Uw next-generation firewall ten volle benutten



Vergelijkbare documenten
De financiële impact van BYOD

Asset 1 van 5. Consumerisation of IT vraagt andere aanpak beheer. Gepubliceerd op 1 march 2014

Whitepaper Integratie Videoconferentie. Integreer bestaande UC oplossingen met Skype for Business

MEER CONTROLE, MEER BEVEILIGING. Business Suite

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment

F-Secure Anti-Virus for Mac 2015

Online Samenwerken. Online Samenwerken

10 gave dingen die je firewall moet doen. Een firewall die bedreigingen tegenhoudt is slechts het begin...

Worry Free Business Security 7

Mobiel werken, online en offline. Patrick Dalle

Windows Server 2008 helpt museum met het veilig delen van informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Datadiefstal: Gone in 60 Seconds!

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Dienstbeschrijving Zakelijk Veilig Werken

Geef uw onderneming vleugels. Met de soepele werkprocessen

BEST PRACTICES MOBILE DEVICE MANAGEMENT EN MOBILE SECURITY.

MobileXpress. Beveiligde Virtuele Toegang via BT

Zie Hallo. De toekomst is aangebroken met Cisco TelePresence.

Hoofdstuk 1: Aan de slag...3

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

STORAGE AUTOMATION IT MANAGEMENT & OPTIMIZATION DATAGROEI DE BAAS MET EXTREEM BEHEERGEMAK DOOR AUTOMATISERING EN VIRTUALISATIE

7 manieren voor sneller, efficiënter en veiliger communiceren

SpicyLemon Beveiligingsonderzoek

Internet of Everything (IoE) Top 10 inzichten uit de Value at Stake-analyse (Analyse potentiële waarde) van IoE voor de publieke sector door Cisco

Case 4 Consultancy. 28 April F.J.H. Bastiaansen. D.A.J. van Boeckholtz. Minor Online Marketing

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security

Productiviteit voor de onderneming

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

MEER VEILIGHEID, MINDER FRICTIE. Vijf belangrijke feiten over digitale werkplekken in een onveilige wereld

mijn zaak poweredbycisco. innovatie. powered by

MANAGED FIREWALL VAN STATISCH SYSTEEM TOT INTELLIGENTE WAAKHOND Versie: Aantal pagina s: 11

Office 365. Auteur: Roy Scholten Datum: 9/11/2015 Versie: 1.3 OPENICT B.V.

Volledige samenwerking voor middelgrote bedrijven

Privacybeleid ten aanzien van Norton Community Watch

e-token Authenticatie

Webbeveiliging: beveilig uw gegevens in de cloud

Mocht u opmerkingen of suggesties hebben over deze informatie, stuurt u dan een naar

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

MAXPRO. Cloud IN DE CLOUD GEHOSTE VIDEOSERVICES OM UW BEDRIJF TE BESCHERMEN. Video altijd en overal

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

De Security System Integrator Het wapen tegen onbekende dreigingen

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven

Secured Internet Gateway. Ontdek onze nieuwe op applicaties gerichte beveiligingsoplossingen

U kunt dit pakkket aanvragen via

Versnel de acceptatie van communicatiehulpmiddelen met de kracht van spraak.

DE KRACHT VAN EENVOUD. Business Suite

Windows 10 Privacy instellingen

Moderne vormen van samenwerken Maarten Groeneveld

Plugwise binnen de zakelijke omgeving

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Office 365. Overstappen of niet?

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Alfresco Document Management

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Security in het MKB: Windows 10

EXB 360 MOBILE App. Bevorder betrokkenheid. Veel onderdelen; veel mogelijk

Is uw school klaar voor de toekomst? Zo slaagt uw instelling voor de BYOD-test

Let op! In dit PDF-bestand wordt voor de voorbeelden gebruikgemaakt van de Instant Messaging-software Windows Live Messenger.

