Beveiliging in virtuele omgevingen: watch your step

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

Vorige week vertelde ik over VMworld in Kopenhagen, waar de ‘Journey to the Cloud’ centraal stond. Dit is de nieuwe wijze waarop we deze eeuw onze IT-diensten zullen gaan consumeren. Gedreven door consumentenproducten en consumentenservices worden bedrijven gedwongen te volgen in deze ontwikkeling.

De consument kan alles elektronisch: informatie vinden, producten bestellen, diensten afnemen, communiceren op sociale netwerken. En dat alles hier en nu. Nu besteld is uiterlijk morgen in huis. De logistieke branche heeft zich al helemaal aangepast aan deze nieuwe wijze van dienstverlening. Daar steekt de interne IT-dienstverlening binnen bedrijven nog vaak slecht bij af. Hoewel daarvoor – niet ten onrechte – vaak het excuus wordt gegeven dat security en robuustheid nu eenmaal nodig zijn in een bedrijf en het daardoor allemaal wat langzamer en trager gaat, is het verschil met de consumentenmarkt wel erg groot geworden. Te groot eigenlijk. Onnodig groot.

Flexibel en dynamisch
Want met de huidige flexibele security-oplossingen voor virtuele omgevingen zijn flexibele en dynamische oplossingen ook binnen een bedrijfsomgeving mogelijk. Het werk moet en mag niet (meer) – zoals sommigen gekscherend zeggen – de plaats zijn waar je 8 uur per dag met oude apparatuur en trage dienstverlening moet werken. Nieuwe security-oplossingen zijn van complex naar simpel omgebouwd, van rigide naar adaptief en zijn geoptimaliseerd om snel auditing en compliance mogelijk te maken.

Security in een virtuele wereld is heel anders dan we vroeger in de fysieke IT-wereld inrichtten. Waren het in het verleden veelal deeloplossingen, die ook nog vaak ‘achteraf’ werden toegevoegd, in de virtuele wereld moet je vanaf het design security goed definiëren. In plaats van een fysieke veiligheid een logische veiligheid definiëren. Op logische wijze alle functies, omgevingen, virtuele machines en applicaties beveiligen. Een echt andere aanpak. In een virtuele infrastructuur zijn de virtuele machines, de ‘VM’s’, steeds in beweging. Afhankelijk van de belasting en de vraag, kunnen VM’s door ‘het besturingssysteem’ steeds op andere servers worden geplaatst om continu een optimale situatie te creëren. Ook de bijbehorende data is constant in beweging. Security moet dus als één geheel worden ontworpen.

5 stappen
Op VMworld werd in 5 heldere stappen uitgelegd hoe je voor een virtuele wereld de juiste security opbouwt. Dus voordat überhaupt de infrastructuur is aangeschaft en geplaatst. De eerste stap is de grenzen van je virtuele datacenter beveiligen. Dus daar waar het datacenter verbindingen heeft met de buitenwereld (zowel met de interne als externe buitenwereld, dat verschil is heel klein geworden). Zorgen dat veilige verbindingen kunnen worden opgebouwd zoals met VPN. Of gevoelige omgevingen van een eigen apart netwerk voorzien opdat eventuele hackers niet makkelijk van de ene in de ander omgeving kunnen komen. Daarnaast de juiste filters bij die in- en uitgangen plaatsen om te kunnen monitoren wat er allemaal binnenkomt en uitgaat. Deze eerste beveiligingsschil is nog steeds enorm belangrijk.

De tweede stap is het beveiligen van de applicaties tegen bedreigingen. Een virtuele applicatieomgeving, waarbinnen alle VM’s en de specifieke data voor een applicatie ‘leven’, als één geheel afschermen. Door dit te doen kunnen alleen geauthenticeerde en geautoriseerde gebruikers in die omgeving komen. Dit klinkt heel logisch, maar dat is het niet echt. Vroeger werd de server waarop de applicatie draaide beschermd en dat was meestal genoeg. Het benoemen en separaat beveiligen van applicatieomgevingen is in een virtuele wereld een noodzakelijkheid geworden.

Virtuele machine
De derde stap is het beveiligen van de virtuele machine. Zorgen dat virussen geen kans krijgen zich in het hart te vestigen van uw virtuele wereld. Er zijn gelukkig al heel veel antivirus-oplossingen op de markt gekomen om VM’s adequaat te beveiligen. Het mooie van VM’s is, dat het eigenlijk gewoon data-files zijn die tot leven worden geroepen als ze nodig zijn. Als een VM onverhoopt besmet is geraakt kun je hem ‘gewoon’ weggooien, mits je in een goed beveiligde omgeving een schone kopie hebt bewaard. Daar maak je dan weer een kopie van en die breng je schoon terug in de operationele omgeving. Berg VM’s die gevoelige data verwerken op in een aparte omgeving, eventueel met een quarantainevoorziening. Mocht er verdenking van besmetting zijn, dan kunnen die VM’s voorlopig in quarantaine worden gezet voor nader (forensisch) onderzoek.

De vierde stap is het beveiligen van de data zelf ofwel ‘data centric security’. Zorgen dat de data op zichzelf beveiligd is. Dat data niet kan ‘weglekken’. Dat niet (onopgemerkt) data via andere routes het systeem kan verlaten, bijvoorbeeld als bijlage van een mail, als print of als kopie in een social network. Data kan tegenwoordig heel makkelijk versleuteld worden opgeslagen, waarbij nauwelijks prestatieverlies optreedt als men die data wil gebruiken. Ook kunnen we datapakketjes zo verpakken, dat zonder sleutel een gebruiker er niets mee kan doen, of alleen heel restrictief. Bijvoorbeeld u kunt de data wel zien, maar niet printen of doorsturen. Of de data blijft maar 4 uur zichtbaar en daarna vernietigd zij zichzelf. Kortom, mooie oplossingen genoeg.

Last but not least de vijfde stap: zorg dat je een goed ‘radarsysteem’ hebt aangeschaft om je hele omgeving continu te monitoren, events te registreren, ongebruikelijke transacties scherp te volgen en op vreemde data-elementen te letten. Hiervoor zijn de zogenaamde Intrusion Detection Solutions. Niet vertrouwen op alleen bekende gevaren, maar gereed zijn om onbekende gevaren te kunnen herkennen. Virussen, trojans, phishing-berichten zijn zo flexibel en simpel te maken, en vooral te veranderen of te vermommen, dat we niet meer kunnen vertrouwen op statische virusverkenners. We moeten een constante alertheid hebben, bij de ingang en uitgang, maar net zozeer binnen het netwerk.

Vertrouwd en veilig
Ik heb niet gesproken over de beveiliging van alle gebruikers-omgevingen. Van laptop’s tot desktops, van smartphones tot tablets. Dat is een verhaal apart voor mogelijk een volgende keer. Basis van mijn verhaal is dat moderne virtuele en dus ook cloud-omgevingen, heel dynamisch en adequaat kunnen worden beveiligd door de technieken en oplossingen die ons momenteel ter beschikking staan. En dat de interne IT-dienstverlening net zo geavanceerd en adequaat kan zijn als dat we als consument al gewend zijn. Zodra we intern deze beveiliging goed hebben geregeld, is ook het BYOD-vraagstuk (Bring Your Own Device) geen probleem meer, althans wat security betreft. Dan kun je met je eigen consumentenproduct ‘gewoon’ ook je bedrijfsapplicaties oproepen en gebruiken. Vertrouwd en heel veilig.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn

Leave a Reply

Your email address will not be published. Required fields are marked *