Network security

Voor wat betreft netwerkbeveiliging moet er onderscheid worden gemaakt tussen verschillende onderdelen: de buitengrens van het netwerk, het fysieke netwerk en het draadloze netwerk.

Network perimeter

De dagen van traditionele oplossingen voor de buitengrens, waarbij het doorgaans ging om een firewall, een forward proxy, een reverse proxy en een mailrelay, liggen helaas achter ons. Het valt vandaag de dag niet mee te bepalen wat voor een onderneming überhaupt de buitengrens is. We leven immers meer en meer in een mobiele wereld, waarin iedereen overal en vanaf elk apparaat toegang moet hebben en waar applicaties worden uitgevoerd zowel op locatie als in de cloud.

Volgens ons moeten we twee dingen onderscheiden: inkomende beveiliging die tot doel heeft de toegang tot de hulpbronnen te beschermen, en uitgaande beveiliging waarbij gebruikers en applicaties worden beschermd tegen bijv. het downloaden van malware.

Een beveiligingsgateway van de volgende generatie zal een combinatie zijn van diverse oplossingen, afhankelijk van de daadwerkelijke omgeving van een klant. Het volgende moet daarbij in overweging worden genomen:

 • Bescherming tegen zero-day attacks, advanced persistent threads (APT’s) en malware
 • Hardware van de volgende generatie: grotere doorstroom
 • Geïntegreerde preventie van bedreigingen (IPS, URL, antivirusprogramma, antimalwareprogramma, scannen van inhoud)
 • Gebruikersherkenning
 • Opsporing zonder signatures
 • Virtuele vormfactor ter beveiliging van een gevirtualiseerde serveromgeving
 • Rapportage en beheer
 • Meerlagige DdoS-bescherming
 • Applicatie-identificatie
 • Identiteits- en toegangsbeheer voor een hybride applicatielandschap (zie ook ‘Cloud Security’)
 • Afzonderlijke vereisten voor uitgaande en inkomende beveiliging
 • Integratie tussen verschillende oplossingen (bijv. NAC en Security Gateway)
 • Informatie over bedreigingen (aanvoer van bedreigingen) voor een volledig geïntegreerde oplossing

Als u altijd en overal verbinding wilt hebben, is het zeer aan te bevelen ervoor te zorgen dat u over voldoende vaste en draadloze verbindingen in een campusinfrastructuur beschikt. Binnen de omgeving van de veilige infrastructuur wordt aan deze vereisten voldaan door een verscheidenheid aan passende oplossingen, zoals LAN-switches, datacentrumstructuren, punten voor draadloze toegang en regelaars. Hierbij wordt ervan uitgegaan dat er behoefte is aan connectiviteit op basis van een veilig ontwerp. Op basis van een beginsel voor de bedrijfsbeveiligingsarchitectuur worden de juiste onderdelen en functie geselecteerd.

Secure switching

De behoefte aan een infrastructuur ten behoeve van connectiviteit tussen de client en de applicatie servers is geen nieuw gegeven en bestaat al tientallen jaren. Maar de continue ontwikkelingen tot het leveren van slimmere en efficiëntere oplossingen met toegenomen flexibiliteit, functionaliteit en beheerbaarheid bieden nieuwe mogelijkheden voor de enterprise organisaties.

Ontwikkelingen en behoeften zoals Power over Ethernet (POE+), “nieuwe stijl” hoog beschikbaarheid (no spanning tree), stapeling van bandbreedte (Aggregated Links), identity aware access (802.1x), programmeerbare systemen (SDN), schaalbaar, vereenvoudiging operationeel beheer e.d. vragen een regelmatige vernieuwing van de LAN en datacenter infrastructuur. Met name in het datacenter zien we de invoering van netwerk virtualisatie ten behoeve van een Software Defined Data Center (SDDC) architectuur.

Omdat security steeds meer in het LAN en veelal op Laag2 geïntegreerd wordt, is het van groot belang om naast connectiviteit goed te kijken naar functionaliteit om de veiligheid en beschikbaarheid te garanderen (DHCP spoofing, dynamische ARP inspectie, Private VLANs, IP source guard, Rate Limiting, Storm Control, etc.).

