Tien onmisbare functies voor uw Next-Generation Firewall-aankoop

McAfee

De behoefte aan supersterke netwerkbescherming is misschien de voornaamste reden om te investeren in een next-generation firewal (NGFW), maar er komt meer bij kijken. Uw bedrijf heeft nog andere vereisten om in overweging te nemen. U wilt een NGFW die uw bedrijfsvoering veerkracht geeft, die een redelijke TCO (total cost of ownership) heeft, en die continue uptime, schaalbaarheid en flexibiliteit biedt. Een oplossing die uw huidige en toekomstige business aankan. Het moet passen binnen uw budget en bij de specifieke behoeften van uw netwerk. Hier tien onmisbare criteria voor de NGFW die de eisen van uw onderneming vervult.

1. Centraal, krachtig beheer

Inloggen op meerdere firewalls en andere netwerkcomponenten om veranderingen door te voeren of om activiteit te bekijken, kan een ongewenst beslag leggen op uw schaarse middelen. Zoek een gecentraliseerd beheersysteem dat data aggregeert over al uw ICT-beveiligingsmiddelen en daarmee uw securityteam de mogelijkheid geeft om snel te reageren op incidenten. Een gecentraliseerd systeem moet u in staat stellen om firewall-activiteit te bepalen, bekijken en besturen via een enkel venster. Centraal beheer moet u ook de mogelijkheid geven om routinetaken te automatiseren, elementen te hergebruiken, slimme shortcuts in te zetten, en in te zoomen op dieper liggende informatie. Dat geeft maximale efficiency met minimale inzet.

2. Beheer van gebruikers en applicaties

Gebruikers- en applicatiebeheer is een onmisbare functie geworden voor NGFW’s. Het internet blijft namelijk variërende plekken en opties bieden om uw werknemers te lokken, weg van hun werk en productiviteit. Applicatiebeheer is al flink doorontwikkeld om voorbij de basale functie van poorten en protocollen te gaan. De huidige technologie geeft u de kracht om gedetailleerde policies aan te maken die zijn te baseren op karakteristieken zoals gebruikersidentiteit, gebruikersrol en de specifieke aspecten van een webapplicatie.

Kijk hierbij ook naar meer geavanceerde beheeropties voor zowel gebruikers als applicaties. Zoals bijvoorbeeld de mogelijkheid van uitbreiding voor gebruikersgroepen, domeinnamen en TLS-matches (firewall-regels voor webapp-verbindingen die beveiligingsprotocol Transport Layer Security gebruiken). Een andere geavanceerde beheeroptie die valt aan te raden, is de mogelijkheid om uitgebreide rapportages te genereren over het netwerkgebruik door gebruikers en applicaties.

3. Hoge beschikbaarheid

Downtime van functies op bedrijfsnetwerken wordt door de meeste mensen gezien als onacceptabel. Zelfs voor gepland routine-onderhoud. Één cruciale functie om hoge beschikbaarheid en veerkracht te behalen, is het gebruik van active-active clustering voor uw NGFW. De firewall is daarbij geclusterd met minstens één evenknie die altijd aan is en dus klaar staat om taken direct over te nemen. Dit active-active clustering laat de business doordraaien tijdens systeemupdates en onderhoud. Daarnaast vergroot deze aanpak de flexibiliteit wanneer er zware applicaties draaien die een hoger prestatieniveau nodig hebben. Clusters moeten in staat zijn om per clusternode te worden geüpgrade zonder dat het functioneren wordt onderbroken. Dit betekent dus ook dat de verschillende nodes tijdens onderhoud moeten kunnen werken met verschillende softwareversies en hardwarevarianten.

4. Plug&play-uitrol

Als uw onderneming meerdere, geografisch verspreide locaties omvat, heeft u een NGFW nodig die plug&play-uitrol biedt. Door de cloud te gebruiken voor installatie en configuratie valt uw NGFW makkelijk te installeren bij elk kantoor op afstand. Daar hoeft het systeem dan slechts te worden aangesloten op stroom en een fysieke netwerkverbinding, waarna de inrichting via het netwerk wordt gedaan. Dit kan flinke besparingen brengen in tijd en reiskosten. Bovendien kan implementatie van uw NGFW dan worden verkort van enkele weken naar luttele minuten. Naast de initiële uitrol zijn ook updates en upgrades dan op afstand en geautomatiseerd uit te voeren. Het centrale beheersysteem geeft dan de mogelijkheid om deze handelingen op afstand te overzien en aan te sturen.

5. Deep Packet Inspection

Deep Packet Inspection (DPI) is de volgende must-have voor uw NGFW. Deze monitoringfunctie zorgt ervoor dat de diverse brokken van elk datapakket grondig wordt onderzocht. Dit ondervangt dan mismaakte packets, fouten in het netwerkverkeer, geïdentificeerde cyberaanvallen, en andere uitzonderingen. DPI kan ongewenste vormen van dataverkeer snel herkennen en blokkeren, zoals afkomstig van Trojans, virussen, spam, inbraakpogingen en andere schendingen van de normale communicatie op uw netwerk. De analyse van packetdata gebeurt met diverse methodes, inclusief inspectie van datastreams, signatures van kwetsbaarheden, configuratie van netwerkpolicies, identificatie van protocollen, normalisering van data, en zowel onversleutelde (HTTP) als versleutelde (HTTPS) webverbindingen. NGFW’s met DPI-mogelijkheden moeten ook dynamische updates aankunnen die zijn te automatiseren, zodat policy-configuraties en bescherming tegen geïdentificeerde kwetsbaarheden op regelmatige basis zijn aan te passen.

