Network Security2018-05-24T19:53:29+00:00

Network Security

Når vi prater om nettverksikkerhet, må vi skille mellom ulike deler. Det er nettets omkrets, det fysiske nettverket og det trådløse nettverket.

Nettverkets omkrets

De tradisjonelle omkretsløsningene, som normalt bestod av en brannmur og en proksy er over. Det er veldig vanskelig å i dag avgjøre hva det faktiske omfanget er for et firma, ettersom vi flytter til en mer mobil verden der alle trenger å ha tilgang overalt, fra alle enheter og der program kjøres både lokalt og i skyen.

Ifølge oss må vi skille mellom to ting, innkommende sikkerhet for å beskytte tilganger og utgående sikkerhet, der brukere og programmer beskyttes fra f.eks. å hente skadelig kode.

En neste generasjons security gateway vil bli en kombinasjon av flere løsninger, avhengig av kundens faktiske miljø. Dette bør man være oppmerksom på:

  • Beskyttelse mot zero day angrep, Advanced Persistent Threats (APT) og skadelig programvare
  • Neste generasjons hårdvare: høyere prestasjon
  • Integrert Threat Prevention (IPS, URL, Anti-Virus, Anti-Malware, Content Scanning)
  • Brukergjenkjenning
  • Signaturløs oppdagelse
  • Virtuell formfaktor for å sikre et virtualisert servermiljø
  • Rapportering og administrering
  • DDoS-beskyttelse på flere nivåer
  • Applikasjonsidentifisering
  • Identitets- og gjentakelseshåntering for et hybridapplikasjonslandskap (se også Cloud Security)
  • Separate krav til utgående og innkommende sikkerhet
  • Integrasjon mellom ulike løsninger (f.eks. NAC og Security Gateway)
  • Threat Intelligence (threat feeds) for en fullintegrert løsning

For å være tilkoblet, alltid og overalt, anbefales det sterkt å ha en tilstrekkelig mengde kablede og trådløse tilkoblinger i en campusinfrastruktur. Innen området sikker infrastruktur, oppfylles disse kravene ved flere egnede løsninger som LAN-switcher, datacenter fabrics, trådløse aksesspunkter og kontrollere. De rette komponentene og funksjonene velges ut fra firmaets prinsipielle sikkerhetsarkitektur.

Secure Switching

Behovet for infrastruktur for å tilby tilkobling mellom klienten og applikasjonsserverne er ikke ny, men har vært der i årtier. Den kontinuerlige utviklingen for å levere smartere og mer effektive løsninger med økt fleksibilitet, funksjonalitet og håndterbarhet, gir nye muligheter til firmaer og organisasjoner.

Utvikling og behov som Power over Ethernet (POE +), ”New Style” høy tilgjengelighet (no Spanning Tree), hindre (Aggregated Links), identitetsbasert tilgang (802.1x), programmerbare systemer (SDN), skalerbarhet, forenkling av operativ administrering, krever en regelmessig fornyelse av LAN og datasentrets infrastruktur. Særskilt behov for nettverksvirtualisering oppstår for å betjene SDDC-arkitekturen (Software Defined Data Center).

Ettersom sikkerhet blir stadig mer integrert i LAN og ofte på Layer, er det viktig å stole på tilkoblingen og funksjonaliteten for å sikre sikkerhet og tilgjengelighet (DHCP-spoofing, dynamisk ARP-inspeksjon, private VLAN, IP-kildebeskyttelse, hastighetsbegrensning, stormkontroll, osv.).

Funksjoner

  • Lavere strømforbruk
  • Mer båndbredde / kapasitet
  • Enkelt operativsystem
  • Phasing Spanning Tree
  • Ikke overbooket design
  • Høy tilgjengelighet i en aktiv tilstand
  • Integrert sikkerhet
  • Nettverksvirtualisering
  • Programmerbarhet (open flow)
  • Integrasjon av stemme / data på enkelte grensesnitt og eventuelt begge ”tagget”
  • Lavere TCO

Trådløs sikkerhet

Trådløst er nå tilgjengelig innen de fleste firmaarkitekturer. Hvordan og for hvem er dog mindre tydelig. I løpet av de siste årene har det vært en stor utvikling, noen pågår fortsatt, om aksesspunktene. Ny teknikk som 802.11ac, smarte funksjoner for roaming og radiobehandling, kontroll og trafikkhåndtering (inklusiv sikkerhet) via en sentral admin eller via en enklere admin for å nevne noen.

Opprettelse av en trådløs infrastruktur virker enkel, men erfaringen har lært oss at i tillegg til å velge rett leverandør, kreves også ekspertise for å oppnå en bra trådløs arkitektur.

En bra dekningsplan, høy tilgjengelighet, rett kapasitet (i båndbredde og antall brukere) og funksjonalitet er noen vilkår for å tilby en sikker trådløs løsning i et firmamiljø. Det må dessuten kombineres med brukerautentisering for både gjester og ansatte samt på både BYOD og firmaenheter innen tilgang til internett eller forretningsapplikasjoner.

På SecureLink arbeider vi med trådløse leverandører som utvikler alle produkter ut fra et sikkerhetsperspektiv.

Funksjoner

  • Mer båndbredde per bruker
  • Tilgang basert på autentisering
  • Sentral administrering
  • Økt trådløs dekning
  • Tilpassing av nye trådløse standarder
  • Skalerbart
  • Integrert sikkerhet
  • Plassbaserte tjenester
  • Klassifisering av brukere
  • Integrasjon av stemme / data

Sikker arbeidsstasjon

Med sikker arbeidsstasjon menes sikker tilgang til applikasjoner. Disse tilkoblingene må være tilgjengelige over alt. Vanligvis er en VPN konstruert for å få tilgang til beskyttede resurser. En begrensning av klient-serverens applikasjoner er at du behøver en spesifikk klient for å komme til programmet. Det skaper en ytterligere sikkerhetsrisiko ettersom data da vil finnes på fjernklienten.

Det finnes en løsning som eliminerer disse begrensningene: publiserte applikasjoner eller full virtuell skrivebordsinfrastruktur. Gjennom en svært begrenset klient som du kan installere på nesten hvilken som helst enhet, kan du få tilgang som om du arbeidet lokalt.

Ettersom bare skjerm- og tastatur vil bli sendt over nettverket, kan alle data ligge i det sentrale datasenteret. Slik opplever du samme hastighet og sikkerhet. Autentisering av brukeren er ytterst viktig i dag. En sterk autentiseringsmetode i kombinasjon med VDI anbefales sterkt.

Virtualisering

Virtualisering dukker opp på ulike nivåer. Inntil nylig, var det bare vanlig på servernivå, men i dag brukes det ofte på så vel endpoint som i datasenteret. Ved disse endpoints finnes det flere og flere virtuelle skrivebordsinitiativer. Ved datasenteret finnes tilpassingen av SDD (Software Defined Networking) og Software Defined Data Centers (SDDC). Årsaken til disse trender er fleksibiliteten og smidigheten i miljøet. Målet er å ha et komplett infrastrukturtak som kan brukes av kun en person. Det er ikke lenger nødvendig å vente på at de forskjellige avdelingene distribuerer de enkelte komponentene. Tydelige eksempler på slike miljøer som fremkom av SDDC-konseptet er Amazon og Azure. Samme konsept gjelder stadig oftere i større firmaer.

Noe som er veldig viktig for oss er muligheten til ekstra sikkerhet. Takket være ”service chaining” og ”mikrosegmentering” er det mulig å omdirigere spesifikke trafikkflyter gjennom dedikerte sikkerhetsløsninger, også om trafikken er mellom to enheter i samme lager 2-undernett.

Lagring

Behovet for lagring fortsetter å øke. En fleksibel og skalerbar løsning, både når det gjelder kapasitet og prestasjon, er et must. Prestasjon uttrykkes normalt i antall IOPS (Input / Outputs per sekund). Redundans er også svært viktig. Firmaene har ikke råd til å miste data. For å gi den nødvendige redundansen, finnes det flere alternativer, alt fra redundante disker til helt redundante systemer som spres over flere steder. Det er opp til SecureLink-konsulentene å utforme den beste arkitekturen for kunden ut fra deres individuelle behov.

Backup er også nær relatert til lagring. Sikkerhetskopier er mer og mer plassert off-site: på egen infrastruktur eller til og med i skyen. Utfordringen er å få en fleksibel løsning som gir en rask tilbakestilling om du behøver det. Normale sikkerhetskopier er en del av et totalt tilbakestillingsscenario ved en katastrofe og må tas på alvor.

SecureLink Norge