn opgelegd. Dat geldt voor alles van individuele workloads tot de rand van het datacenter en van edge computing-workloads tot alle tussenliggende clouds.
Als je beschikt over een omvangrijk en wijdvertakt netwerk dat is gebaseerd op technologie die je in de loop van ettelijke decennia bij elkaar hebt gesprokkeld, is het begrijpelijk dat je nog niet aan microsegmentatie bent toegekomen. Maar met het oog op de informatiebeveiliging zou tegenwoordig niemand nog een nieuw netwerk moeten implementeren zonder gebruik te maken van microsegmentatie. Microsegmentatie is niet langer een exotisch nieuw technologisch fenomeen. Het moet worden gezien als onmisbare functionaliteit voor het waarborgen van een veerkrachtig netwerk en effectieve informatiebeveiliging.
Er komt geen einde aan het gevecht tussen beveiligingsprofessionals en cybercriminelen. Helaas worden die laatsten er met het jaar handiger in om zich een weg binnen netwerken te banen. Het minimaliseren het contact tussen systemen met digital distancing is dan ook een must voor organisaties die in staat willen zijn om malwarebesmettingen in te perken zodra het vroeg of laat tot een beveiligingsincident komt.
Trevor Pott is technical security lead bij Juniper Networks