Cloud-omgevingen op basis van SDN zijn snel en flexibel

Het gebruik van clouddiensten is wereldwijd verdubbeld in het afgelopen jaar en ook in Nederland is de cloud sterk in opkomst. Net zoals het geval is bij alle IT-projecten, zijn er veel vragen over beveiliging in de cloud. Veel organisaties denken dat dit de verantwoordelijkheid is van de cloud provider. Die aanname is pertinent fout, stelt André Noordam, systems engineering manager bij Fortinet.

Andre-Noordam-Fortinet-1-300x200 André Noordam (fotograaf Monique van Helden)

Steeds meer bedrijven in Nederland hebben enkele, of zelfs alle, applicaties geïnstalleerd op virtuele servers in een datacenter. De adoptie van de cloud gaat hard, hoewel dat vooralsnog vooral uit kostenoverwegingen is, weet Noordam. “Het opzetten van een cloud-omgeving vraagt een veel lagere initiële investering dan het inrichten van een IT-omgeving binnen een bedrijf. Bovendien biedt de cloud enorme flexibiliteit, zodat men capaciteit kan opschalen naar behoefte. Een derde kostenbesparing zit in het beheer van de onderliggende infrastructuur.” Toch wegen de financiële argumenten voor veel bedrijven nog niet op tegen de bezwaren. Zo is er nog veel onduidelijkheid over de beveiliging en wie daarvoor verantwoordelijk is.

Venom-virus

Die vraag wordt steeds moeilijker te beantwoorden. Volgens het rapport New Rules: The Evolving Threat Landscape in 2016 (pdf) van Fortinet is de populariteit van de cloud ook heel aantrekkelijk voor cybercriminelen. Zo stak in 2015 het Venom-virus de kop op. Via een lek in de virtualisatietechniek van datacenters kon dit virus vanuit één virtuele ruimte de hele hostserver binnendringen en overnemen. “Venom omzeilt daarvoor de hypervisor van de gevirtualiseerde omgeving”, vertelt Noordam. “Wie is daar verantwoordelijk voor? De gebruiker die het Venom-virus toeliet in zijn virtuele ruimte, of de cloud provider die virus in staat stelt over te stappen van die virtuele ruimte naar een andere? De conclusie is dan ook dat beveiliging een taak is voor zowel cloud providers als cloud-gebruikers.”

Beveiliging door cloud provider

AWS_Marketplace_-_fortinet-300x224 In cloud-omgevingen is alles virtueel en klanten verwachten daarom dat het opzetten van hun clouddienst snel voor elkaar is, inclusief de beveiliging. Dankzij het zogenoemde software-defined networking (SDN) is dit ook mogelijk, zegt Noordam. “SDN, zoals Cisco ACI, HP Open Stack en VMware NSX, maakt het mogelijk om het netwerk binnen datacenters volledig in te richten op basis van de eisen die applicaties stellen. Zo kan de cloud-omgeving voor klanten sneller, veiliger en eenvoudiger worden uitgerold. De integratie van onze FortiGate firewall met SDN brengt hoogwaardige beveiliging naar de cloud-omgeving. De FortiGate voorziet in een firewall, geavanceerde intrusion prevention system (IPS) en gecentraliseerd beheer van alle beveiligingsfuncties. Dit maakt de cloud-omgevingen op basis van SDN sneller en flexibeler, terwijl het hoogste beveiligingsniveau, de privacy en het naleven van wet- en regelgeving gewaarborgd zijn.”

De integratie van de oplossingen voor cybersecurity van Fortinet met SDN helpt cloud providers om de operationele kosten voor hun datacenters te verlagen zonder concessies te doen aan beveiliging of prestaties. Hierdoor kunnen ook kleinere datacenters clouddiensten aanbieden. “De beveiliging voor applicaties die men aanpast, toevoegt, wijzigt of verwijdert is niet langer een handmatig en foutgevoelig proces”, vertelt Noordam. “De FortiGate-connector voor SDN automatiseert al deze processen op basis van de regels van het beveiligingsbeleid. Indien nodig legt SDN het applicatieverkeer om via de FortiGate-appliances voor geavanceerde firewall-inspectie inclusief IP-reputatie, webfiltering, antivirus, DNS-filtering, SSH-inspectie, IPS en DDoS, zonder dat er handmatige handelingen nodig zijn.”

Beveiliging door eindgebruiker

Dankzij SDN zit beveiliging voor een groot deel ingebouwd in de cloud-omgeving die een klant afneemt bij de cloud provider. Toch is het niet zo dat de cloud hierdoor ‘vanzelf’ veilig is. “Die aanname is pertinent fout”, zegt Noordam. “Veel cloud providers beveiligen geen applicaties die ze zelf niet inrichten. Daarom moet men bij het zoeken naar een cloudprovider altijd vragen stellen zoals: hoe zijn de servers en het datacenter fysiek beveiligd? Hoe zijn de onderliggende netwerken beveiligd? Is er een veilige scheiding tussen de virtuele ruimtes op de server? Wie zit er nog meer op diezelfde server?”

FortiGate_Azure_app-300x211 Gebruikers kunnen de applicaties op een virtuele server in een datacenter eenvoudig zelf beveiligen. “Daarvoor bestaan apps die de cloudprovider aanbiedt in een soort appstore,” zegt Noordam. “Zo’n app kan bijvoorbeeld een virtuele FortiGate firewall zijn. Deze apps hebben exact dezelfde functionaliteit als de hardware-versies van deze producten. In Azure, de cloud-omgeving van Microsoft, zijn bijvoorbeeld veel vooraf ingestelde oplossingen beschikbaar.” (zie bijgaande screenshots)

Op zich is er met de cloud weinig nieuws onder de zon, meent Noordam. “De cloud maakt de vraagstukken rond netwerkbeheer en –beveiliging niet anders dan voorheen, de IT-omgeving staat alleen ergens anders. Er zijn maar twee nieuwe ontwikkelingen waar men rekening mee moet houden: ten eerste is een deel van de beveiliging de taak van de cloud providers en een deel van de cloud-gebruikers. Daar moet men heldere afspraken over maken. Ten tweede is er de combinatie van virtueel en fysiek. De cloudapplicaties moeten naadloos geïntegreerd zijn in het bedrijfsnetwerk op locatie. De beveiliging daarvan kan versterkt worden door een virtuele FortiGate in de cloud en een fysieke FortiGate op locatie. Als dat allemaal goed geregeld is, zal cloud-beveiliging een extra en waardevol verkoopargument zijn dat de adoptie van de cloud alleen maar verder aanjaagt.”

André Noordam is systems engineering manager bij Fortinet

Dossiers