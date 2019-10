Barracuda is van oudsher bij velen waarschijnlijk vooral bekend als security-partij die zich richt op emailbeveiliging. Dat doet het natuurlijk nog altijd, aangezien ruim 90 procent van alle bedreigingen nog altijd via deze weg bij organisaties binnenkomt. De email-business is ook nog altijd verantwoordelijk voor het grootste deel van de omzet (als je het per onderdeel bekijkt): zo'n 200 miljoen dollar per jaar, zo geeft de Hatem Naguib, de COO van Barracuda tijdens het event aan tijdens zijn keynote. De andere onderdelen (zoals netwerk-/applicatiebeveiliging en backup) komen uit op zo'n 100 miljoen per onderdeel. Barracuda is overigens geen publiek bedrijf (meer), dus officiële cijfers zijn er niet.

Dieper integreren in de inbox

Het is echter al lang geen statisch verhaal meer als het gaat om dit type bedreiging overigens. Er moet nu met steeds meer rekening gehouden worden, de oude tools voor e-mailbeveiliging werken niet meer afdoende.

Je hebt als organisatie tegenwoordig bijvoorbeeld last van zaken zoals CEO-fraude, waar je met traditionele tools weinig tegen kunt beginnen. Dit zijn immers gewone e-mails, met alleen maar tekst, geen zaken zoals attachments en links bijvoorbeeld. Daarvoor moet je de tekst analyseren en naast de manier van communiceren van de daadwerkelijke CEO leggen. Hiervoor moet je een integratie met de inbox maken, iets wat niet gebruikelijk was. Mike Flouton, chef e-mailbeveiliging bij Barracuda, vat een dergelijke verandering als volgt samen: "We moeten niet alleen bij de gateway zitten, maar dieper integreren, bij de points of risk. Dieper in organisaties doordringen is waar het om draait."

Perimeter/preventie minder focus

Zoals iedere security-leverancier, is men zich er bij Barracuda uiteraard ook terdege van bewust dat de perimeter zoals we die van vroeger kenden, niet meer bestaat. Dat betekent dus ook dat er minder nadruk op preventie ligt. En als het al preventie is, dan steeds meer de al eerder aangehaalde preventie dieper in de infrastructuur/omgeving. Tijdens zijn keynote heeft Naguib het er dan ook over dat er nu meer aandacht is en blijft voor detectie (en respons), nadat men "15 jaar lang geweldige preventietools heeft gebouwd".

Let wel, haasten meerdere mensen die we hebben gesproken erbij te zeggen, dit betekent niet dat men de firewall/perimeter niet meer belangrijk vindt. Verre van zelfs. Maar ook als het om firewalls gaat, moet men bij Barracuda rekening houden met de moderne gedistribueerde architectuur. Met name de cloud komt in dit opzicht vaak ter sprake. Het is dan ook niet zo gek dat de nieuwste generatie firewalls door het leven gaat als Cloud Generation (of CloudGen) Firewall (CGF). Bij Barracuda is men dus duidelijk voorbij de term 'next-gen' die we in relatie tot firewalls de afgelopen jaren vaak gehoord hebben. Een goede zaak wat ons betreft, want echt duidelijk was dat niet.

'Nagenoeg perfecte firewall'

Tijdens de TechSummit kondigt Klaus Gehri, VP Network Security, de nieuwste versie aan, versie 8. CGF is zoals de naam al doet vermoeden gebouwd met de cloud stevig in het vizier. "Het gaat er niet alleen om dat verbindingen goed beveiligd zijn, maar het gaat vooral om de verbindingen tussen verschillende locaties in een gedistribueerde omgeving," aldus Gehri. Hij maakt er een punt van dat het niet zozeer om connecties gaat, maar om passageways, om aan te geven dat het geen statisch maar een dynamisch verhaal is.