Handleiding voor snelle installatie

Veelgestelde vragen van Partners WorkloadIQ Veelgestelde vragen 17 augustus 2010

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

Gebruikershandleiding MobiDM

Microsoft stop met de ondersteuning van Windows XP

Dienstbeschrijving Cloud. Een dienst van KPN ÉÉN

Don Bosco Onderwijscentrum VZW voor: Don Bosco Halle Technisch Instituut / Centrum Leren & Werken

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

DICENTIS Conference System

1. Uw tablet beveiligen

vzw Onderwijsinrichting van de Ursulinen te Onze-Lieve-Vrouw-Waver

Mobiel Internet Veiligheidspakket

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT

Probeer nu GRATIS. Start met het uitzenden van uw Narrowcasting boodschap

THE BIG CHALLENGE VAN DE KLANT DIE OP UW WEBSITE ZIT

Het Office 365 portfolio van Copaco Nederland

Office 2010 en SharePoint 2010: bedrijfsproductiviteit op zijn best. Praktische informatie

Dienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure. Een dienst van KPN ÉÉN

De Nieuwe Generatie Dealer Management Oplossing. Ontworpen om u te helpen groeien.

Bring it Secure. Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper

Evernote kan heel veel verschillende type bestanden opslaan. - gewone tekst - foto s - pdf s - websites (via Evernote webclipper

Het Nieuwe Werken in de praktijk

HOE RANSOMWARE JOUW ORGANISATIE KAN GIJZELEN. Ransomware aanvallen en hoe deze worden uitgevoerd

Privacybeleid. Welke informatie kunnen wij van u vragen/verzamelen? Wat doet Sendtrix met deze informatie?

SIMPLYSO MAKES USERS LOVE OFFICE 365

de ultieme hoge beveiligingsbehoefte

ONE Solutions. Your tailored mix of ICT solutions. Brought to you as ONE.

Kenmerken Nomadesk Software

Veilig werken in de cloud voor de zorg

Word een mobiele onderneming

Mobile Device Management Ger Lütter, adviseur IBD

Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen

7x Managers in de cloud

Video Conferencing anno 2012

IN ÉÉN KLIK UW MOBIELE GEGEVENS BEVEILIGD

De cloud die gebouwd is voor uw onderneming.

Transcriptie:

Whitepaper Uw next-generation firewall ten volle benutten Uitgebreide zichtbaarheid van het netwerk en beter beheer vergroten de efficiëntie van uw bedrijf en maken bedrijfsgroei mogelijk met maximale beveiliging. Zakelijke uitdagingen: Naleving van richtlijnen Diepgaand inzicht en beheer bieden Bedrijfsbehoeften ondersteunen en tegelijk risicovol gedrag beperken Gepast gebruik van persoonlijke apparaten autoriseren Beschermen tegen internetbedreigingen Veilig gebruik van versleuteling ondersteunen Balans vinden tussen beveiligings- en prestatievereisten Taak van next-generation firewall: Deterministische, stateful inspection uitvoeren (Micro)toepassingen identificeren en beheren, ongeacht welke poorten en protocollen worden gebruikt Gebruikers identificeren via passieve en actieve verificatiemethoden Specifiek gedrag binnen toegestane microtoepassingen identificeren en beheren Legitiem internetgebruik ondersteunen en ongewenste webcategorieën blokkeren Gedifferentieerde toegang tot een breed scala aan mobiele apparaten ondersteunen Websites en online toepassingen beheren op basis van een dynamische reputatieanalyse Bescherming bieden tegen zero-day bedreigingen in NRT (near real-time) Versleuteld verkeer decoderen en inspecteren op basis van beleidsregels Prestaties garanderen wanneer meerdere beveiligingsservices zijn ingeschakeld Netwerkbeheerders hebben tegenwoordig met de meest diepgaande veranderingen in de geschiedenis te maken bij het zoeken naar een balans tussen beveiliging en productiviteit. Door de snel veranderende bedrijfstrends worden ze voor de uitdaging gesteld om breed beschikbare maar veilige internettoegang te bieden, zodat werknemers legitieme bedrijfstoepassingen kunnen gebruiken op het apparaat van hun keuze. De huidige toepassingen zijn zeer dynamisch en veelzijdig geworden, waardoor de grens vervaagt tussen legitieme bedrijfstoepassingen en toepassingen die tijdsverspilling met zich meebrengen en het bedrijf in toenemende mate blootstellen aan internetbedreigingen. In het verleden was het redelijk duidelijk wat acceptabel gebruik inhield, maar sociale media, het delen van bestanden en internetcommunicatie kunnen nu zowel voor bedrijfsdoeleinden als voor strikt persoonlijk gebruik worden ingezet. Deze toepassingen worden nu breed gebruikt in alle lagen van een organisatie. Het feit dat werknemers steeds mobieler worden, maakt de situatie nog gecompliceerder: gebruikers moeten overal en op elk moment toegang kunnen krijgen tot het netwerk via verschillende mobiele bedrijfs- en privéapparaten. Dit heeft ertoe geleid dat bedrijven van uiteenlopende grootte het BYOD-beleid (Bring Your Own Device) hebben geïntroduceerd om de productiviteit en tevredenheid van hun werknemers te vergroten. Netwerkbeheerders worden door deze en andere bedrijfstrends geconfronteerd met serieuze uitdagingen: zij moeten zowel het beleid voor acceptabel gebruik ter bescherming van het netwerk implementeren als de flexibiliteit garanderen om het productiviteitsniveau te behalen en te handhaven dat nodig is om bedrijfsgroei te stimuleren. Een nieuwe beveiligingsaanpak is vereist, zonder de beproefde methoden op te offeren, om netwerkzichtbaarheid en -beheer te verbeteren, bedrijfsinnovatie te versnellen en proactief bescherming te bieden tegen nieuwe en opkomende bedreigingen. Beheerders hoeven de huidige Stateful Inspection Firewall niet op te geven, maar moeten deze beproefde beveiligingsmethode aanvullen met extra netwerkgebaseerde beveiligingscontroles voor end-to-end netwerkintelligentie en gestroomlijnde beveiligingsactiviteiten. 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 1 van 6

