“Microsegmentatie: dat is hier het sleutelwoord. De Aruba CX 10000-reeks van switches maakt het mogelijk om aan microsegmentatie te doen op een nieuwe manier die veel goedkoper uitvalt dan alle bestaande alternatieven op de markt.”

Verdeel en heers

Voor wie niet met het concept vertrouwd is: wat moeten we onder microsegmentatie verstaan en waar is het goed voor?

“Microsegmentatie is het proces waarbij je je bedrijfsnetwerk in kleinere eenheden gaat opdelen of segmenteren. Nu hoor ik je denken: dat deden de meeste bedrijven toch al? En dat klopt uiteraard: met behulp van bijvoorbeeld VLAN-technologie brachten heel wat bedrijven alvast een virtuele scheiding aan tussen de clients en de servers op hun netwerk. Alleen volstaat dat tegenwoordig niet langer. Daarom is microsegmentatie aangewezen. Daarbij gebeurt de opdeling van je netwerk op het niveau van je individuele apparatuur of zelfs de onderdelen ervan, zoals een netwerkpoort.

Het voordeel van die aanpak is dat je op dat microniveau ook voor de nodige beveiliging kan zorgen. Zo kan je voortaan verschillende toestellen beschermen die zich in hetzelfde IP-subnet bevinden. Krijgt een van die toestellen een aanval te verduren, dan kan je gemakkelijker verhinderen dat die aanval ook de andere toestellen in dat deel van je netwerk treft. Zo vermijd je dat het ene toestel als het ware het andere meesleurt. Met een gewone firewall kan je dat niet. Maar met een switch die microsegmentatie ondersteunt, kan je wel in zo’n fijnmazige beveiliging voorzien.”

Zero trust security

Een betere beveiliging: is dat de reden waarom microsegmentatie een must is?

“Absoluut. En dat geldt des te meer voor bedrijven die een zero trust-strategie hanteren. Een belangrijke pijler binnen die strategie is de beveiliging van je netwerken en infrastructuur. Binnen de zero trust-filosofie moet je ervan uitgaan dat die hoe dan ook onder inbreuken te lijden hebben. Daarom moet je je netwerken en infrastructuur zo ontwerpen en inrichten dat je de impact van zo’n inbreuk maximaal kan beperken. Daarbij speelt microsegmentatie een cruciale rol. Door je netwerken en infrastructuur in nog kleinere en beter beschermde zones te verdelen, vermijd je dat een virus bijvoorbeeld grote delen ervan diepgaand infecteert en lamlegt. Zo helpt microsegmentatie om gevaren tijdig in te dammen, de aangebrachte schade zoveel mogelijk te beperken en snel van een inbreuk te herstellen.”

Je verwees eerder al naar alternatieve maar duurdere manieren om aan microsegmentatie te doen. Welke zijn die precies?

“Om te beginnen is er de klassieke firewall. Maar naast zeer duur is die optie ook zeer complex. Je kan ook opteren voor een distributed firewall. Zo’n firewall implementeer je op de virtuele laag van je netwerken en infrastructuur. Helaas bescherm je daarmee ook alleen maar je virtuele workloads, niet je fysieke. En vandaag heeft een bedrijf in de regel toch beide varianten in huis. Wat je natuurlijk ook nog kan overwegen, is om al je servers afzonderlijk van de nodige beveiligingssoftware te voorzien. Maar ook aan dat arbeidsintensieve alternatief zal onvermijdelijk een hoog prijskaartje vasthangen.”

Distributed services switch

Wat ons bij de nieuwe optie brengt: een CX 10000-switch van Aruba. Wat moeten we ons daar concreet bij voorstellen?

“Het gaat hier om een distributed services switch. Dat is het soort switch waarmee je, zoals de naam zelf al aangeeft, bepaalde diensten via je netwerk kan verdelen of implementeren. In dit geval gaat het meer specifiek om een aantal diensten voor netwerkbeveiliging, zoals Layer 4 stateful firewalling, NATTING (Network Address Translation), IPSec-encryptie, DDoS-bescherming, loadbalancing, en zo meer.

Al die beveiliging gebeurt rechtstreeks op de switch zelf. Dat heeft dan weer alles te maken met de manier waarop die switch tot stand is gekomen. Dat zit zo: Pensando, dat sinds vorig jaar in handen is van chipmaker AMD, ontwikkelt chips en andere technologie voor datacenters. Zo produceert Pensando ook netwerkkaarten die je in servers kan stoppen om vervolgens rechtstreeks via die kaart allerlei securitydiensten te activeren, zo dicht mogelijk bij de workloads die je wenst te beschermen. Hyperscalers maken al langer gebruik van die netwerkkaarten om hun serverparken te beveiligen. Maar voor reguliere bedrijven – zelfs de grotere – bleef die aanpak dusver onhaalbaar, alleen al omwille van de investeringskosten.

Samen met netwerk- en beveiligingsspecialist Aruba ontwikkelde Pensando daarom een switch waarin dezelfde chips verwerkt zijn die op zo’n netwerkkaart zitten. Bij die nieuwe switch hoort ook de nodige beheersoftware. Die Policy Service Manager, kortweg PSM, is een virtuele appliance die beheerders toelaat om via een eenvoudige webpagina allerlei beveiligingsregels aan te maken en die vervolgens door te voeren via de switches. Diezelfde appliance staat ook in voor de registratie van al het netwerkverkeer dat via de switches passeert. Zo kan je de aard van dat verkeer makkelijk in kaart brengen, evenals de verkeersstromen tussen je verschillende servers. De gelogde data kan je ten slotte ook doorsturen voor analyse naar je SIEM, een geautomatiseerd alarmsysteem dat je verwittigt bij abnormaal verkeer of afwijkend gedrag.”

Onestopshop

Afsluitend: welke bedrijven zijn het meest gebaat bij het gebruik van deze nieuwe switches?

“Dit is een ideale oplossing voor bedrijven die over een of meer eigen datacenters beschikken waar ze zowel fysieke als virtuele workloads moeten beveiligen. Zeker als die bedrijven ook nog eens via de zero trust-principes een zo veilig mogelijke netwerkomgeving willen creëren. Daarbij spreekt het vanzelf dat onze experts hen in elke stap van dat traject met raad en daad bijstaan, van het assessment en de creatie van een proof of concept tot het design, de eigenlijke implementatie en zelfs het beheer en de ondersteuning achteraf.”

Meer info?

Wenst u op een kostenefficiënte manier microsegmentie te implementeren en de mogelijkheden van deze nieuwe via deze nieuwe distributed services switch te evalueren voor uw organisatie? Neem dan contact op met onze experten voor een vrijblijvend gesprek, assessment of proof of concept.