F5 introduceert BIG-IQ Cloud
Gisteren kondigde F5 de BIG-IQ cloud oplossing aan: een nieuwe management oplossing voor het uitrollen van een application delivery en netwerk service voor zowel publieke als private clouds, traditionele datacenters en hybride omgevingen. BIG-IQ is een mijpaal op het gebied van ondersteuning voor SDN services op applicatieniveau. Lees hier het volledige persbericht.De Spamhaus aanval – de naschok
Als je terugkijkt dan is het geen verassing dat de Spamhaus aanval een volgende reactie zou ontlokken. Vorige week werd Sven Olof Kamphuis gearresteerd door Eurojust- The European Judicial Cooperation Unit. Hij werd aangewezen als het brein achter de Spamhaus aanval vorige maand. Sven staat aan het hoofd van CyberBunker, het bedrijf dat zijn domeinen geblacklist had bij Spamhaus. De reactie op de arrestatie van Sven was een reactie van een groep genaamd freecb3rob-cb3rob. Zij hebben een persbericht geplaatst op pastebin met daarin het dreigement aan alle overheidsorganisaties die geloven dat Sven medeplichtig is aan de DDos aanval op Spamhaus. Zij eisen dat Sven wordt vrijgelaten, anders zal er een grote aanval plaatsvinden op de internet infrastructuur. Hun directe focus is Nederland waar Sven naartoe gebracht zal worden in afwachting van zijn proces. Vorige week donderdag was KLM slachtoffer van een DDOS aanval, waardoor de online check-in service niet beschikbaar was. Daarna was DigiD aan de beurt. DigiD wordt gehost bij het Ministerie van Binnenlandse zaken. De woordvoerder van het ministerie meldde dat er geen gebruikersinformatie was gecompromitteerd tijdens de aanval en dat de aanval werd afgewend door verkeer met IP adressen vanuit het buitenland tegen te houden. Tot dusver wijst dit op een DDos aanval om de uitspraak kracht bij te zetten en om services te onderbreken. De echte vraag blijft of de groep of groepen een aanval kunnen uitvoeren met een grootschalige impact op de gehele internet infrastructuur. We hebben tot nu toe verkeersstromen gezien van 300 Gbps bij DNS reflection aanvallen. Als we freecb3rob mogen geloven, dan is het einde van deze operatie nog niet in zicht. Voor meer informatie over DNS reflection aanvallen kunt u eerdere blogs raadplegen. Een versie van dit artikel verscheen eerder op 26 April op DevCentral en werd geschreven door Joakim Sundberg, EMEA Security Solution Architect bij F5.Big data die bijna niemand ziet
Big data wordt momenteel net zo gehyped als cloud computing een jaar geleden (en nog steeds). De hoeveelheden data die gedeeld, geïntegreerd, verwerkt, opgeslagen en beheerd worden, groeien dan ook uit tot gigantische proportie en met een razendsnel tempo. Wanneer we over big data praten, hebben we het meestal over applicatiegegevens, user-generated content en bedrijfsbestanden. Het gaat zelden over operationele data, terwijl ook deze ‘big data’ een bedreiging en een kans vormen voor de dagelijkse gang van zaken in het datacenter. Het beheer van de datacenter-prestaties vereist de analyse van heel veel data. Big operational data. Elke dag worden er gigabytes aan logdata gegenereerd. Een deel daarvan zijn alledaags bandbreedte- en doovoergegevens. Een ander deel vormt gevormd door routinematige applicatiegegevens over het aantal verwerkte requests. En er is een gedeelte met meer opvallende informatie zoals wie en wat een poging ondernam om een webapplicatie van wat malware te voorzien. Allemaal interessante gegevens en alle log-files van alle apparatuur bij elkaar heb je al snel BIG data. Netwerkoptimalisatie Als bedrijven geen middelen hebben om deze data op te zoeken, samen te voegen en te analyseren zodat een totaalbeeld van het datacenter ontstaat, heb je gewoon