Uitdagingen voor het bedrijf Zoals eerder aangegeven, worden toepassingen voor sociale media, voor het delen van bestanden en voor internetcommunicatie die voorheen op bedrijfsnetwerken verboden waren nu beschouwd als legitieme, efficiënte en kosteneffectieve methoden om klanten en partners wereldwijd te bereiken. Volgens het Cisco Annual Security Report van 2013 heeft 22% van alle webverzoeken op het werk betrekking op het bekijken van online video s; nog eens 20% betreft bezoeken aan sociale netwerksites. Als gevolg hiervan worden sociale media en online video door alle mogelijke organisaties geïntroduceerd. De meeste grote merken hebben een eigen Facebook- en Twitteraccount en vele integreren sociale media in hun daadwerkelijke producten. Terwijl voorheen toegang tot het netwerk werd beperkt tot apparaten die eigendom waren en beheerd werden door de IT-afdeling, kan nu een brede reeks persoonlijke apparaten ook beveiligde toegang verkrijgen. Naast de voordelen op het gebied van bedrijfsproductiviteit, leiden deze netwerktrends ook tot nieuwe beveiligingsrisico s. Hierdoor vormen het implementeren van beleid voor acceptabel gebruik, het beheren van toepassingen die het beleid omzeilen, het autoriseren van privéapparaten en de bescherming tegen internetbedreigingen momenteel de belangrijkste uitdagingen voor organisaties. Beleid voor acceptabel gebruik handhaven Twee van de belangrijkste zakelijke kwesties die door organisaties moeten worden aangepakt, hebben te maken met de handhaving van beleid voor acceptabel gebruik. Ten eerste is robuuste, op content gebaseerde URLfiltering vereist om aanstootgevende, ongepaste en mogelijk illegale websites te blokkeren, zoals websites die gewelddadig, racistisch materiaal of materiaal voor volwassenen bevatten, websites die de productiviteit verlagen of ongekend veel bandbreedte opeisen, zoals YouTube, en websites die de naleving van wetgeving door bedrijven in gevaar brengen, zoals BitTorrent en edonkey. Bovendien is diepgaande technische toepassingsinspectie vereist om bekende, kwaadaardige software te blokkeren, zoals proxy anonymizers (software voor anoniem surfen), die door werknemers kunnen worden gebruikt om IT-controles te omzeilen. De implementatie van een beleid ten aanzien van acceptabel gebruik wordt verder gecompliceerd door toepassingen zoals Facebook, Twitter, LinkedIn en Skype. Deze toepassingen hebben zich ontwikkeld tot legitieme bedrijfstoepassingen, maar vele organisaties verzetten zich tegen toelating op het netwerk omdat het gebruik ervan kan leiden tot wijdverspreid misbruik van bandbreedte en verminderde productiviteit van werknemers. Toepassingen beheren die het beleid omzeilen Gerelateerd aan deze uitdaging is het verkrijgen van zichtbaarheid op, en de controle over, toepassingen zoals Skype en BitTorrent die gebruikmaken van verschillende poorten en protocollen. Aangezien deze toepassingen trachten op enige manier toegang te verkrijgen, ongeacht wat er met het netwerk gebeurt, vormen zij unieke uitdagingen voor beheerders die het gebruik van dergelijke toepassingen proberen te blokkeren. Beheerders kunnen tientallen beleidsregels opstellen die slechts één van deze toepassingen blokkeert en ze toch niet adequaat onder controle houden. Persoonlijke apparaten autoriseren Volgens het Cisco Annual Security Report van 2011 is 81% van de ondervraagde studenten van mening dat zij zelf moeten kunnen bepalen welke apparaten zij nodig hebben om hun taken uit te voeren. 77% van de ondervraagde werknemers wereldwijd gebruikt meerdere apparaten om toegang te verkrijgen tot het bedrijfsnetwerk. Meer dan eenderde van hen gebruikt ten minste drie apparaten voor hun werk. Volgens het Global IBSG Horizons Report van Cisco van 2012 meldt 84% van de IT-managers dat IT binnen hun bedrijf steeds meer op de consument is gericht. Het Cisco Annual Security Report van 2013 staaft deze bevindingen: alleen al de afgelopen twee jaar is er bij Cisco sprake van een toename van 79% in het aantal mobiele apparaten dat door medewerkers wordt gebruikt. Het merendeel hiervan betreft bovendien BYOD. 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 2 van 6

