Netwerken zijn vandaag erg complex. Door de opkomst van wifi, bring your own device (BYOD) en recenter het internet of things (IoT), is het aantal mogelijke toegangspunten explosief toegenomen. “Het netwerk is door de digitale transformatie een elastisch gegeven geworden”, zegt Patrick Commers, Business Unit Manager Public bij Fortinet. “Dat vraagt ook om een security-transformatie.”
We spreken met Commers over wat Fortinet ‘intent-based segmentation’ noemt. Dat is een vorm van netwerksegmentatie, die deel uitmaakt van de nieuwste next-generation firewalls van de securityspecialist.
Intent-based segmentation is een “intelligente manier van segmenteren, uitgaande van de business-intent”. Wat is de logica waarmee bepaalde assets moeten worden gesegmenteerd? Het maakt daarbij niet uit waar in het netwerk die assets zich bevinden, of dat nu on-premises is of in de cloud. Met behulp van een dynamische en granulaire toegangscontrole wordt vervolgens de betrouwbaarheid van aangesloten apparaten automatisch gemonitord en het securitybeleid overeenkomstig aangepast.
Dynamisch en granulair zijn daarbij de sleutelbegrippen, meent Commers. “One-size-fits-all is vanuit security-oogpunt het slechtste wat je kan hebben. Granulariteit is key, anders doe je niet aan security.”
“Granulariteit is key, anders doe je niet aan security.”
Vroeger was de grens van het netwerk duidelijk; daar waar het Local Area Network (LAN) overgaat op het Wide Area Network (WAN), ofwel het internet. De LAN werd als betrouwbaar beschouwd. Toegang vereiste immers fysieke toegang tot een ethernetpoort binnen de bedrijfsmuren. Het volstond om de voordeur te beschermen. Zowel fysiek, als digitaal met een (poortgebaseerde) firewall op het demarcatiepunt tussen LAN en WAN.
Kamers op slot
“De LAN was vroeger plat in één segment, iedereen kon aan eender welke informatie”, vertelt Commers. “Met de opkomst van malware die lateraal door het netwerk kan bewegen, begon men naar vLAN’s en segmentatie te kijken.” Daarbij wordt het netwerk als het ware in kamers opgesplist, met elk hun eigen slot op de deur. De netwerkbeheerder wijst sleutels voor de verschillende kamers toe aan specifieke gebruikers of apparaten. Wie geen sleutel heeft, komt er niet in.
Die aanpak kijkt in veel gevallen nog altijd alleen maar naar de buitenkant van het netwerk. Een gebruiker of apparaat met de juiste sleutel, doet geen alarmbelletjes afgaan. Een hacker die de credentials van één gebruiker in handen heeft, kan door het netwerk proberen springen om zich meer privileges toe te eigenen. Een ontevreden medewerker heeft vrij spel om binnen zijn toegangsrechten gevoelige bedrijfsinformatie te ontvreemden, zonder dat iemand het opvalt.
“Het statische gegeven van klassieke netwerksegmentatie schiet tekort. Er is meer granulariteit nodig”, legt Commers uit. Bedreigingen zijn complexer geworden en het aanvalsoppervlak is enorm uitgebreid.
De LAN moet de facto als onbetrouwbaar worden beschouwd.
Granulaire segmentatie
Daarom kijkt Fortinet naar segmentatie op basis van intentie. Assets worden verdeeld in segmenten volgens de bedrijfslogica. Dat kan op het niveau van workload, poort, proces, applicatie of endpoint. “Een ziekenhuis kan voor medische apparatuur perfect een positief securitymodel gebruiken. Het weet welke applicaties op die apparatuur mogen draaien en abnormaal verkeer kan automatisch worden geblokkeerd”, illustreert Commers.
Een granulaire segmentatie van het netwerk is één, maar is nog altijd geen goede security als daar geen dynamische toegangscontrole tegenover staat. De LAN moet de facto als onbetrouwbaar worden beschouwd en het trust level van aangesloten apparaten moet voortdurend in vraag worden gesteld.
Fortinet doet dat bijvoorbeeld aan de hand van realtime monitoring van alle assets en hangt daar een threat score aan vast. “Maakt een gebruiker plots veel connecties naar phishingsites of heeft hij regelmatig malware op z’n pc, dan draagt dat bij aan de score en kan zijn toegang automatisch worden geblokkeerd”, geeft Commers als voorbeeld.
Geïntegreerde aanpak
Om trust levels voortdurend te kunnen opvolgen is een geïntegreerde security-aanpak nodig. “Point solutions volstaan niet langer”, merkt Commers terecht op. “Alles staat of valt met een geïntegreerd securityverhaal.” De verschillende lagen in je security moeten met elkaar kunnen praten en informatie uitwisselen, zodat je volledige visibiliteit krijgt in de bedreigingen op je netwerk.
“Als je die security-checks niet hebt om het trust level te bepalen, dan mag je segmentatie nog zo goed zijn, maar zal het niets uithalen. De manier waarop je security doet is onlosmakelijk verbonden met je benadering van het netwerk”, besluit de security-expert.