een berg bits en bytes die nutteloos opslagruimte in beslag staat te nemen. Zonde. Beheerders kunnen deze data veel beter gebruiken om verbanden te leggen, zodat problemen sneller gelokaliseerd worden en op te lossen zijn. Op die manier krijg je ook een holistische kijk op de prestaties van het datacenter. Hierbij gaat het niet alleen om hoe snel een applicatie reageert of hoe goed een web application firewall functioneert. Netwerkoptimalisatie werpt de grootste vruchten af als je zicht hebt op je hele datacenter en de correlaties daarbinnen. Het bewijs van ROI Het probleem is dat veel applicaties wel kunnen aangeven hoe goed zij functioneren, maar niet wat de impact is van andere toepassingen op hun prestaties of welke invloed zij hebben op de prestaties elders in het datacenter. Je hebt beheertools die aangeven hoe een toepassing het doet, maar niet de ‘big picture’ weergeven. En dat is dus wel hard nodig. Je wilt de correlaties tussen onderdelen in een datacenter weten, maar ook tussen datacenters zelf als je cloud-toepassingen mee wilt nemen in dat plaatje. Dit soort data-analysetools komen nu steeds vaker op de markt. Ze helpen je ook de business case te maken. Het gaat met elke investering om de ROI. Daarvoor heb je gegevens nodig over hoe een applicatie zich gedraagt en presteert binnen het geheel. Pas als je die gegevens kunt omzetten naar informatie, heb je stevig bewijsmateriaal in handen dat investeringen in datacenters het geld meer dan waard zijn. Deze blogpost verscheen eerder op ComputableOverstap naar IPv6 is geen revolutie
Het nieuws rondom IPv6 gaat met name over het moment dat IPv4-adressen opraken en een internet dat als gevolg volledig vastloopt en inboet aan openheid. Angstbeelden worden geïnsinueerd zoals een verdwijning van de digitale snelweg, omdat je site simpelweg niet meer te vinden is. Maar angst is geen goede raadgever in deze. Laat staan dat het zorgdraagt voor een business case die de migratie rechtvaardigt. De veelgehoorde term migratie is ook niet de beste woordkeuze. Het veronderstelt een drastische overstap naar IPv6, in een wereld waar geen ruimte is voor IPv4. De meeste experts zijn het er wel over eens dat niet het geval is. Het zou zelfs onmogelijk zijn. Er is te veel relevante informatie die voorlopig alleen nog op een IPv4-adres beschikbaar is. Dit mag en zal niet verloren gaan, en IPv4 is dus voorlopig ook nog niet uit zicht. Bovendien was IPv6-verkeer vorig jaar nog maar goed voor 0,3 procent van het totale verkeer. Dit komt vooral doordat zelfs bedrijven die intern IPv6 ondersteunen, nog altijd het IPv4-internet gebruiken, omdat het de standaard is. Het gebruik van IPv6 lijkt vooral aangezwengeld te worden door het mobiele internetverkeer. Door de enorme groei van mobiele apparatuur en het gebrek aan IPv4-adressen, zijn veel service providers overgestapt op IPv6. Logisch: klanten zullen toegang tot bepaalde (en de nieuwste) diensten eisen, of dat nu op IPv4 of IPv6 is, maakt hen niet uit. Ze zullen de provider kiezen die hen toegang biedt. Maar wederom: De meeste content is nog op het IPv4-internet, dus gaan gebruikers massaal nog dat netwerk op. Dus waarom zou je dan overstappen? Wat zijn de redenen die de gang naar IPv6 rechtvaardigen en hoe ziet zo’n proces eruit? Voordat we daar op ingaan, eerst een situatieschets Nederland loopt achter Hoewel de IPv6-discussie wereldwijd gevoerd wordt, blijkt Nederland een van de landen te zijn die vooralsnog geen aanstalten maakt IPv6 grootschalig in te voeren. KPMG onderzocht dit en concludeerde dat de meeste bedrijven geen noodzaak zien om nu al over te stappen. Het probleem van oprakende internetadressen wordt wel erkend, maar 70 procent denkt