Deze trends hebben ertoe geleid dat BYOD voor de meeste organisaties een prioriteit is geworden: mobiliteitsinitiatieven zullen naar verwachting 23% van IT-budgetten uitmaken in 2014 (in vergelijking met 18% in 2012). Hoewel slechts enkele jaren geleden een organisatie alleen hoefde te bepalen wie toegang moest hebben tot het netwerk en tot vertrouwelijke bedrijfsgegevens, heeft BYOD nieuwe lagen van complexiteit aan die besluitvorming toegevoegd. Organisaties moeten nu bepalen of werknemers die toegang hebben tot dergelijke gegevens alleen toegang mogen krijgen via apparaten die eigendom zijn van en beheerd worden door het bedrijf of dat ook persoonlijke apparaten mogen worden gebruikt. Als het gebruik van persoonlijke apparaten acceptabel is, zijn dan alle apparaten toegestaan of alleen specifieke? Moeten werknemers zich binnen de bedrijfs-lan bevinden of bieden externe VPN-verbindingen ook het juiste beveiligingsniveau? Bescherming tegen internetbedreigingen Internetbedreigingen vormen ook een probleem voor zowel grote als kleine organisaties. Hoewel zaken als het delen van bestanden en het gebruik van sociale media een positief effect hebben gehad op de productiviteit van werknemers, kennen ze ook duidelijke risico s: ze kunnen worden misbruikt door hackers en andere auteurs van kwaadaardige software om onbevoegde toegang te verkrijgen tot het netwerk of malware te verspreiden. Toepassingen voor extern beheer, zoals TeamViewer en PC Anywhere, kunnen de productiviteit van individuele werknemers en van teams enorm vergroten, maar makers van malware kunnen zwakke plekken in die toepassingen misbruiken om de controle over het netwerk over te nemen. Bovendien kan het gebruik van toepassingen voor het delen van bestanden, zoals Dropbox en icloud, ertoe leiden dat vertrouwelijke bedrijfsgegevens naar de cloud worden geüpload, waar de organisatie geen zeggenschap meer heeft over de verspreiding ervan. Malware kan zich ook voordoen als bekende toepassingen die worden uitgevoerd via open poorten. Het kan worden geïntegreerd in legitieme toepassingen waarin zwakke plekken zijn gevonden en malware kan worden geïnstalleerd als een drive-by download via frauduleuze websites, of zelfs via legitieme websites die zijn geïnfecteerd. Sociale technieken die zijn gericht op gebruikers van sociale media zijn ook effectief gebleken: dergelijke toepassingen hebben ertoe geleid dat werknemers het heel normaal vinden om te klikken op e- mailkoppelingen en content te downloaden van onbekende websites, ongeacht alle waarschuwingen van de ITafdeling om van dergelijk gedrag af te zien. Een proactieve, uitgebreide aanpak van netwerkbeveiliging is vereist Leiders van ondernemingen onderkennen dat flexibiliteit essentieel is bij het maximaliseren van de productiviteit. Maar hoe kunnen zij profiteren van de productiviteit en kostenbesparingen die worden geboden door zakelijke en technologische trends, en zich tegelijkertijd beschermen tegen de beveiligingsproblemen die dergelijke trends veroorzaken? Het antwoord zit in het feit dat een organisatie de zichtbaarheid op het netwerkverkeer kan vergroten via volledig contextbewustzijn. Wanneer beheerders de details van het netwerkverkeer duidelijk kunnen zien, kunnen zij goed gefundeerde beslissingen nemen. Zichtbaarheid van toepassingen en gebruikers-id s is waardevol, maar biedt echter niet het volledige contextbewustzijn dat is vereist om nieuwe toepassingen, apparaten en business cases op een veilige manier toe te staan. Volledig contextbewustzijn omvat ook enterpriseklasse URL-filtering, dynamische webreputatie, apparaatbewustzijn en kennis van de locatie van de gebruiker en het apparaat. Zichtbaarheid en beheer van toepassingen Zoals eerder aangegeven, is toepassingsbewustzijn een kernvereiste voor elke next-generation firewall. Het is echter van essentieel belang dat de firewall meer herkent dan alleen de toepassingen: de microtoepassingen die een toepassing vormen moeten ook kunnen worden herkend en eventueel worden geblokkeerd. Dit is met name van belang bij toepassingen voor sociale media, zoals Facebook en LinkedIn. Wanneer deze toepassingen worden herkend, kan alleen de gehele toepassing worden geblokkeerd of toegestaan. Een organisatie kan bijvoorbeeld toegang tot Facebook willen bieden zodat verkoop- en marketingmedewerkers berichten kunnen posten op de Facebook-pagina van het bedrijf en kunnen communiceren met klanten en partners, maar toegang tot Facebook Games willen weigeren. Wanneer elke microtoepassing afzonderlijk wordt herkend, kunnen beheerders aan elk ervan andere toegangsrechten toekennen. 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 3 van 6

