Cloud security met Zero Trust – Microsegmentatie binnen een virtueel netwerk

Leestijd: 5 minuten

Categorie: Managed Security

Auteur: Johan Bogema


We bewegen met z’n allen richting de cloud. Dat veel organisaties hier bedenkingen bij hebben qua veiligheid is begrijpelijk. De cloud roept namelijk ook vragen op: waar staan mijn data, wie kunnen erbij, zijn wij nog wel in staat om onze data te beschermen? Dat je data op basis van Zero Trust kunt beschermen ongeacht waar ze zich bevinden gaan we u de komende maanden laten zien.

In dit eerste deel bespreken we de beveiliging van de private cloud oftewel het virtuele netwerk. In de volgende delen komt ook de public cloud in de vorm van IaaS, PaaS en SaaS aan bod.

Was vroeger alles beter?

Nee, maar wel overzichtelijker. Je had een intern netwerk en je had internet. Dreigingen kwamen van buitenaf en tot op zekere hoogte kon een firewall je daartegen beschermen. Dat men van binnenuit net zoveel te vrezen heeft, is de laatste jaren steeds duidelijker geworden. Berichten over datalekken halen bijna dagelijks het nieuws. Het antwoord hierop is Zero Trust.

De Zero Trust aanpak heeft een aantal uitgangspunten, maar de belangrijkste leidraad is volgens ons:

‘Er mag vooraf geen enkele aanname worden gedaan over de mate waarin je een netwerk of een deel daarvan kunt vertrouwen.’

Dat klinkt mooi in theorie, maar hoe vertaal je dit naar de praktijk? Laten we het netwerk vergelijken met Nederland en de dreiging van water. Nederland ligt laag en we hebben daarom altijd oplossingen moeten zoeken om onze voeten droog te houden. De makkelijkste oplossing is een dijk rond het hele land. Maar wat gebeurt er als er een breuk ontstaat in die dijk? Het water stroomt van het ene naar het andere gebied en in no-time heeft het hele land wateroverlast.

De betere oplossing is segmenteren op basis van assets. In het geval van Nederland kijk je naar belangrijke plaatsen. Rondom elke belangrijke plaats (asset) bepaal je een segment en daar bouw je een dijk omheen. Ontstaat er ergens wateroverlast, dan blijft de schade beperkt tot dat ene segment. Op deze manier creëer je controle en overzicht. En het mooie is: deze methode werkt overal, dus ook bij de beveiliging van een virtueel netwerk.

Virtueel netwerk beschermen? Verdeel en heers

Je begint dus met het bepalen van segmenten. Zo’n segment kan bijvoorbeeld persoonsgegevens bevatten of alle e-mailverkeer. Vervolgens bepaal je de BIV-rating van elk segment (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van die BIV-rating kun je voor elk segment de juiste securitypolicies bepalen en een passende security-oplossing.

Maar ben je dan safe? Tot op zekere hoogte wel, want je hebt je security afgestemd op het type data. Binnen een segment is nog steeds vrij dataverkeer mogelijk. In sommige gevallen kan het daarom verstandig zijn om nog een stap verder te gaan. Bijvoorbeeld als het gaat om high-risk data of als data verspreid is over verschillende locaties of diensten. Denk aan persoonsgegevens van burgers binnen een gemeente. Die staan vaak niet alleen on premise, maar ook in een SaaS-applicatie. De volgende stap in zo’n geval is microsegmentatie. Elk segment deel je op in kleinere segmenten. Je voegt als het ware controlepunten toe aan je segmenten en zo creëer je overzicht en controle over het totale dataverkeer.

  1. Segmenteer op basis van assets
  2. Bepaal de BIV-rating voor elk segment
  3. Verdeel elk segment in kleinere segmenten

De oplossing ligt dus bij microsegmentatie, maar dat vraagt wel een enorme capaciteit van de interne firewalls. Daarnaast is microsegmentatie vaak zeer lastig te implementeren in bestaande omgevingen. Om het verkeer bij de interne firewalls te krijgen moet er namelijk IP-omnummering plaatsvinden. En dan hebben we het nog niet eens over het beheren van alle policies.

En toen was er VMware NSX

Microsegmentatie is volgens ons de optimale uitvoering van de Zero Trust principes binnen een virtueel netwerk. Maar zonder vergaande automatisering is het een zeer kostbare oplossing. Niet alleen qua investering in hardware, maar ook in kennis. Met VMware NSX kun je microsegmentatie invoeren zonder die hoge investering.

Hoe werkt dat? In een virtueel netwerk bevindt zich tussen de VM en de hardware een laag (kernel). In deze laag zet VMware NSX een virtuele firewall in. Zo kun je het verkeer tussen de VM’s controleren voordat het op het fysieke netwerk of bij andere VM’s terecht komt. Dit levert een enorme snelheidswinst op.

  • Minder investering nodig
  • Soepele integratie met bestaande omgevingen (geen IP-omnummering nodig)
  • Snellere detectie van dreigingen

Zijn mijn data veilig nu elke VM een eigen firewall heeft? In ieder geval een stuk veiliger dan voor de toepassing van microsegmentatie. Maar het is niet genoeg. De firewall van VMware NSX is naar onze maatstaven een zeer beperkte firewall. VMware NSX detecteert alleen van welke VM een datapakket afkomstig is en waar het naartoe gaat. Het belangrijkste deel – wat zit er in het datapakket – wordt niet gecontroleerd.

Extra veiligheidslaag van Palo Alto Networks

Om ook die laatste securityslag van volledige contentinspectie te maken is er de Palo Alto Networks VM-series voor NSX. Deze virtuele firewall integreert met VMware NSX en controleert de content van het dataverkeer. Contentinspectie is niet eenvoudig, maar het is een expertise die Palo Alto Networks als beste beheerst.

De belangrijkste voordelen van microsegmentatie met VMware NSX en PAN VM-series voor NSX:

  • Zero Trust is geïntegreerd in uw netwerk
  • Securitypolicies zijn gekoppeld aan uw VM’s
  • Securitypolicies verhuizen mee met de VM
  • Geavanceerde contentinspectie (App-ID, threat detectie en preventie)
  • One single pane of glass (centraal dashboard met alle policies, logging en rapportage)

Vertrouw op Zero Trust

Als je de Zero Trust principes consequent naleeft en controleert of iedereen dat doet, kun je je data overal beschermen. Bij de beveiliging van een virtueel netwerk is microsegmentatie de sleutel.

De Zero Trust principes zijn in 2011 door John Kindervag ontwikkeld. IT-security pioniers als we zijn bij ON2IT hebben we Zero Trust destijds direct omarmd. Als eerste in Nederland pasten we IT-securityoplossingen toe op basis van deze principes. Inmiddels bouwen we complete netwerk- en IT-infrastructuren op basis van Zero Trust.