Aan zelfvertrouwen is er in ieder geval geen gebrek bij Barracuda als het gaat om CGF 8. Gehri noemt deze nieuwste generatie "nagenoeg perfect, er zitten eigenlijk geen gaten meer in." Een gedurfde uitspraak, waar hij de nodige awards en andere eervolle vermeldingen van testinstanties voor aanhaalt ter ondersteuning. Of zoiets daadwerkelijk stellig te claimen is op basis van gestandaardiseerde tests, valt natuurlijk te betwisten, maar zeker is dat deze nieuwe versie meetbaar beter is dan de vorige.

Fundamenteel anders

Gehri benadrukt in gesprek met ons dat deze nieuwe versie niet zomaar een update is van de vorige. Het is echt een fundamenteel nieuw product, waar lang aan gewerkt is. "Vandaar ook dat we hem cloud-first hebben uitgerold," voegt hij hieraan toe. Dat wil zeggen, de cloud-functionaliteiten zijn eerst beschikbaar gesteld, voor het on-prem-gedeelte. Dit om eventuele onvoorziene risico's het hoofd te kunnen bieden. Dat wil je liever niet on-prem doen.

De lijst met nieuwigheden in CGF 8 is lang, maar enkele zaken springen er wat ons betreft uit. Zo is de kernel vernieuwd en worden er VPN-prestaties gehaald die tegen de limieten van de cloud aan zitten. Met name op Azure zijn deze prestaties goed te meten, aangezien daar ondersteuning voor 64 cores beschikbaar is. Voor AWS blijft dit vooralsnog beperkt tot 32 cores.

Gebruiksgemak centraal

Gebruiksgemak heeft daarnaast ook veel aandacht in CGF 8. Zo is de config tree opgeschoond, om het inrichten en beheren van de firewall eenvoudiger, overzichtelijker en rustiger te maken. Een voorbeeld hiervan is dat alles wat met IP-adressen te maken heeft, nu samengevoegd is, waar dat voorheen verspreid over de config tree stond.

Iets anders waar gebruiksgemak centraal in staat bij CGF 8, is vWAN on Azure. Hiermee kun je volgens Barracuda met een enkele klik de WAN van je organisatie configureren. Meerdere (on-prem) firewalls zetten een verbinding met Azure op, waarbij de IPsec-tunnel en BGP voor je worden geconfigureerd.

vWAN on Azure gaat echter nog iets verder, want er is ook voorzien in Office365 steering. Hiermee kan een van de grootste issues met deze dienst deels worden opgelost. Dat is namelijk de latency die op kan treden vanwege het enorme aantal providers dat Microsoft ervoor gebruikt. Het is dan niet altijd eenvoudig om snel genoeg scherp te hebben wat waar vandaan komt en om welke applicatie het gaat, met een hogere latency als gevolg. Met Office365 steering wordt iedere dertig minuten informatie uitgewisseld over de configuratie. Wat is OneDrive, wat is Outlook en welke ip-adressen gebruiken ze. Op deze manier kun je de routes een stuk beter optimaliseren dan wanneer je dit niet doet, is het idee.

Developers helpen

Zaken zoals e-mailbeveiliging en firewalls worden steeds geavanceerder bij Barracuda, zoveel is wel duidelijk. In de basis blijven dit echter traditionele manieren om tegen security aan te kijken. Daar is op zich niets mis mee overigens, want nog altijd noodzakelijk. Echt vernieuwend wordt het pas als een bedrijf zoals Barracuda zich ook met zoiets als applicatieontwikkeling in de cloud bezig gaat houden. Want er wordt vaak geroepen dat security vanaf de grond af aan ingebouwd moet zijn in alles wat we doen, vaak is dat in de wereld van development nog helemaal niet zo vanzelfsprekend.

Een eerste reden hiervoor is dat er in de cloud steeds meer services beschikbaar komen. De teller staat inmiddels op 500+, verdeeld over de drie grote spelers (Microsoft, AWS, Google). Die services krijgen duizenden nieuwe features per jaar. Als je dan bedenkt dat de meeste bedrijven afgerond 0 cloud security architects in dienst hebben, dan wordt al snel duidelijk dat hier iets mee gedaan moet worden. "Dit betekent niet dat de cloud inherent minder veilig is," stelt Fleming Shi, CTO bij Barracuda, "wel dat het een uitdaging is om alle services veilig te gebruiken."