Door specifieke functies binnen deze microtoepassingen te herkennen, kan de firewall beheerders nog gedetailleerder beheer bieden. De specifieke functies binnen de microtoepassing Facebook-berichten en chat zijn bijvoorbeeld bijlage uploaden, bijlage downloaden en videochat. Hoewel de meeste van deze functies zouden kunnen worden beschouwd als gepaste zakelijke activiteiten, zullen de functies bijlage downloaden door beveiligingsmedewerkers worden gezien als risicovol. Door gebruik te maken van een firewall die specifieke functies binnen een microtoepassing kan herkennen, kunnen beheerders Facebook-berichten en chat toestaan, maar de functie bijlage downloaden blokkeren. Toepassingen die het toegangsbeleid proberen te omzeilen, zoals Skype, kunnen ook effectief worden beheerd wanneer de firewall alle poorten en protocollen kan bewaken en beleidsdefinitie uitsluitend wordt gebaseerd op identificatie van de toepassing zelf. Aangezien toepassingen zoals Skype altijd dezelfde toepassings-id hebben, ongeacht welke poort of welk protocol zij gebruiken om het netwerk te verlaten, kan het toevoegen van een beleid tot het blokkeren van Skype effectievere handhaving bewerkstelligen met minder beleidsregels in vergelijking met het schrijven van tientallen beleidsregels voor de stateful firewall om elke mogelijke combinatie te blokkeren. Dit bespaart beheerders tijd bij de initiële ontwikkeling en het doorlopende beheer van de beleidsregels, wat weer leidt tot operationele efficiëntie. Door te beheren wie toegang heeft tot toepassingen voor het delen van bestanden en door te kunnen bepalen welke toepassingsfuncties mogen worden gebruikt, kunnen beheerders de kritieke gegevens van het bedrijf beschermen en tegelijkertijd werknemers toestaan gebruik te maken van krachtige zakelijke tools. Geavanceerde gebruikersidentificatie Gebruikersbewustzijn is een andere kerncomponent van elke next-generation firewall. De meeste firewalls bieden passieve verificatie via een bedrijfsadreslijst, zoals Active Directory (AD). Hierdoor kunnen beheerders beleidsregels toepassen op basis van de ID van een gebruiker of van de groep(en) waar deze deel van uitmaakt. Hoewel deze identificatie op zich relatief weinig waarde biedt, kunnen beheerders deze combineren met toepassingsbewuste functionaliteit om gedifferentieerde toegang tot bepaalde toepassingen mogelijk te maken. Verkoop- en marketingmedewerkers hebben bijvoorbeeld mogelijk een goede zakelijke reden om toegang te verkrijgen tot sociale media, maar werknemers van de financiële afdeling hebben die niet. Naast passieve verificatie ondersteunen sommige next-generation firewalls tevens actieve verificatie voor bedrijfsdoeleinden die krachtigere beveiligingsmaatregelen vereisen. Passieve verificatie steunt op een eenvoudige opzoekactie in de adreslijstservice, waarbij erop wordt vertrouwd dat de gebruiker correct wordt geïdentificeerd aan de hand van de toewijzing gebruikersnaam/ip-adres. Bij actieve verificatie is een extra beveiligingslaag vereist, gebruikmakend van mechanismen zoals Kerberos en NT LAN Manager (NTLM). Hierbij wordt een verzoek verzonden naar de browser, die vervolgens een naadloze respons stuurt op basis van de aanmeldingsgegevens van de gebruiker, of de gebruiker wordt geconfronteerd met een autorisatieverzoek. In beide gevallen verifieert de beveiligingsbeheerder de gebruiker in plaats van uitsluitend te vertrouwen op de toewijzing gebruikersnaam/ip-adres. Dit is van belang voor organisaties die toegang moeten bieden tot vertrouwelijke informatie, zoals creditcardgegevens of een database met gezondheidsinformatie. Apparaatbewustzijn Organisaties die BYOD in hun bedrijfsvoering hebben geïntegreerd, moeten een balans zien te vinden tussen productiviteit en beveiliging. Dit vereist gedetailleerd inzicht in de specifieke apparaten die toegang trachten te verkrijgen tot het netwerk, zodat beheerders gedifferentieerde beleidsregels kunnen toepassen op basis van elk gebruikt apparaat. Een organisatie kan bijvoorbeeld besluiten iphone 4-apparaten toegang te bieden tot de meeste netwerkbronnen, maar geen, of slechts beperkte, toegang aan eerdere versies van iphone. Of men kan besluiten toegang te bieden aan een iphone 4, maar niet aan een iphone 4S. De organisatie kan bijvoorbeeld ook toegang bieden aan Windows-pc s maar niet aan Macs. Als de firewall locatiebewustzijn ondersteunt, kunnen verschillende beleidsregels worden toegepast op basis van het feit of het apparaat zich binnen het LAN bevindt of dat de gebruiker zich met het apparaat op afstand aanmeldt. 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 4 van 6