6. Bescherming tegen AET’s

Advanced Evasion Techniques (AET’s) staan erom bekend dat ze verschillende aanvallen combineren, dat ze tijdens aanvallen zich dynamisch aanpassen, en dat ze diverse protocollagen benutten. Dit alles om kwaadaardige content of een security-exploit binnen te brengen via netwerkverkeer dat onschuldig oogt voor minder geavanceerde security-oplossingen. AET-bescherming verwijdert de ‘verduistering’ (obfuscation) van deze heimelijke aanvalstechnieken, zodat het verkeer grond geïnspecteerd kan worden over verschillende protocollen en lagen heen. Dit geeft dan normalisering van dataverkeer over de volledige netwerkstack om de pakketten te analyseren. Diep ingebouwde AET-bescherming in een NGFW zorgt ervoor dat zelfs de meest grondige data-analyse en normalisering geen impact heeft op het presteren van het netwerk.

7. Multi-tenancy

Grote ondernemingen en aanbieders van managed services hebben specifiek behoefte aan een NGFW die multi-tenancy ondersteunt. Deze functie zorgt voor een scheiding en onderscheid tussen diverse domeinen op het netwerk. Gebruikers behorend bij die verschillende domeinen zijn dan op gepaste wijze te beveiligen zonder dat die diversiteit ten koste gaat van de efficiency. Multi-tenancy mogelijkheden bieden aparte maar interoperabele beheermogelijkheden voor domeinen. Deze zijn ook toe te passen op verschillende bedrijfsdivisies, geografische locaties, en de externe organisaties van klanten. Deze entiteiten kunnen dankzij multi-tenancy gescheiden van elkaar blijven terwijl ze toch allemaal profiteren van dezelfde beveiligingsvoordelen. Dit omvat een gelijke blik op en overzicht van de securitysituatie, de uniforme beheermiddelen, de geautomatiseerde functionaliteit, de voortdurend geoptimaliseerde netwerkverbindingen en andere geavanceerde functies van uw NGFW.

8. Aanpasbare, inwisselbare architectuur

De architectuur van uw volgende NGFW moet aanpasbaar en inwisselbaar zijn zodat u security op de meest effectieve manier en naar behoefte kunt inzetten. Let er bij een NGFW op dat die zowel voor uw budget als qua architectuur zo flexibel mogelijk is. Dit geldt voor alle vormen van NGFW’s, of die nou beschikbaar zijn als software, als fysieke appliance, of als virtuele appliance. Kies voor een oplossing die wanneer nodig ook van rol kan veranderen, zónder de noodzaak voor nieuwe licenties en contracten daarvoor. Bijvoorbeeld van intrusion prevention system (IPS), naar Layer 2-firewall, of firewall met VPN (virtual private network).

9. VPN op enterprise-niveau

Veerkrachtige en flexibele connectiviteit tussen verschillende vestigingen vereist de aanwezigheid van krachtige VPN-technologieën (virtual private network) in uw NGFW. Veel NGFW’s zijn voorzien van IPsec VPN, dat bestaat uit een verzameling securityprotocollen die zijn toegevoegd aan de communicatielaag waar de netwerkpakketten worden verwerkt. IPsec kent meerdere voordelen, waaronder de afhandeling van securityvoorzieningen zonder dat er wijzigingen nodig zijn op individuele computers. Kijk bij de selectie van uw volgende NGFW naar nog meer VPN-vermogen door IPsec te combineren met andere geavanceerde technologieën. Zoals gecombineerde netwerklinks of tunnels om kosteneffectieve VPN-verbindingen te maken met hoge beschikbaarheid. Let er ook op dat uw geselecteerde NGFW beheermiddelen heeft die krachtig genoeg zijn om uw VPN’s uit te rollen, te configureren en in te zetten.

10. Virtualisatie

Virtuele appliances maken het makkelijk om zelfstandig een uitgebreide security-infrastructuur op te zetten met virtuele machines. Elke virtuele appliance kan dan een eigen, onafhankelijke rol vervullen. Daarbij kan elk van die virtuele machines zelfs zijn eigen, afwijkende softwareversie en besturingssysteem draaien. De optie van virtual contexts geeft beheerders een manier om de configuraties van de diverse securitygateways te scheiden. Die scheiding gebeurt dan niet aan de hand van fysieke eigenschappen, maar op logische en functionele basis. Elk van die gescheiden elementen is dan apart te beheren op een enkele fysieke NGFW-appliance. Deze aanpak is ideaal voor aanbieders van managed security services (MSSP’s, managed security service providers) die hun beveiligingsdiensten bieden aan meerdere klanten en daarvoor dezelfde fysieke elementen gebruiken.

Mischa Deden is Sales Systems Engineer voor Noord- en Oost-Europa bij McAfee