dat dit niet direct een bedrijfsrisico oplevert en 60 procent geeft aan andere prioriteiten te hebben dan deze ‘issue’. IT-afdelingen lijken dus een afwachtende houding aan te nemen. Kan dit kwaad? Wel als je beseft dat andere gebruikers in de wereld al wel klaar zijn voor IPv6. Het is wachten op de rest, voordat het daadwerkelijke gebruik kan groeien. De angst voor onbereikbare websites komt dan snel dichterbij, zeker bij bedrijven die internationaal actief zijn. Geen enkele IT-manager wil aan zijn baas of aandeelhouders uitleggen waarom site-traffic minimaliseert, omdat hij te lang de kat uit de boom heeft gekeken. Het kan ook kwaad wanneer je nagaat dat veel softwaresystemen IPv4 afhankelijk is geschreven. Uit een verkennend onderzoek begin dit jaar van de Software Improvement Group (SIG) blijkt dat 1 op de 7 (15 procent) informatiesystemen IPv4-afhankelijk is en bij een overgang mogelijk niet correct zal werken of zelfs helemaal niet meer functioneren. Vreemd genoeg is dat een groei ten opzichte van eerder onderzoek in 2010 toen het nog 1 op de 12 was. Voordelen IPv6 Het wordt een ander verhaal wanneer je nagaat dat een ‘IPv6-ready’ strategie een bedrijf wel degelijk voordelen blijkt te geven. Het aanbieden van content-diensten bijvoorbeeld voor mobiele apparatuur, waarbij IPv6 wordt ondersteund, kan veel sneller en betrouwbaarder, terwijl mobiele netwerken makkelijker zijn te beheren. Als we dan eenmaal zo ver zijn, en dat moment komt zeker in de komende jaren, heeft zo’n bedrijf een duidelijke voorsprong. Daarbovenop komt dat een overstap nu wel eens goedkoper kan uitpakken dan over niet al te lange tijd, wanneer de nood veel hoger is. Dan gaat het marktwerking principe een rol spelen wat de prijzen zal doen stijgen. De adressen worden duurder en het overstappen wordt duurder, omdat er meer vraag naar is. Dus dan toch maar als prioriteit bestempelen, en een groot project van maken? Nee, hier is het goede nieuws: Een overstap naar IPv6 kan geleidelijk worden uitgevoerd, zonder dat dit hele IT-budgeten vereist, systemen plat legt of een groot projectteam verlangt. In vijf stappen is de overgang soepel te regelen Website toegankelijk houden Als eerste heb je uiteraard IPv6-adressen nodig via een ISP. Dit is een eenvoudig verzoek en vereist enkel van de service provider wat inspanningen (zie het kader Uitdagingen voor de service provider). Vervolgens is het zaak de website toegankelijk te houden voor klanten, prospects en andere geïnteresseerde partijen. Het overgrote deel zal nu nog via IPv4 de website bezoeken, maar de balans zal na verloop van tijd overslaan naar IPv6. Landen als China en India, niet onbelangrijk in de hedendaagse wereldeconomie, opereren vrijwel uitsluitend via IPv6. Wanneer reeds gebruik wordt gemaakt van dual-stacked application delivery controllers (ADC’s) voor het verwerken van het verkeer naar webservers, kan de omzetting plaatsvinden zonder de servers aan te passen. Een ADC die zowel IPv4 als IPv6 aankan, fungeert dan als gateway en zet IPv6-verkeer om naar IPv4 en vice versa. Wanneer deze nieuwe virtuele IPv6-adressen worden toegevoegd aan de DNS-server zijn ze te gebruiken en is je aanwezigheid op IPv6 geregeld. Deze methode is gemakkelijk door te voeren en biedt een goede tussenoplossing zonder aanpassingen aan infrastructuur of applicaties door te voeren. Belangrijk hierbij is dat naast NAT64-functionaliteit ook aan DNS64 wordt gedacht. Een IPv6-only gebruiker kan alleen een IPv4-gebaseerde applicatie benaderen wanneer DNS64 een vertaling van het IPv4-adres maakt. Security inrichten Wanneer internetverkeer door een gateway gaat, wordt het lastiger te achterhalen wat de bron-IP-adressen zijn, dus