Firewalls moeten onderdeel worden van Application Delivery Networks

Met de veranderende IT-architecturen moet ook de manier waarop we onze informatievoorziening met behulp van firewalls afschermen drastisch worden omgegooid. Daarbij treedt een relatief nieuwe fenomeen op de voorgrond: Application Delivery Networks. Dat was één van de belangrijkste thema’s tijdens de Barracuda EMEA Conference 2015 die begin mei in het Oostenrijkse Alpbach plaatsvond.

Honderd firewalls

Wieland Alge van Barracuda Networks

Wieland Alge is er de man niet naar om snel met zijn mond vol tanden te staan. Maar toen de vice president en general manager EMEA van Barracuda Networks enige tijd terug een bestelling zag binnenkomen voor liefst honderd firewalls van een bedrijf dat al vele jaren zaken doet met deze security-aanbieder wist hij even niet goed wat hij hiervan moest denken.

Dispersion

Alge haalde dit verhaal aan tijdens de EMEA Conference 2015 van zijn bedrijf. Hoewel deze conferentie geen officieel thema had, stonden de meeste plenaire sessies in het teken van de veranderingen die we momenteel zien in de netwerkarchitectuur van veel bedrijven. In plaats van het samenbrengen van alle dataverkeer op één of twee punten, ontwikkelen de netwerken van steeds meer bedrijven zich tot een uiterst gedistribueerd geheel waar medewerkers op iedere denkbare locatie netwerksessies opzetten. Soms via het MPLS (multi protocol label switching) netwerk van de organisatie, maar steeds vaker ook via rechtstreekse internetverbindingen die door ISP’s worden verzorgd.

Probleem voor CISO 

Dit heeft uit oogpunt van informatievoorziening, flexibiliteit en dergelijke grote voordelen, maar het verandert de wereld van de CISO (chief information security officer) ingrijpend. In plaats van een beveiligingsaanpak die gericht is op een handvol lokaties waar intern netwerkverkeer met externe partijen wordt uitgewisseld, heeft nu plotsklaps ieder branch-kantoor en iedere vestiging in binnen- en buitenland rechtstreeks netwerkcontact met de buitenwereld. ‘Dispersion’ noemen we dat ook wel.

Prioriteiten stellen

Er spelen nog meer ontwikkelingen. Nu er steeds minder sprake is van een centrale controle over het netwerk, is het ook belangrijk dat de netwerkinfrastructuur slim wordt opgezet. Belangrijk hierbij is dat we een goed inzicht hebben in de primaire applicaties waarvoor het van cruciaal belang is dat zij uitstekende prestaties kennen. Met daarnaast een aantal applicaties waarvan het performance-niveau wellicht iets minder belangrijk is en enige vertraging dus geen al te groot probleem is. Met andere woorden: in de ‘application delivery’ dienen prioriteiten aangebracht te kunnen worden. Vandaar de kreet ‘Application Delivery Network’ die sinds enige tijd zo populair is.

Nieuwe rol

Firewalls spelen hierin een cruciale rol. Zij houden namelijk niet alleen ongewenst verkeer tegen, maar kunnen bij firma’s als Barracuda ook als Application Delivery Controller worden ingezet. De redenatie is dan: als we al of niet versleuteld dataverkeer toch al inspecteren, is het op basis van een prioriteitenlijstjes natuurlijk ook redelijk eenvoudig te regelen om voorrang te geven aan bepaalde datapakketten of pakketjes volgens een bepaalde routering af te leveren.

Geen typo

En dan speelt er nog die reden waarom Wieland Alge ineens die order voor zo’n honderd extra firewalls binnenkreeg. Want dat bleek geen type op het bestelformulier te zijn, zo vertelde hij tijdens de conferentie. De koper was de Duitse fabrikant Blum, bekend van onder andere de remsystemen die in bijvoorbeeld keukenlades worden toegepast. De firewalls waren nodig voor het beveiligen van allerlei productiemachines die tegenwoordig ook van netwerkverbindingen zijn voorzien. Blum wil ook deze machines beschermen tegen ongewenst bezoek.

Focus op faciliteren

Tijdens de conferentie gaf Klaus Gheri, vice president Product Management Europe van Barracuda, aan dat wat hem betreft de tijd dat de security-industrie goede sier kon maken met zogeheten ‘next-generation’ firewalls toch echt voorbij is. Waar het nu veel eerder om gaat, is wat hij noemt ‘advanced threat detection’, maar dan vooral in dienst van de business-doelstellingen. Dat klinkt abstracter dan het is.

Klaus Gheri van Barracuda Networks

Firewalls dienen een netwerkinfrastructuur mogelijk te maken die optimaal de business ondersteunt. Het is dan niet voldoende, zo meent Gheri, om - populair gezegd - de ‘bad guys’ buiten de deur te houden. Dat is wat een klassieke firewall doet. Waar we echter als security-industrie naartoe moeten is het creëren en faciliteren van een applicatie-infrastructuur die het de business mogelijk maakt om succesvol te zijn. Dit betekent dat de firewall deel dient uit te maken van een infrastructuur die het mogelijk maakt dat applicaties goed en veilig functioneren.

Application Delivery Network

In de praktijk betekent dit dat security en firewalls een integraal onderdeel gaan uitmaken van de applicatie-infrastructuur.  We gaan dus van een interne applicatie-infrastructuur met daaromheen een handvol firewalls naar een Application Delivery Networks (ADN) waarin op tal van plaatsen firewalls zijn opgenomen. Die firewall doet hierbij meer dan ‘enkel en alleen’ ongewenst verkeer tegenhouden, maar ondersteunt juist het aanbieden van applicaties aan de business. Dit betekent dat de moderne firewall een einde maakt aan de aloude silo’s die we op het gebied van networking nog steeds vaak zien. In die klassieke aanpak werken we met aparte oplossingen voor firewalls, voor VPN’s, voor WAN-optimalisatie, voor application delivery en dergelijke. Een ADN bundelt dus twee voorheen gescheiden eisenpakketten, namelijk die voor security en voor connectiviteit.

Klassieke backhaul

Gheri liet tijdens zijn presentatie een aantal voorbeelden zien van ADN’s, waarbij hij met name de opkomst van SaaS centraal stelde. Neem bijvoorbeeld het gebruik van Office 365 of Salesforce in een organisatie waar de medewerkers verspreid over hoofdkantoor en regionale vestigingen actief zijn. In figuur 1 zien we hoe de klassieke aanpak zou zijn om Office 365 te ondersteunen.

Figuur 1: Klassieke backhaul-verbinding.

Iedereen maakt gebruik van Office 365 via een typisch backhaul-verbinding. Alle netwerkverkeer gaat via het MPLS-netwerk naar een centraal datacenter en wordt daar doorgesluisd naar de SaaS-aanbieder. Dat levert steevast problemen op, meent Gheri: vertragingen en opstoppingen waardoor latency ontstaat. Dat wordt enerzijds veroorzaakt door de klassieke netwerkarchitectuur, maar anderzijds ook door het feit dat alle dataverkeer op dezelfde manier wordt afgehandeld. Er wordt in veel gevallen immers op geen enkele wijze verschil gemaakt tussen allerlei zakelijke applicaties en - bijvoorbeeld - Facebook-verkeer.

Direct internet breakout

Figuur 2. Aanpak met dynamic path selection.

In figuur 2 zien we een ADN-aanpak. Hierbij is sprake van twee netwerkverbindingen: de aloude MPLS-omgeving plus wat Gheri noemt: ‘direct internet breakout’. Dit wil zeggen dat in iedere vestiging een connectie met een lokale ISP aanwezig is. Door over die directe internetverbinding een VPN-tunnel naar de SaaS-aanbieder te leggen, kunnen gebruikers veilig en snel gebruik maken van de SaaS-oplossing. Mits uiteraard niet alleen in het centrale datacenter een firewall staat opgesteld, maar ook eentje in ieder regiokantoor. Die firewall in het branch office neemt daarbij meer taken op zich dan enkel en alleen inspectie van datapakketjes om ongewenste verkeer tegen te houden. Zo kan de firewall ook op basis van regels bepaald verkeer richting MPLS-netwerk danwel de ISP sturen. Op die manier kan bijvoorbeeld worden aangegeven dat Office 365-verkeer in principe altijd via de ‘direct internet breakout’ loopt, tenzij deze down is. In dat geval wordt het verkeer via het MPLS-netwerk gerouteerd. Wellicht levert dit wat langere responstijden op, maar de verbinding met de SaaS-aanbieder blijft wel keurig intact. Dit kan heel eenvoudig in de firewalls van Barracuda worden geregeld, vertelde Gheri. Net als voor sommige applicaties kan worden aangegeven dat als de VPN niet beschikbaar is, er ook rechtstreeks via internet gewerkt mag worden.

Dynamic mesh

Door op deze manier naar de Application Delivery-architectuur te kijken, kunnen we bijvoorbeeld ook VoIP-verkeer veel efficiënter aanpakken. Stel dat via IP een telefoonsessie wordt gestart tussen twee adressen binnen het interne netwerk. Normaal zou de voice-data via het centrale datacenter van het ene IP-adres naar het andere lopen. Via een faciliteit die ‘dynamic mesh’ wordt genoemd, kunnen Barracuda-firewalls binnenkort echter vaststellen dat er een veel kortere en efficiëntere route mogelijk is door - compleet met alle security- en andere instellingen die gewenst zijn - een rechtstreekse point-to-point verbinding tussen de twee betrokken firewalls op te zetten, waarbij het dataverkeer het datacenter links laat liggen.

Adaptive routing

Door security-aanpak en netwerkarchitectuur te combineren tot een Application Delivery Network ontstaan geheel nieuwe mogelijkheden, meent Gheri. We kunnen bijvoorbeeld gaan werken met ‘adaptive routing’. Hierbij wordt de routering van datapakketten op basis van regels ingesteld en is het mogelijk om volledig automatisch over te stappen op een andere route als bijvoorbeeld de primaire verbinding niet beschikbaar is. De gewenste (re)routing kunnen we bovendien per applicatie vaststellen. Barracuda heeft bovendien voorzieningen ingebouwd waardoor het beheer van het grotere aantal firewalls dat hiervoor nodig is kan worden gestroomlijnd. Regels en instellingen kunnen worden gedeeld, waarbij bijvoorbeeld de basisinstellingen op een centrale locatie worden bijgehouden en alle gedistribueerd opgestelde firewalls van deze centrale regels gebruik maken. Cruciaal hierbij is uiteraard wel dat ook de in regiokantoren opgestelde firewalls over de volledige feature-set beschikken.

Robbert Hoeffnagel