Kenmerken

 • Lager stroomverbruik
 • Meer bandbreedte/capaciteit
 • Single Operating System
 • Uitfaseren spanning tree
 • Non-overbooked design
 • Hoog beschikbaar in een Active/Active setup
 • Security geïntegreerd
 • Netwerk virtualisatie
 • Programmeerbaarheid (puppet, openflow)
 • Integratie voice/data op enkel interfaces en eventueel beide “tagged”
 • Lagere TCO

Wireless Security

Wireless is inmiddels vrijwel overal aanwezig binnen de enterprise architecturen. Echter over hoe en voor welke doelgroep wireless wordt aangeboden is vaak minder evident.

De afgelopen jaren zijn er behoorlijk veel ontwikkelingen geweest en nog gaande op het gebied van de accesspoints; meerder radio’s, nieuwe technieken zoals 802.11ac, slimme functies ten behoeve van roaming en radio management. Aansturing en verkeersafhandeling (inclusief security) via centrale controller, of via een controller-loos design.

De realisatie van een draadloze infrastructuur lijkt eenvoudig, maar in de praktijk leert dat er naast de keuze voor de juiste vendor veel ervaring en expertise bij komt kijken om een goede wireless architectuur te kunnen realiseren. Een uitgekiend dekkingsplan, mate van hoog beschikbaarheid, de juiste capaciteit (in bandbreedte en aantal gebruikers) en functionaliteit zijn zo een aantal voorwaarden om veilig wireless aan te beden in een enterprise omgeving. Uiteraard met user authenticatie voor zowel gasten als ook eigen medewerkers op BYOD en corporate devices alvorens gecontroleerde toegang tot internet of business applicaties toe te staan.

Wij werken met een wireless vendor die alle producten vanuit een security aspect ontwikkelt en in de markt zet.

Kenmerken

 • Meer bandbreedte per gebruiker
 • Geauthentiseerde toegang
 • Centrale controllers of controller-less
 • Grotere wireless dekking
 • Toepassing nieuwe wireless standaarden
 • Schaalbaar en hoog beschikbaar concept
 • Geïntegreerde Security
 • Location based services
 • Classificatie voor users en device context
 • Integratie voice/data
 • Wireless as a service (WAAS)

Virtualisatie uit zich op verschillende niveaus. Tot voor kort was dit alleen gebruikelijk op serverniveau. Momenteel wordt het echter vaak gebruikt op endpointniveau en in het datacentrum. Bij die endpoints zijn er steeds meer virtuele desktopinitiatieven. Bij het datacentrum worden Software Defined Networking (SDN) en Software Defined Data Centers (SDDC) aangepast. De reden achter deze trend is de flexibiliteit en beweeglijkheid van de omgeving. Het doel is een volledige infrastructurele stapeling die kan worden ingezet door één persoon. Het is dan niet langer nodig te wachten totdat diverse afdelingen hun afzonderlijke onderdelen hebben ingezet. Duidelijke voorbeelden van dergelijke omgevingen, die zijn voortgekomen uit het concept van SDDC, zijn Amazon en Azure. Dezelfde concepten worden steeds gangbaarder bij grotere ondernemingen.

Iets dat voor ons heel belangrijk is, is de optie van extra beveiliging. Dankzij het concept van service chaining en microsegmentatie is het mogelijk specifieke verkeersstromen om te leiden via speciale beveiligde apparaten, zelfs als het verkeer plaatsvindt tussen twee apparaten op hetzelfde Layer 2-subnetwerk.

De behoefte aan opslag blijft toenemen. Een flexibele en schaalbare oplossing is een absolute vereiste. Daarbij gaat het om schaalbaarheid zowel in termen van capaciteit als prestaties. Prestaties worden doorgaans uitgedrukt in hoeveelheden IOPS (Inputs/outputs per seconde). Redundantie is eveneens van zeer groot belang. Ondernemingen kunnen het zich niet permitteren gegevens te verliezen. Er zijn meerdere opties om te zorgen voor redundantie, variërend van redundante disks tot volledig redundante systemen, die verspreid worden over meerdere locaties. Het is aan de consultants van SecureLink om voor de klant de beste architectuur te ontwerpen, uitgaande van diens individuele behoeften

Back-up is eveneens nauw verbonden aan opslag. Back-ups worden steeds vaker buiten het eigen bedrijf opgeslagen: op uw eigen infrastructuur of zelfs in de cloud. De uitdaging is om te beschikken over een flexibele oplossing die garant staat voor een snel herstel indien dat nodig is. Typische back-ups maken deel uit van een scenario voor disaster recovery en moeten met zorg worden overwogen.

Meer weten over network security?