moeten er enkele security-maatregelen worden genomen. Als het goed is, beschermen aanwezige firewalls, proxies, IDS/IPS, authenticatiemiddelen en antivirus software tegen uiteenlopende risico’s. Het zou mooi zijn wanneer deze tools ook IPv6-verkeer kunnen herkennen, zodat te achterhalen is aan welke apparatuur ze gekoppeld zijn en of dit binnen of buiten het vertrouwde netwerk is. Denk naast protectie voor het netwerk ook aan het beschermen van applicaties op het juiste niveau, namelijk OSI laag 7. De gevaren op applicatieniveau blijven helaas ook met de komst van IPv6 op de loer liggen. Verschillende security-producten ondersteunen reeds IPv6 en anderen zullen niet achterblijven. De voorkeur gaat uit naar producten die zowel IPv4 als IPv6 aankunnen om te voorkomen dat extra apparatuur in de IT-omgeving moet worden opgenomen. Consolidatie is een veiligere strategie dan uitbreiding. Ga dus na of de leverancier binnen korte tijd IPv6-ondersteuning kan bieden of ga op zoek naar een alternatief. Ervoor zorgen dat ADC’s IPv6-verkeer aankunnen is een praktische oplossing zonder veranderingen in de architectuur van infrastructuur of applicaties door te moeten voeren. Hou je collega’s connected In heel veel organisaties is een vorm van flexwerken mogelijk, waarbij medewerkers van buiten het netwerk toegang kunnen krijgen tot IT-resources binnen het bedrijf. Dit is ook van groot belang als support-medewerkers remote ondersteuning moeten bieden. In principe kan dit nog wel op IPv4 blijven draaien, maar als klanten overstappen op IPv6 wil je wel de best mogelijke support bieden. Remote access-tools moeten dus ook worden overgezet, en op termijn moet natuurlijk alles worden overgezet. Een goede oplossing is het toewijzen van nieuwe virtuele IPv6-adressen aan de hosting servers en de clients daarvan bewust maken. Hierbij is van belang de security-policies in de gaten te houden. Dezelfde regels moeten gelden voor IPv6 en IPv4. Site-to-site communicatie Een veel gebruikte technologie als SSL VPN is prima om een verbinding op te zetten, maar om verschillende locaties of business units te verbinden is een site-to-site verbinding beter. Nog maar weinig ISP’s ondersteunen directe site-to-site circuits op basis van IPv6, maar het aantal is groeiende. Een site-to-site verbinding die zowel IPv4 als IPv6 ondersteund heeft duidelijk de voorkeur. Een dergelijke oplossing maakt het immers mogelijk om alle gebruikelijke taken gewoon uit te blijven voeren zoals gewend. Legacy De laatste stap is nagaan hoe en of legacy toepassingen om kunnen gaan met IPv6. Dat lijkt lastig, maar voordat IPv6 zijn voorganger volledig heeft overgenomen, zijn we heel wat jaren verder. Mogelijk zijn deze legacy systemen dan al verdwenen. Mocht dat niet het geval zijn dan is het simpelweg een kwestie van het verkeer omleiden, feitelijk zoals dat in de eerste stap is beschreven. Neem de tijd Belangrijk is dat we allemaal kunnen lezen en schrijven met IPv4. Voor IPv6 ligt dit anders, het zal voor velen voelen als de ervaring van de eerste rijles. Begin er dan niet aan op het moment dat er druk op de ketel staat, maar zorg dat je vertrouwd raakt met de nieuwe adressering, het gedrag en hoe dit in jou omgeving het beste is te implementeren. De uitdaging voor service providers Geen enkele service provider zal in staat zijn met een druk op de knop al zijn apparatuur en toepassingen over te zetten naar IPv6. De komende jaren zal IPv4 dan ook zeker niet van het toneel verdwijnen. Service providers moeten hun datacenters, netwerkinfrastructuur en security-systemen voorlopig inrichten voor zowel IPv4 als IPv6 verkeer. Daarnaast moeten zij ervoor zorgen dat hun applicaties en diensten blijven draaien binnen beide domeinen. Netwerk-firewalls, access management tools en applicatie delivery tools zijn dus allemaal onderdeel van het IPv6-migratieplan Aangezien de overstap geleidelijk zal gaan, zullen er binnen een infrastructuur geïsoleerde IPv4-netwerken ontstaan die toch moeten communiceren met de rest van de systemen en gebruikers die al wel over zijn. Bovendien zorgt een overstap voor uitdagingen op het security-gebied doordat apparatuur veelzijdiger moet worden ingezet. Er zijn eenvoudigweg meer dingen om rekening mee te houden en meer risico’s om tegen te beschermen. Om hiermee om te gaan, hebben een service providers een slim migratieplan en praktische tools nodig. Deze tools moeten in staat zijn om de infrastructuur te testen, te veranderen en te migreren op een veilige, controleerbare manier.Maak security begrijpelijk en iedereen verantwoordelijk
Als je alle website-hacks, DDoS-aanvallen en datalekken van de afgelopen zes maanden onder elkaar zet heb je waarschijnlijk nog meer woorden dan deze column. Het indrukwekkende aantal incidenten met dataverlies ten gevolge laat zien hoe het security-landschap de afgelopen twee jaar is verschoven. En nog steeds blijft de vraag: ‘hoe beschermen we onze waardevolle data?’ Het probleem ligt voor een deel bij de manier waarop mensen naar hun eigen veiligheid kijken. We vertrouwen erop dat eenmaal genomen beveiligingsmaatregelen voldoende zijn. Maar als het een keer misgaat zijn we eerder geneigd te denken dat het niet weer zal gebeuren, dan dat we iets aan de beveiliging gaan doen. Eens veilig, altijd veilig? Zo werkt het in internetbeveiliging ook. De afgelopen 15 jaar hebben beveiligingsbedrijven ons een helder beeld gegeven van hoe het web werkt en wat de gevaren zijn. Dat dit beeld inmiddels achterhaald is, vergeten de meeste mensen. We staan niet stil bij de gevaren die tegenwoordig spelen, maar vertrouwen op de genomen beveiligingsmaatregelen tegen de risico’s van vroeger. Onlangs kwamen verschillende partijen in het nieuws vanwege hacking-incidenten. Toch houden de eindgebruikers vast aan de gedachte dat het allemaal wel meevalt, wellicht omdat het gevestigde partijen zijn of omdat ze eigenlijk niet weten wat er aan de hand is. We gaan liever uit van het feit dat het bekende en vertrouwde veilig is, dan dat we verder kijken dan onze neus lang is. Bewustzijn Deze enigszins naïeve blik op de wereld moet veranderen. Daartoe moeten we de manier waarop we bewustzijn creëren bij de mensen aanpakken. Het gezegde ‘je bent nooit te oud om te leren’ is hierbij van toepassing: bestaande ideeën moeten worden bijgesteld. De beveiligingsbedrijven moeten niet alleen innovatieve oplossingen bedenken, maar ook gelijktijdig een bewustzijnstraject starten, zodat mensen gaan inzien waar het vandaag de dag om draait. Als we duidelijk uitleggen hoe deze datalekken ontstaan, en hoe aanvallen eruit kunnen zien, zal men zichzelf gaan afvragen hoe het internet veiliger en beter is te maken. Dat is een heel verschil met de huidige berusting in het feit dat dataverlies er nu eenmaal bijhoort. ‘We’ve got you covered’ Te lang hebben beveiligingsbedrijven security verkocht met het verkoopargument: ‘je hoeft niet te weten hoe het werkt, als je maar weet dat je veilig bent’. Door wel uit te leggen wat security is en hoe het werkt en het jargon te verklaren, of zelfs te vermijden, krijgt de gebruiker een veel beter inzicht in wat er gebeurt en welke rol hij of zij kan spelen om het internetgebruik veiliger en beter te maken. Door de conversatie tussen bedrijven en publiek veel transparanter te maken, ontstaat er tevens een betere band. Een band die belangrijk is, zeker als het gaat om zaken als databescherming. Uiteindelijk hebben we allemaal voldoende redenen om het internet overeind te houden, dus laten we het dan ook maar gelijk beter en veiliger maken. Een versie van dit artikel verscheen eerder op Computable.nlEen nieuw paradigma voor datacenter-firewalls