Webbeveiliging URL- en webfiltering maken toegang mogelijk tot geschikte toepassingen en content, terwijl tegelijkertijd wordt voorkomen dat het gebruik daarvan de risico s vergroot, de productiviteit verlaagt of tot het verlies van vertrouwelijke informatie leidt. De meeste webbeveiligingsapparaten bieden webfiltering op basis van brede categorieën, alsmede de mogelijkheid specifieke websites op een witte en een zwarte lijst te zetten. Vele leveranciers zullen op het apparaat zelf ook een database opnemen van bekende schadelijke URL s. Gezien de dynamische aard van internet zijn deze opties echter onvoldoende. Volgens de non-profit organisatie stopbadware.org leveren meer dan één miljoen websites momenteel malware en andere software die activiteiten uitvoeren zonder toestemming van de gebruiker (ook wel greyware genoemd). Aangezien wekelijks duizenden nieuwe URL s aan de lijst worden toegevoegd, kan webbeveiliging op basis van een statische lijst nooit alle veranderingen bijhouden. Naast deze mogelijkheden vereisen organisaties URL-filtering die continu wordt bijgewerkt voor near real-time bescherming tegen de almaar evoluerende bedreigingen. De firewall moet bovendien malware kunnen identificeren en stoppen die zich voordoet als een bekende toepassing die wordt uitgevoerd via open poorten, zonder dat de zakelijke waarde van legitieme bedrijfstools die van die poorten gebruikmaken wordt beperkt. Deze mogelijkheid kan verder worden versterkt door gebruik te maken van werldwijd data- en toepassingsverkeer voor het verkrijgen van near real-time informatie, inclusief reputatie-analyse gebaseerd op het gedrag van een specifieke site of webtoepassing. Wanneer een provider verkeer ontvangt van een groot aantal bronnen wereldwijd en frequent genoeg updates biedt, kunnen de wereldwijde gegevens de organisatie ook helpen beschermen tegen zero-day bedreigingen. Om dit mogelijk te maken zonder de beveiliging in gevaar te brengen, hebben sommige IT-organisaties hun stateful-firewallproducten vervangen door producten die extra niveaus van zichtbaarheid toevoegen, waardoor superieur beheer mogelijk wordt. Hoewel extra zichtbaarheid zelden als iets negatiefs wordt beschouwd, brengen de meeste next-generation firewalls compromissen met zich mee die beheerders en leidinggevenden moeten onderkennen voordat zij tot aankoop overgaan. Beperkte zichtbaarheid: een halve oplossing van het probleem Er is geen twijfel aan dat extra zichtbaarheid in het netwerkverkeer enorme beveiligingsvoordelen biedt. Dankzij verbeterde zichtbaarheid van het netwerkgebruik kunnen beheerders gedetailleerdere beleidsregels ontwikkelen en implementeren voor superieure beveiliging van bedrijfsmiddelen. Daarom vormen de mogelijkheid voor toepassingsbewustzijn en gebruikers-id-bewustzijn de kern van next-generation firewalls. Bij vele next-generation firewalls ligt de focus van de gehele oplossing uitsluitend op die twee elementen, met uitsluiting van alle andere. Natuurlijk is enig inzicht beter dan helemaal geen, maar zoals eerder aangegeven gebeurt er zoveel in een typisch bedrijfsnetwerk dat alleen toepassingsbewustzijn en gebruikers-id-bewustzijn onvoldoende zijn om voldoende inzicht te bieden in het netwerkverkeer om gefundeerde beveiligingsbeslissingen te kunnen nemen. Naast deze mogelijkheden moeten beheerders met een uitgebreide beveiligingsoplossing specifiek gedrag binnen toegestane microtoepassingen kunnen beheren, het gebruik van internet en van webtoepassingen kunnen beperken op basis van de reputatie van een website, proactief kunnen beschermen tegen internetbedreigingen en gedifferentieerde beleidsregels kunnen implementeren op basis van gebruiker, apparaat, rol en type toepassing. Het beste van twee werelden Ondanks de vele voordelen van een next-generation firewall zijn er ook enkele nadelen die moeten worden overwogen. Leiders van ondernemingen moeten hun opties dan ook grondig evalueren voordat zij tot aankoop overgaan. Vele leveranciers van next- generation firewalls dwingen klanten om hun bestaande firewalls en het bijbehorende beveiligingsbeleid achter zich te laten, zodat zij een nieuwe start kunnen maken met nieuwe beleidsregels ten aanzien van beveiliging die speciaal zijn opgesteld voor het next-generation firewallplatform. Deze vervanging is noodzakelijk omdat de meeste next-generation firewalls fundamenteel verschillen van bestaande klassieke of stateful firewalls en op een geheel andere computinglaag werken. 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 5 van 6

