Van netwerkbeveiliging kan geen sprake zijn als het netwerk en beveiliging niet samenwerken. HPE Aruba predikt om een geïntegreerde aanpak voor netwerkbeveiliging te omarmen.
Er heerst een gezellige drukte op de beursstand van HPE tijdens MWC 2024. Het is drummen om een plekje bij één van de schermen te bemachtigen en de spreker van dienst probeert met het vocale enthousiasme van een doorwinterde marktkramer nog meer mensen naar zijn podium te lokken. Via een zijgangetje worden we naar de perskamers van HPE geleid, waar David Hughes, Chief Product Officer bij HPE Aruba, ons hartelijk verwelkomt.
We confronteren Hughes met een uitspraak die hij enkele maanden geleden via LinkedIn deelde: ‘De grootste bedreiging voor netwerkbeveiliging is niet malware of een andere externe bedreiging, maar netwerk en beveiliging als aparte silo’s behandelen’. Hughes verklaart zijn gedachtegang achter die uitspraak: “Veel bedrijven hebben wel een netwerk- en een beveiligingsteam, maar die werken niet samen met elkaar. Dit laat veel ruimte voor schadelijke actoren om tussen te glippen.”
“Deze geïsoleerde werkwijze leidt tot spanningen, omdat het beveiligingsteam bijvoorbeeld dingen blokkeert op het netwerk, wat een negatieve invloed op de prestaties kan hebben. Anderzijds is het de taak van beveiliging om duidelijke grenzen te stellen voor wat op een netwerk kan en mag gebeuren. Het is niet dat netwerk- en beveiligingsteams niet met elkaar willen samenwerken, maar de doelstellingen staan soms haaks op elkaar”, voegt Hughes toe.
Sloop de firewall
In klassieke IT-opstellingen zijn netwerk en beveiliging uit elkaar gegroeid, zoals een koppel waarbij het liefdesvuur is uitgedoofd. Volgens Hughes is dat het gevolg van een jarenlange evolutie: “Het internet is gebouwd om alles met elkaar te kunnen verbinden. Gaandeweg realiseerden bedrijven dat ze sommige zaken toch liever binnenshuis houden. Hiervoor werd een muur van firewalls opgezet om een beveiligd fort rond het interne netwerk te plaatsen.”
Die manier van werken volstond misschien lange tijd, tot de wereld enkele jaren geleden drastisch veranderde. “Sinds de covidpandemie nemen meer mensen hun werklaptop ook mee naar huis en verbinden ze die met het thuisnetwerk. Onoplettende werknemers kunnen zo alsnog iets schadelijk binnenbrengen in de bedrijfsomgeving eens ze uit de gecontroleerde perimeter zijn.”
Een nieuwe aanpak dringt zich op. Hughes waagt zich in zijn voorspellingen voor 2024 dan ook opnieuw aan een gewaagde uitspraak en verkondigt de dood van de (standalone) firewall. “In veel hedendaagse IT-omgevingen wordt connectiviteit gestuurd vanuit de cloud. Hierdoor heb je niet meer al die fysieke firewalls nodig. Iedere firewall vereist eigen policies en dit valt stilaan niet meer te beheren als je er tientallen tot honderden in gebruik hebt. De functionaliteiten van een firewall zullen niet plots overbodig worden, maar worden nu via de cloud in het netwerk zelf ingebouwd in plaats van ervoor geplaatst.”
Een firewall is niet plots overbodig geworden, maar wordt nu in het netwerk ingebouwd in plaats van ervoor geplaatst.
David Hughes, Chief Product Officer HPE Aruba
Connectiviteit op voorschrift
Hughes gooit er nog een buzzwoord tegenaan: zero trust network access, kortweg ZTNA. Hij is ervan overtuigd dat ZTNA stilaan voorbij de buzzfase is. “Zero trust verandert de klassieke aanpak. Het netwerk dient niet meer om louter alles te verbinden, maar ook om de rol te bepalen van wat het probeert te verbinden. Dat zorgt ervoor dat een apparaat alleen kan verbinden met dat deel van het netwerk dat het nodig heeft om de rol te vervullen. Dit principe noemen we security-first networking, waarbij het netwerk de controles uitvoert die vroeger door een firewall gebeurden.”
De netwerkindustrie begint deze werkwijze hoe langer hoe meer te omarmen, stelt Hughes vast. “Netwerkbedrijven brengen tegenwoordig steeds meer beveiligingsoplossingen uit, en omgekeerd. Waar we ons bij HPE Aruba willen onderscheiden, is door netwerk en beveiliging op een geïntegreerde en schaalbare manier te implementeren doorheen alle lagen van het netwerk. Dit gaat verder dan specifieke implementaties zoals SSE of SASE. Via het NaaS-model (Network as a service) kunnen bedrijven die dit niet zelf kunnen doen op een kostenvriendelijke manier een endpoint met alle ondersteunende dienstverlening bij ons kopen.”
“Voor veel bedrijven blijft het beheren van on-site netwerkinfrastructuur een uitdaging”, gaat Hughes verder. “Bij ZTNA wordt enforcement geautomatiseerd vanuit de cloud. Policies zijn daardoor niet meer afhankelijk van waar ze draaien, wat het beheer vereenvoudigt. De wired en wireless werelden komen steeds meer samen. Dit biedt ook meer zichtbaarheid op wat er op je netwerk gebeurt, zodat netwerk- en beveiligingsteams samen naar de juiste data kunnen kijken.”
Groen licht of rood licht?
Naast beveiliging haalt Hughes ook het belang van de gebruikservaring aan. Dit aspect krijgt volgens hem nog te weinig aandacht. “We hebben in de industrie de gewoonte om de kwaliteit van het netwerk te toetsen aan de hand van uptime. Is alles online, dan is alles in orde. Maar uptime vertelt je maar een deel van het verhaal en zegt weinig over de interactie van de gebruiker met het netwerk. Het kan zijn dat in je beheerdashboard alle lichtjes op groen staat, terwijl gebruikers toch problemen ervaren om toegang te krijgen tot een bepaalde applicatie.”
We zijn op MWC en dus is artificiële intelligentie een onvermijdelijk gespreksonderwerp. AI heeft een betrouwbaar netwerk nodig, maar een netwerk kan ook veel aan AI hebben. Hughes beaamt: “Wij investeren al jaren in AI-capaciteiten om de prestaties van netwerken te monitoren en te verbeteren. Een techniek die we toepassen is fleet learning: telemetrie van meerdere gateways worden samengebracht in een data lake om met de hulp van AI anomalieën op te sporen. Op basis daarvan geeft de AI een aanbeveling aan de beheerder over hoe prestatieproblemen op het netwerk op te lossen, die zelf kiest of en wanneer hij die aanbeveling opvolgt.”
We moeten afstappen van de gewoonte om de kwaliteit van een netwerk te toetsen aan de hand van de uptime. Is alles online, betekent dat niet automatisch dat alles ook in orde is.
David Hughes, Chief Product Officer HPE Aruba
IT-beheerders bevrijd
Hughes praat met groot enthousiasme over de mogelijkheden van AI voor netwerkbeheer. “Er bestaan natuurlijk vele soorten AI. Het type waar we sinds 2023 spectaculaire vooruitgang in hebben gezien, is generatieve AI op basis van een natural language interface. Ik denk dat bijna ieder bedrijf dit vandaag al op één of andere manier gebruikt.”
“In het kader van netwerkbeheer kan een NLI een grote troef zijn om IT-beheerders te bevrijden”, gaat hij verder. “Hij kan nu gewoon in natuurlijke taal vragen stellen over een probleem en in een handomdraai heeft hij alle nodige informatie, zonder in datasheets te moeten gaan neuzen of bijkomend opzoekwerk te verrichten. Het is één van de mogelijkheden van hoe met AI iedere beheerder een ‘superbeheerder’ kan worden.”
Dit is een redactionele bijdrage in samenwerking met HPE Aruba. Kijk hier voor meer informatie over de netwerkoplossingen van het bedrijf.