De frequentie, geavanceerdheid en diversiteit van netwerkaanvallen nemen zienderogen toe. Als gevolg hiervan komen conventionele stateful beveiligingsvoorzieningen aan de rand van het datacenter zwaar onder vuur te staan. Er is een nieuwe beveiligingsarchitectuur nodig die datacenters effectief beschermt tegen moderne aanvallen en tegelijkertijd de investeringskosten, ofwel capex, aanzienlijk terugdringt. Afnemers van cloud- en hosted toepassingen maken zich meer zorgen over beveiliging, dan functionaliteit. Door een nieuwe security-aanpak, zou dat niet langer hoeven. De afgelopen 25 jaar waren stateful firewalls het kloppende hart van de beveiliging aan de rand van datacenters. Er beginnen zich echter gebreken te vertonen in conventionele, op firewalls gebaseerde architecturen. Cybercriminelen maken namelijk gebruik van nieuwe technieken en wereldwijde botnets om dit traditionele beveiligingsschild tot een risico om te vormen, en wel precies op het moment waarop dat schild het meest nodig is. Het soort bedreigingen is in de loop der jaren aanzienlijk veranderd. Traditionele firewalls zijn in staat om simpele netwerkaanvallen af te slaan, en zogenaamd geavanceerde firewalls kunnen een oplossing bieden voor kwetsbaarheden in het uitgaande verkeer van zakelijke datacenters. Desondanks kan alleen een nieuwe architectuur voor datacenter-firewalls, waarbij aan de rand van het netwerk gebruik wordt gemaakt van volledig proxy Application Delivery Controllers (ADC’s) met een hoge verbindingscapaciteit, de naleving van beveiligingsstandaarden waarborgen. Een dergelijke architectuur kan kosten besparen door een einde te maken aan de noodzaak om firewall-apparatuur aan te schaffen en op te waarderen, en optimaal gebruik te maken van de overige ICT-bronnen binnen het datacenter. Drie aanvalscatogorieën Toekomstgerichte organisaties zijn momenteel bezig om hun beveiligingsdiensten te convergeren om, naast de traditionele netwerkaanvallen, bescherming te bieden tegen de twee belangrijkste nieuwe aanvalscategorieën waarmee hun datacenter wordt geconfronteerd: 1. Complexe DDoS-aanvallen (gericht op HTTP en DNS) 2. Kwetsbaarheden op applicatieniveau Het nieuwe paradigma voor datacenter-firewalls biedt een complete, geïntegreerde oplossing die bescherming biedt tegen elk van deze aanvalscategorieën. Dit omvat het beheer van het netwerkverkeer en firewall-services, de implementatie en het gebruik van DNSSEC en DNS Express om cruciale DNS-services te beschermen tegen DoS-aanvallen en pogingen tot kaping, en firewall-services die bescherming bieden tegen de belangrijkste bedreigingen voor webapplicaties (de OWASP Top 10). Om de oplossing compleet te maken is ook voorzien in veilig beheer van de internettoegang en single sign-on (SSO) voor (cloud-)applicaties. De keuze voor datacenter-firewalls is traditioneel gebaseerd op selectiecriteria zoals certificering, investeringskosten en de prestatie. Omdat firewalls worden beoordeeld op hun doorvoercapaciteit is het eenvoudig om de investeringskosten af te zetten tegen de maximale omvang van het inkomende verkeer die de firewall kan verwerken. Toch is 'bulkdoorvoer' niet waar het allemaal om draait. Tijdens een gedistribueerde denial-of-service (DDoS)-aanval is het belangrijk hoe de firewall omgaat met gelijktijdige verbindingen en het aantal verbindingen per seconde. Doorvoercapaciteit Een doorsnee conventionele firewall van 37.000 euro biedt gemiddeld een doorvoercapaciteit van 10 Gbps. Dit zou genoeg moeten zijn om een kleine of middelgrote aanval af te slaan. Maar firewalls uit deze categorie kunnen slechts tussen de 1 en 2 miljoen gelijktijdige verbindingen aan. Inmiddels is bekend dat de WikiLeaks-hackers in 2010 met slechts één botnet met het grootste gemak meer dan 2 miljoen gelijktijdige verbindingen wisten te genereren, waardoor firewalls overal in de Verenigde Staten het lieten afweten. Voor een conventionele firewall die een betere prestatie biedt voor gelijktijdige verbindingen (4 tot 10 miljoen verbindingen per seconde), komen de kosten al snel uit op zo’n 75.000 tot 111.000 euro. Hetzelfde geldt voor het aantal verbindingen per seconde. Wanneer een conventionele firewall een stateful inspectie uitvoert, verslechtert de prestatie bij elke tot stand gebrachte TCP-sessie. Veelzijdigheid Een andere beperking van firewalls die op een conventionele architectuur zijn gebaseerd, is het vermogen om het volledige spectrum van geavanceerde aanvallen af te slaan; aanvallen gericht op het volledige netwerk en ecosysteem van applicaties. Oplossingen om deze sterk variërende aanvallen tegen te gaan, worden traditioneel los van elkaar geïmplementeerd, en zijn ontwikkeld op basis van specifieke technologie die bescherming biedt tegen logische groepen aanvallen, zoals applicatie-, netwerk- en DDoS-aanvallen. Deze standalone oplossingen van uiteenlopende leveranciers vergroten echter de beheercomplexiteit en gaan noodzakelijkerwijze gepaard met forse operationele en kapitaalkosten. Door alle beveiligingsdiensten samen tot één linie van ADC’s aan de rand van het datacenter te bundelen, voorkom je dit firewall-probleem. Het belang van deze aanpak wordt duidelijk zodra parallelle firewalls kunnen worden afgeschreven en uit het netwerk worden verwijderd. Hierdoor wordt het aantal apparaten sterk gereduceerd, met behoud van hetzelfde niveau van doorvoercapaciteit, compliance en bescherming tegen aanvallen. Native firewall-services die de netwerklaag beschermen bij een veel hogere verbindingscapaciteit dan traditionele firewalls staan aan de basis van zo’n architectuur. Deze omvangrijke capaciteit maakt het mogelijk om een enorme toevloed van gegevensverkeer af te vangen, en tegelijkertijd de poort- en IP-gebaseerde toegangscontrole te verzorgen die normaliter door een stateful firewall wordt uitgevoerd.Bedrijven onvoldoende beschermd tegen DDoS-aanvallen
Bedrijven staan bloot aan de risico’s van DDoS-aanvallen doordat er onvoldoende kennis in huis is over de aard van de huidige internetgevaren. Ondanks het grote aantal aanvallen blijft kennis bij security-professionals achter. Specialisten in het vakgebied moeten veelal toegeven dat ze onzeker zijn of hun organisatie bestand is tegen de gevaren van DDoS-aanvallen en dat ze de snelheid van de betreffende ontwikkelingen niet meer precies kunnen volgen. Dat blijkt uit onderzoek van F5 Networks. F5 vroeg tijdens Infosecurity Europe 2013 aan geselecteerde security-professionals in hoeverre ze op de hoogte waren van de recente DDoS-aanvallen, meer specifiek de DNS amplificatie-aanvallen. Slechts tien procent gaf aan dat ze helder konden uitleggen hoe een dergelijke aanval werkt, en maar elf procent stelde zeker te zijn dat de organisatie niets zou merken van een aanval in de dagelijkse werkzaamheden. Bescherming moeilijker dan ooit Daartegenover staat een grote groep respondenten (87 procent) die stelt dat het moeilijker dan ooit is om bedrijven te beschermen. Bijna een kwart zoekt de reden hiervoor bij BYOD, gevolgd door de complexiteit van de bedreigingen (twintig procent) en de verandering in daders van traditionele hackers naar