Blog

Access Cloud Connectivity

Wie kan er bij mijn netwerkverkeer?

14 dec 2015

Deze blogpost is de derde uit een reeks van vier met als doel om bekend te raken met de terminologie en uitdagingen op netwerkgebied binnen en buiten het datacenter.

1. Hoe waait de wind vandaag?
2. Komt mijn verkeer eerder aan dan dat van de concurrentie?
3. Wie kan er bij mijn netwerkverkeer?
4. Datacenter-networking en geld verdienen.

Michael Stolwijk door Michael Stolwijk

De eindgebruiker van vandaag de dag stelt hoge eisen aan toegang tot bedrijfsdata en de flexibiliteit daarin. Bedrijfskritische data moet benaderd kunnen worden met elk apparaat, op elke plaats en op elk tijdstip. Daarnaast moet het ook zo zijn dat de eindgebruiker geen ‘moeilijke’ dingen hoeft te doen, zoals steeds opnieuw inloggen. Tot slot spelen nieuwe wetgevingen rond de privacy van persoonsgegevens een steeds belangrijkere rol (zie ook de blog security by design van mijn collega Jan Lo van Offelen). Het komt er op neer dat het voor IT een nachtmerrie is om beveiliging te garanderen.

U kunt het vergelijken met een huis waarvan alle deuren en ramen open staan, maar waar wel gevraagd wordt om een garantie dat alle spullen op de plaats blijven staan waar ze horen. Daar waar voorheen aan de voordeur gecontroleerd werd wie er binnen mocht komen, is nu een compleet nieuwe benadering nodig.

Beveiliging dient integraal te worden aangepakt. Hoe doe je dat? Dataverkeer tussen applicatie en eindgebruiker loopt over verschillende technologielagen: access, connectivity en datacenter. Security is een integraal onderdeel van al deze drie lagen (of domeinen). Elke laag heeft echter een specifieke aanpak. De aanpak voor elk van deze drie lagen leidt gezamenlijk tot een geïntegreerde security-aanpak.

Access
In de access-laag worden clients verbonden met het netwerk. Dit zijn pc’s, laptops, telefoons en videosystemen. Als ‘Internet of Things’ (IoT) langzaam steeds meer werkelijkheid wordt, breidt deze laag zich uit met allerlei andere apparaten, variërend van horloges tot auto’s. Bij het verlenen van toegang tot het netwerk is van belang wie er toegang tot het bedrijfsnetwerk wil, wat voor apparaat wordt aangesloten en waar en wanneer dat gebeurt. De authenticatie en autorisatie wordt meestal geregeld op basis van username en wachtwoord. Om apparatuur te herkennen worden combinaties gebruikt van captive portals (een login op website), MAC-adressen (hardwarematige herkenning) en machine certificates (elk apparaat krijgt een eigen pasport). Op de access-laag wordt dus bepaald wie er op het netwerk mag en wat deze persoon daar kan doen. Daarnaast dient het netwerk zelf zodanig beveiligd te zijn dat niemand zich als een ander kan voordoen of in verkeersstromen van andere gebruikers kan komen om die af te tappen.

Connectivity
In de connectivity-laag vindt het verkeer zijn weg van de access-laag naar het datacenter. Er zijn twee manieren om dit transport te beveiligen.

  • In geval van transport over internet dient het verkeer versleuteld te worden, zodat kwaadwillenden het niet kunnen lezen of aanpassen. Dit wordt meestal gedaan op basis van SSL,  dat werkt met certificaten.
  • In geval van transport over fibers (glasvezelverbindingen), dat meestal tussen datacenters plaatsvindt, is het van belang dat de data versleuteld wordt. Het meest efficiënt gebeurt dit op de optische laag zelf. Inzet van DWDM-apparatuur (Densed Wave Division Multiplexing) in combinatie met payload-encryptie maakt het mogelijk om verkeer over zowel ethernet als fibre channels veilig te transporteren (zie ook het blog Glasvezel en privacywetgeving, wat hebben die met elkaar te maken? van mijn collega Tom Engels).

Datacenter
Eenmaal in het datacenter aangekomen, vindt het verkeer via snelle netwerkverbindingen een weg naar de betreffende bestemming. Binnen het datacenter liggen enkele beveiligingsuitdagingen:

  • Datacenterverkeer vindt vaak plaats op laag 2, oftewel alles communiceert met elkaar. Dit gebeurt tussen fysieke en virtuele systemen. Om deze aan elkaar te koppelen is een laag 2-switcharchitectuur nodig. Om systemen te scheiden dient verkeer expliciet geblokkeerd te worden. Dit leent zich niet voor grootschalige deployments, omdat dit veel administratie vergt en dus operationele kosten met zich meebrengt.
    Door de opkomst van software defined-technologieën in het datacenter dienen systemen, netwerken en beveiliging centraal gebouwd, bestuurd en ook weer afgebroken te kunnen worden.
  • De nieuwe manier van datacenter-switching is om als uitgangspunt te nemen dat niets met elkaar communiceert tenzij dit expliciet is gedefinieerd. Dit is eigenlijk de meest veilige vorm van connectiviteit. Door systemen op te nemen in groepen met een zelfde securitylevel en tussen deze groepen een relatie te definiëren, wordt onderling verkeer tussen systemen gereguleerd. Zo’n relatie kan een eenvoudige access list zijn, of een (virtuele) firewall. Op deze manier wordt een eenvoudige service chain gebouwd.De nieuwe switching-architectuur moet worden geïntegreerd in automation en orchestration tooling om de stap te maken naar een software defined-datacenter. Hierbij moeten systemen, netwerkcomponenten en beveiligingscomponenten een integraal geheel zijn.

Veilig verkeer
Wilt u dus dat uw verkeer tussen eindgebruiker en datacenter beveiligd is, zorg er dan voor dat beveiliging op alle drie deze lagen goed geregeld is. Om dit goed te doen is het van belang om security in het ontwerp van een infrastructuur mee te nemen. Het is geen losstaand bouwblok, maar is als onderdeel verankerd in elk aspect van een in een ICT-omgeving. Alleen de voordeur op slot werkt simpelweg niet meer.

Geïnteresseerd?

Michael Stolwijk
Neem contact op met onze specialist Michael Stolwijk

Michael Stolwijk is al bijna 26 jaar pre-sales Consultant in de IT en al enige jaren werkzaam bij Telindus. Ongebonden aan een bepaald marktsegment werkt hij binnen een brede en diverse klantenkring. Deze varieert van enterprise klanten tot service providers. Dit maakt dat Michael een duidelijke en heldere visie heeft op de impact van infrastructuren op de business processen van diverse organisaties. Dat ook IP-netwerken een brede diversiteit kennen, blijkt al uit de verschillen tussen enterprise-infrastructuren, waarbij beschikbaarheid en beveiliging van belang zijn, en ISP-infrastructuren, waarbij services en transport differentiatie van belang zijn.

Naast dat Michael één van de eerste CCIE’s is binnen Nederland, was hij ook de eerste Cisco-gecertificeerde mainframespecialist binnen Nederland die mainframekoppelingen op basis van Cisco wist te realiseren naar IP-omgevingen. Vanuit de bovenstaande kennisgebieden is het dan ook niet vreemd om Michael aan te treffen in de snel ontwikkelende wereld van de datacenters, waarbij unified computing, virtualisatie en software defined de nieuwe uitdagingen zijn geworden.

geen reacties
Plaats een reactie