Stateful firewalls werken op de netwerk- en transportlagen van de computingarchitectuur; next-generation firewalls werken op het niveau van de toepassingslaag. De bestaande firewallbeleidsregels van de organisatie zijn nutteloos in het nieuwe paradigma en moeten dan ook volledig worden herschreven. Dat is geen eenvoudige taak die snel kan worden geklaard, de meeste organisaties hebben duizenden beleidsregels en grote organisaties kunnen er wel tienduizenden hebben. Het herschrijven kan maanden in beslag nemen en een aanzienlijk deel van het budget verbruiken. Bovendien vereist beveiliging op toepassingsniveau een diepgaandere inspectie, waardoor de prestaties van het netwerk kunnen afnemen. Wanneer een Stateful Inspection Firewall wordt vervangen door een firewall die exclusief is ontwikkeld voor de toepassingslaag, kan de naleving door het bedrijf van branchevoorschriften in gevaar komen: vele regelgevende instanties benadrukken specifiek de noodzaak van stateful inspection. Aangezien firewall-beleid op basis van toepassing en gebruikers-id niet-deterministisch is, loopt een organisatie die uitsluitend vertrouwt op een nextgeneration firewall het gevaar van een negatieve audit. Sommige leveranciers van firewalls bieden echter een hybride aanpak, waarbij de mogelijkheden van stateful en next-generation firewalls worden gecombineerd. Aangezien deze firewalls zowel stateful als next-generation mogelijkheden ondersteunen, kunnen organisaties hun bestaande beleidsregels blijven gebruiken terwijl ze nextgeneration regels opstellen. Zij hoeven niet de oude firewall op te geven en kunnen oude beleidsregels geleidelijk vervangen, overeenkomstig hun beveiligingsbehoeften. Bovendien is niet voor alle verkeer de diepgaande inspectie nodig die door next-generation firewalls wordt uitgevoerd. Het hybride model stelt organisaties dan ook in staat hun netwerkprestaties op hoog niveau te houden door alleen diepgaande inspectie uit te voeren op verkeer en gebruik waar dat nodig is. Op die manier bewerkstelligen organisaties een superieur beveiligingsniveau, gecombineerd met maximale bedrijfsflexibiliteit. Conclusie Trends zoals BYOD en het gebruik van sociale media en andere greyware als legitieme bedrijfstools hebben een enorme impact gehad op zowel grote als kleine bedrijven. Next-generation firewalls die echter alleen toepassingsbewustzijn en gebruikers-id-bewustzijn bieden, leveren niet het vereiste niveau van netwerkzichtbaarheid om veilig gebruik te garanderen. Door in plaats daarvan te kijken naar de volledige context van het netwerkverkeer, kunnen beheerders beveiliging toepassen op basis van een hoog niveau van netwerkzichtbaarheid en -intelligentie. Door een firewall te gebruiken die stateful mogelijkheden combineert met volledig contextbewustzijn, wordt een balans bereikt tussen het hoge netwerkbeveiligingsniveau dat deze nieuwe business cases vereisen, en de flexibiliteit die nodig is om de zakelijke slagvaardigheid te optimaliseren. Gedrukt in de Verenigde Staten C11-726002-00 02/13 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco. Pagina 6 van 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback