In april 2015 vond één van ‘s werelds grootste roofovervallen plaats bij de Hatton Garden Safe Deposit Company in Londen. Criminelen kwamen het gebouw binnen via een liftschacht, boorden door een betonnen muur van 50 centimeter en hadden vervolgens toegang tot de kluis van het bedrijf. Daarbij is voor ongeveer honderd miljoen dollar aan juwelen gestolen.
Voor veel organisaties bestaat hun meest waardevolle bezit niet uit goud of diamanten, maar uit data. En die wordt niet in kluizen bewaard, maar in datacenters. Toch worden kluizen en datacenters in veel gevallen op dezelfde manier beveiligd. Organisaties richten zich met name op het beveiligen van de randen van het netwerk en minder op interne beveiliging. Als een hacker eenmaal door de externe beveiliging heen is, kan hij binnen het datacenter zijn gang gaan – op eenzelfde manier als de criminelen die vrijelijk hun gang konden gaan binnen de kluis van Hatton Garden. Tijdens recente inbreuken op datacenters hadden hackers soms maandenlang toegang tot applicaties en data, omdat het simpelweg niet zichtbaar was dat ze er waren en interne security-maatregelen ontbraken.
Security-uitdagingen in gevirtualiseerde omgevingen
Naarmate meer bedrijven overgaan van fysieke datacenters op gevirtualiseerde netwerken, wordt dit steeds relevanter. In deze nieuwe datacenteromgevingen worden alle elementen van de infrastructuur – netwerk, opslag, computing en security – gevirtualiseerd en ‘as a service’ geleverd. Deze fundamentele verandering zorgt ervoor dat traditionele security, die enkel de randen van het netwerk beveiligt, niet meer voldoende is.
De belangrijkste security-uitdagingen hierbij zijn:
– Veranderingen in verkeer. Vroeger was de meerderheid van al het verkeer ‘noord-zuid’-verkeer dat de randen van het datacenter kruiste. Tegenwoordig neemt het ‘oost-west’-verkeer, ook wel intra-datacenterverkeer genoemd, steeds meer toe. Een toenemend aantal applicaties maakt verbinding binnen het datacenter en deelt data om te kunnen functioneren. Zo kunnen hackers zich richten op één applicatie en deze gebruiken om het datacenter binnen te komen, zonder gedetecteerd te worden. Security voor alleen de randen van het netwerk is dan dus niet meer genoeg.
– Handmatige configuratie en wijzigingen in beleid. Het handmatig beheren van de security kost te veel tijd om deze nieuwe dynamische datacenters te onderhouden en werkt bovendien te langzaam. Daarnaast zijn handmatige processen onderhevig aan menselijke fouten, wat kwetsbaarheden in de hand werkt. Daarom is het automatiseren van security-beheer essentieel om de flexibiliteit van het datacenter te ondersteunen.
Tot voor kort zou geavanceerde threat prevention binnen het datacenter betekenen dat er een groot aantal afzonderlijke vlan’s beheerd moest worden en dat de bijbehorende netwerkdiagrammen en -configuraties handmatig geüpdate moesten worden. Dat is een onrealistische, moeilijke en kostbare onderneming voor de meeste organisaties.
Microsegmentatie: bewakers in de kluis
Maar wat nou als we het equivalent van een bewaker in de kluis konden zetten, zodat elk waardevol bezit beschermd kan worden, zelfs als een hacker de perimeter binnengedrongen is? Naarmate datacenters steeds meer software-defined worden, biedt microsegmentatie wellicht een uitkomst. Het groepeert resources binnen het datacenter en past dynamische beveiliging toe op communicatie tussen de verschillende onderdelen. Verkeer binnen het datacenter wordt via virtuele security gateways geleid, waar de data tot in detail onderzocht wordt met behulp van threat prevention-technieken. Als er dan een infectie wordt ontdekt, wordt deze data automatisch in quarantaine gezet en krijgt het niet de kans de gehele infrastructuur te besmetten.
Zodra een applicatie wordt toegevoegd aan het datacenter, moet het security-beleid zich daarop aanpassen. Met behulp van geïntegreerde cloud management tools leert de security in het software-defined datacenter over de rol van de applicatie, hoe deze schaalt en waar die zich bevindt. Op basis daarvan wordt het juiste security-beleid gekozen, waardoor applicaties binnen het datacenter veilig met elkaar kunnen communiceren.
Net zoals virtualisatie de ontwikkeling van schaalbare, flexibele, gemakkelijk te beheren datacenters heeft gestimuleerd, doet het dat ook bij de volgende generatie van security in het datacenter. Door microsegmentatie toe te passen in het datacenter via een geïntegreerd virtueel security-platform, kunnen geavanceerde security- en threat prevention-technieken gebruikt worden waar deze nodig zijn in een software-defined datacenter-omgeving. Door je infrastructuur zo in te delen en te beheren voorkom je de roof van je data, de kroonjuwelen van jouw onderneming.