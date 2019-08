Mobiliteit van werknemers leidt echter ook tot beveiligingsrisico's en de integriteit van applicaties en gevoelige bedrijfsdata staat op het spel. Hoe kunnen bedrijven omgaan met deze moderne vereisten en tegelijkertijd zorgen voor een soepele en veilige verbinding voor externe gebruikers?

Traditionele security-maatregelen zijn niet langer effectief

Traditionele beveiligingsconcepten zijn gebouwd op vertrouwen. Zodra een gebruiker op afstand toegang heeft gekregen tot het bedrijfsnetwerk via een VPN-verbinding, kan die gebruiker bij alle gegevens en applicaties (tenzij er complexe netwerksegmentatie wordt toegepast). Dit soort onbegrensd vertrouwen kan echter het beveiligingssysteem ondermijnen en gevaarlijk zijn voor de organisatie als geheel.

Hierin ligt ook het zwakke punt van de klassieke remote-VPN. De verbinding met het netwerk wordt namelijk als eerste tot stand gebracht en daarna volgen pas de firewall-restricties. Dat proces is niet alleen complex, maar ook gevoelig voor fouten en lastig aan te passen, waardoor het beveiligingsrisico hoger is. Wanneer het apparaat van een werknemer is aangetast, hebben ongeautoriseerde personen mogelijk toegang tot gevoelige informatie of kunnen ze malware in het netwerk plaatsen.

Software-defined perimeter voor meer controle

Een aantal jaren geleden werd de 'zero trust'-aanpak geïntroduceerd als een nieuw security-concept dat het dilemma van onbegrensd vertrouwen bij remote access moest oplossen. Bij deze nieuwe aanpak is eenvoud het centrale uitgangspunt voor het veilig verbinden van gebruikers met hun applicaties, ongeacht het netwerk dat ze gebruiken of hun locatie. Op het eerste gezicht lijkt de term misleidend, omdat vertrouwen een voorwaarde is om de juiste gebruiker met de gewenste applicatie te kunnen verbinden. Maar zero trust is wel het overkoepelende doel van de technologie van de software-defined perimeter (SDP). Gartner levert met zijn 'Continuous Adaptive Risk and Trust Assessment'-model (CARTA) een bijdrage aan het vertrouwensproces, wat is gebaseerd op adaptieve toegang. Dit houdt in dat het niet gebaseerd is op vertrouwen in de gebruiker of het apparaat, maar in plaats daarvan pas tot stand komt door de context - en dat wordt vervolgens ook continu gemonitord door middel van risk assessment.

Het idee achter een SDP is dat iemand pas toegang krijgt tot de gewenste applicatie wanneer die gebruiker is geautoriseerd voor toegang, als een eerste stap. Dit zet het traditionele access-concept volledig op zijn kop, want daarbij werd de verbinding met het netwerk als eerste tot stand gebracht, gevolgd door autorisatie. Als het gaat om alledaagse werkzaamheden - die worden beïnvloed door de cloud en mobiliteit - wordt het steeds belangrijker voor organisaties om hun werknemers een veilig pad te bieden voor toegang tot applicaties, ongeacht waar die applicaties zijn opgeslagen (in het datacenter of in de cloud). Idealiter merkt de gebruiker niet eens waar de apps zich bevinden als ze op afstand worden benaderd.

Met een software-defined aanpak wordt de gebruiker ontkoppeld van het netwerk. Het enige wat telt, is het tot stand brengen van access-autorisatie op applicatieniveau. Voor gebruikers is deze aanpak veel gemakkelijker omdat ze niet meer hoeven nadenken over hoe ze verbinding moeten maken met hun applicatie. Het voordeel van SDP is dat er one-to-many sitelinks mogelijk worden gemaakt, in tegenstelling tot de one-to-one verbinding van het traditionele VPN-concept waarbij enkel toegang mogelijk is tot het netwerk. De gebruiker kan daardoor gelijktijdig verbonden zijn met verschillende werkomgevingen in het interne netwerk of de cloud. Dit faciliteert gebruikers ook in hun werk; ze maken geen verbinding meer met het netwerk, maar worden in plaats daarvan direct gekoppeld aan hun applicatie. Het hele netwerk blijft onzichtbaar en is daardoor niet langer kwetsbaar voor malware op het apparaat van de gebruiker.

Toegangsaanpak richten op identiteit voor een betere beveiliging

Bij SDP wordt niet langer het gehele netwerk geopend voor toegang tot een enkele applicatie. Ook zijn applicaties alleen zichtbaar voor geautoriseerden en worden ze niet blootgesteld aan het internet. Complexe netwerksegmentatie is niet meer nodig omdat microsegmentatie wordt toegepast op applicatieniveau. Hierdoor wordt de uitbreiding van een malware-aanval in het netwerk ook automatisch voorkomen. Het internet wordt daardoor een nieuw, veilig netwerk via een end-to-end encrypted TLS-tunnel.

Het aantal mobiele en flexibele werknemers groeit. Hierdoor neemt de druk op organisaties toe om naadloze en veilige connectiviteit te bieden voor toegang tot applicaties zonder impact op het bedrijfsnetwerk. Naarmate meer bedrijven in het transformatieproces zitten, vormt een cloud-first-structuur de basis voor veilige en efficiënte toegang tot applicaties. Een SDP helpt niet alleen om VPN-systemen te vervangen, maar ondersteunt organisaties ook bij het ontwikkelen van een multicloud-strategie. Het maakt voor flexibele medewerkers uiteindelijk niet uit vanaf welke locatie zij toegang hebben tot welk netwerk. Geautoriseerde toegang zal alleen plaatsvinden voor de applicaties die zij nodig hebben voor hun werk.

Met SDP voldoet een organisatie aan de moderne vereisten van mobiele werknemers, en zorgt het tegelijkertijd voor een soepele en veilige verbinding voor alle gebruikers.

Nathan Howe is Principal Architect bij Zscaler