De beveiligingsuitdagingen van hybride werk zijn complex, maar de oplossing mag dat niet zijn. Hoe verbind je telewerkers veilig met een variëteit aan oplossingen en protocollen, zonder werknemers of beheerders hoofdpijn te geven?
Applicaties, werknemers en toestellen zijn overal. In een hybride werkomgeving is er geen veilige perimeter meer. Ieder toestel en de bijhorende gebruiker moet op iedere locatie optimaal beveiligd zijn, anders ontstaan er lekken. Dat is eenvoudiger gezegd dan gedaan.
Groot aanvalsoppervlak
“Er zijn meer toegangspunten tot het bedrijfsnetwerk voor aanvallers dan ooit”, zegt Patrick Commers, Cybersecurity Evangelist bij Fortinet België. “Hackers kunnen binnendringen via hoofdsites, satellietkantoren, winkels, productie-omgevingen, clouddiensten en hybride werkers. Het bedrijfsnetwerk is elastisch en dynamischer dan ooit. De verschillende delen van het bedrijfsnetwerk zijn met elkaar verbonden en hebben een directe verbinding met het internet en cloudomgevingen. We spreken van een proliferatie van “edges”. Bijgevolg kan een organisatie niet meer zeggen dat bepaalde delen van het netwerk minder beveiligd mogen worden.” Alle digitale componenten van een bedrijf waren nog nooit zo verbonden met elkaar, en tegelijkertijd nog nooit zo gescheiden.
Met een firewall alleen op het hoofdkantoor zal je er niet komen, dat is intussen wel duidelijk. Wat moet je dan wel doen om de IT-omgeving veilig te houden in een wereld waarin de CEO kan inloggen op de bedrijfsserver vanuit een koffiebar in Hawaii?
Kies je tools
Commers wijst op verschillende technologieën, die met een wisselend niveau omarmt worden door bedrijven.
- VPN: Een virtueel privaat netwerk is de gekendste technologie voor telewerk. Na inloggen en een éénmalige verificatie krijgt een werknemer vrijwel ongeremde toegang tot het bedrijfsnetwerk. Dat is handig, maar niet helemaal veilig, want die toegang is ook beschikbaar voor een aanvaller die een laptop heeft gecompromitteerd.
- ZTNA: zero-trust beveiliging houdt rekening met de identiteit van de gebruiker, het beveiligingsniveau van een toestel (zoals de recentst geïnstalleerde updates) en beleidsregels gekoppeld aan een werknemer om toegang te verlenen tot één specifieke applicatie. Deze verschillende variabelen worden op een continue manier gecheckt en resulteert in een security score. Zodra deze score degradeert, wordt de verbinding met de applicatie verbroken. Per applicatie kunnen er andere vereisten gesteld worden.
- CASB: Een cloud access security broker legt regels en beleid op om ervoor te zorgen dat de juiste mensen met de juiste rechten met de juiste SaaS-applicaties verbinden.
- SWG: De secure web gateway werkt omgekeerd, en beschermt werknemers voor gevaren op het internet. Malafide websites worden bijvoorbeeld geblokkeerd.
Geen enkele technologie is het antwoord op alle uitdagingen van telewerk. ZTNA is erg veilig, maar kan je niet zomaar implementeren voor legacy-apps. Voor toegang tot dergelijke toepassingen is een VPN dan misschien toch aangewezen. De CASB heeft dan weer niets te maken met applicaties die niet in de cloud draaien. Dan moet de secure web gateway ook nog ergens zitten. Om de laptop van een telewerker te beveiligen, heb je een veelvoud aan tools nodig, die idealiter goed en efficiënt samenwerken.
Waarom niet alles?
Volgens Commers heeft Fortinet de oplossing met FortiSASE. “Dat beveiligingsframework brengt alles samen”, zegt hij. “SASE is de combinatie van een netwerkcomponent – SD WAN, WAN-optimalisatie, routing en content delivery en een cloud-delivered beveiligingsoplossing die Firewall as a service/Secure Web Gateway (FwaaS/SWG), Cloud Access Security Broker (CASB) en Zero Trust Network Access (ZTNA) samenbindt.”
Aan de achterzijde draait de infrastructuur op FortiOS. Dat is een enterprise-grade converged-besturingssysteem dat alle SASE-functies kan ondersteunen, inclusief firewall, SD-WAN, Secure Web Gateway, encryptie en decryptie, CASB, DLP en ZTNA, zowel in een toestel als vanuit de cloud.”