mensen die vanuit spionage of politieke motieven handelen (veertien procent). Weinig consistentie in beveiligingsbeleid Het onderzoek wees tevens uit dat de bescherming van applicaties en infrastructuur gevaar loopt door inconsistent beleid. Een grote meerderheid van 83 procent gaf aan dat ze onzeker zijn over de consistentie van beveiligings- en beschikbaarheidsafspraken binnen de IT-infrastructuur. "De recente gebeurtenissen zoals de Spamhaus-aanval zouden een wake-up call moeten zijn voor veel bedrijven, maar veel professionals vinden de vernieuwingen in DDoS-aanvallen blijkbaar lastig te bevatten," aldus Wim Zandee, pre-sales manager North & East EMEA bij F5 Networks. "Traditionele firewalls doen hun werk niet meer, en zeker wanneer applicaties naar de cloud worden gebracht, is het van cruciaal belang om beveiliging anders in te richten. Er moet meer intelligentie in beveiliging worden aangebracht om een organisatie effectief te beschermen." Een versie van dit artikel verscheen eerder op managementonline.nl (24 mei 2013).Policies staan cloud in de weg, niet security
Waarom werk jij niet uit de cloud? Tja, beveiliging he? Security is tegenwoordig zo’n loos begrip geworden, dat het een dooddoener is. Toch even doorvragen waar het echte probleem ligt. Waaruit bestaat de angst voor de cloud? Uit onderzoek blijkt dat de meeste mensen bij public clouds een feitelijke omheining missen en controle. Daarnaast willen IT-beheerders graag bestaande beveiligingsprotocollen toepassen op cloud-omgevingen. En dat kan niet altijd. Je hele beveiligingsinrichting, inclusief processen en policies, is niet zomaar te kopiëren. Combineer dit met matige security-voorzieningen van publieke cloud-diensten, en het is logisch dat men angstig blijft. Het probleem zit met name in die policies. De diversiteit aan soorten beleid en de manier van toepassen zorgt voor onoverzichtelijkheid, en dus angst. Een firewall is een basale beveiligingsmethode, en is binnen verschillende standaarden goed te implementeren, maar de policy-taal zal blijven verschillen. Hierdoor ontstaan gaten in een bedrijfsbescherming. Inconsistente management- en implementatieprocessen voor verschillende omgevingen bieden ruimte voor menselijke fouten of verkeerde configuraties. Men staat voor de taak uiteenlopende tools en services samen te brengen onder een overkoepelende, allesvoorzienende security-strategie. Geen gemakkelijke opgave. Gemeenschappelijke oplossing Leveranciers en providers moeten dan ook gaan werken aan gemeenschappelijke taal en services die continuïteit van policies mogelijk maakt. Hierdoor zijn ze makkelijker na te leven, ongeacht waar data zich bevindt. Of dit nu door standaarden gebeurt of door betere beschikbaarheid van API’s of door bedrijven in staat te stellen security-policies uit het eigen datacenter door te laten voeren in een cloud-omgeving. Het gaat erom een eenduidige oplossing te vinden die de cloud-angst wegneemt.Nieuwsuur- F5 op nationale nieuwszender
Gisteren had F5 Networks zijn 15 seconds of fame tijdens Nieuwsuur. Nieuwsuur behandelde de grote hoeveelheid DDoS-aanvallen van de laatste tijd, en op de achtergrond stond prominent het F5-logo in beeld gedurende het gesprek met hoogleraar Bart Jacobs die advies geeft aan de Nederlandse overheid op het gebied van ICT.Benelux team breidt uit met 3 nieuwe medewerkers
Geert Nobels- België Van Service Provider Account Manager bij F-Secure naar Territory account manager bij F5 Networks Jan-Bart Hilhorst- Nederland Van senior account manager bij Imtech naar Territory account manager bij F5 Networks Andre van Buiten- Nederland Van country sales manager bij Radware naar territory account manager bij F5 Networks