Zodra de werknemer buiten de corporate omgeving werkt (thuis, op de baan, op hotel…) en zich dus niet meer achter de corporate firewall bevindt, biedt het FortiSASE framework de gepaste oplossing voor 3 belangrijke use-cases. Commers: “Ten eerste, wanneer je surft naar het internet (Secure Internet Access), dan loopt je verbinding via de infrastructuur van Fortinet zelf in de cloud. Daar zit een secure web gateway en worden de corporate internet policies toegepast. Dient de werknemer SaaS-applicaties (Secure Saas Access) te consulteren zoals Microsoft 365 of Salesforce dan gebeurt dit op een beveiligde manier en krijgt de werkgever zichtbaarheid op wie, wat doet, op welke SaaS applicatie via de ingebouwde CASB-functionaliteiten. De telewerker passeert zo via beveiliging van enterprise-niveau. “
Wanneer een werknemer toepassingen wenst te gebruiken die zich on-site bevinden of in de eigen cloud omgeving (Secure Private Access), ook dan connecteert de client op onze SASE-omgeving in de cloud om op een beveiligde manier de interne resources te consulteren. Voor een optimale end user experience te garanderen kunnen de verschillende sites en de eigen cloudomgeving worden verbonden met het SASE-platform via onze SD-WAN-technologie die is geïntegreerd met de FortiGate Next Generation Firewall.
lees ook
Telewerk gaat nooit meer weg, maar weten bedrijven al raad met de beveiliging?
Het samenspel tussen alle factoren is volgens Commers een grote troef. Beheer gebeurt immers via één centraal portaal, waar beleidsregels worden uitgerold voor de hele beveiligingsinfrastructuur. Op kantoor of op café gelden dezelfde regels voor beveiliging en FortiOS zorgt ervoor dat die via de correcte technologie worden gehandhaafd. “Zo heb je geen spaghetti van verschillende oplossingen”, zegt Commers.
SASE met on-premises bescherming
Zowel het hoofdkantoor als satellietkantoren, maar ook de eigen cloudomgeving zijn in het scenario van Fortinet uitgerust met on prem firewalls. Die firewalls bieden niet alleen veiligheid, maar ondersteunen ook SASE-functionaliteit. Werknemers kunnen met infrastructuur on-premises verbinden, rechtstreeks via de firewall, ZTNA of via een SASE-pop van Fortinet indien dat de voorkeur geniet. “Maar dat moet niet”, benadrukt Commers. “De Fortigate verzorgt de beveiliging.” Omgekeerd zorgt de firewall op kantoor voor efficiënte bescherming en wordt verkeer niet naar een webfirewall in de cloud gerouteerd wanneer dat niet nodig is.
Hoe belangrijk zijn de POP’s?
Met FortiSASE kunnen organisaties volledige zichtbaarheid krijgen in hun networking- en beveiliging voor veilige internettoegang, veilige private toegang en veilige SaaS-toegang van overal. Om de beste gebruikservaring en hoge beschikbaarheid te voorzien, heeft Fortinet intussen honderd FortiSASE cloud-locaties wereldwijd.
Dit alles neemt niet weg dat Fortinet recentelijk heeft aangekondigd dat het een strategisch partnership heeft gesloten met Google Cloud om het aantal POP´s uit te breiden naar meer dan 100 om een optimale gebruikerservaring te blijven garanderen waarbij de nabijheid essentieel is voor een optimale beschikbaarheid, redundantie en performantie.
SASE is nog steeds een relatief jonge oplossing die blijft evolueren, maar het is meer dan een buzzwoord. De technologie biedt een meer gestroomlijnde en efficiënte manier om netwerktrafiek te beheren en te beveiligen, en al zeker in de context van hybride werk. Een goed uitgerolde oplossing beschermt connecties van en naar het internet, ook voor SaaS en private toepassingen.
Om ervoor te zorgen dat geavanceerde bedreigingen niet kunnen binnendringen in je netwerk, toestel of edge, moeten cloudgebaseerde beveiligingsoplossingen binnen de SASE-oplossing up tot date blijven. Zo bevatten ze de recentste ontwikkelingen en kunnen ze beschermen tegen de steeds verder evoluerende bedreigingen.
Dit artikel kwam tot stand in samenwerking met Fortinet.