Een tweede reden is dat security steeds meer de verantwoordelijkheid van de bouwers aan het worden is. CTO van Barracuda Fleming Shi ziet dat ook en noemt dat 'shifting left'. Dit, gecombineerd met de reden hierboven, levert een interne tweestrijd op tussen de bouwers en de CISO (of iemand anders die deze rol vervult). Bouwers willen traditiegetrouw snel gaan, wat mogelijk is in de cloud, terwijl de CISO vooral controle wil.

Cloud Security Guardian

Om zowel ontwikkelaars als CISO's te helpen, is men bij Barracuda begonnen met Cloud Security Guardian (CSG). Hiermee is het mogelijk om de output van de Security Graph Pub in Azure te gebruiken tijdens het bouwen van applicaties. In dit soort logbestanden kun je nagenoeg alle 'forensics' terugvinden. Het zou zonde zijn om dit niet te gebruiken. Toch doet niet iedere security-vendor iets met deze logs. Uiteraard wil Barracuda hiermee onderscheidend zijn ten opzichte van de concurrentie (zoals 'een bedrijf dat begint met een P', waarmee uiteraard Palo Alto Networks bedoeld wordt).

Waar het op neerkomt, is dat CSG aanraadt hoe je de applicatie die je aan het bouwen bent het best kunt beveiligen. Je zou het kunnen zien als een soort pair programmer, maar dan specifiek voor security. Het is ook een orkestratietool, waarmee je automatisch kunt inregelen waar er een securitymaatregel genomen moet worden. Dit kan over het algemeen op meerdere plaatsen, met wisselend resultaat. Je kunt CSG uiteindelijk ook integreren in onder andere Splunk, PagerDuty en Slack, om ook op deze manier de recommendations van CSG te krijgen. Je hoeft dan niet door code heen te gaan om het te zien.

De bovenstaande benadering voor CSG is volgens Tim Jefferson, SVP Data, Network and Application Security op dit moment in ieder geval de beste manier om de cloud te beveiligen. "Je moet niet proberen om security op de dataplane op te lossen, je moet naar de identity plane," volgens hem. Met andere woorden, je moet zorgen dat je de services onder controle krijgt en je niet zozeer richten op de gebruikers van de services.

Waarom de voorliefde voor Azure?

Als we zo eens naar de verschillende keynotes luisteren en meerdere mensen van Barracuda spreken, valt het ons op dat er wel erg veel nadruk op Azure ligt. De nieuwe firewall presteert in combinatie met Azure beter dan met AWS vanwege de uitgebreidere core-ondersteuning voor Azure, er is vWAN on Azure, maar vooralsnog niet voor AWS voor zover wij weten. Met andere woorden, het lijkt erop alsof Azure een streepje voor. Nieuwe features worden eerst hiervoor ontwikkeld, daarna pas voor AWS en andere omgevingen.

Nu is Microsoft een van de sponsors van de TechSummit, dus dan heb je eigenlijk altijd een streepje voor. Maar de relatie tussen de twee partijen lijkt dieper te liggen, aangezien er dus eerst voor Azure ontwikkeld lijkt te worden. We stellen de vraag aan Tim Jefferson, SVP Data, Network and Application Security, of hij ons eens kan vertellen of onze indruk klopt. Hij weegt zijn woorden begrijpelijkerwijs goed af, want hij is weleens in de media gekomen dat men Azure beter vindt dan AWS, of iets van die strekking. Dat is niet zo.

Van CSG is overigens al wel zowel een Azure- als een AWS-variant beschikbaar. Het is op zich ook logisch dat men hier AWS er snel bij heeft gevoegd, vanwege de voorliefde die er heerst bij developers voor AWS. Dat is voor zover wij het uit de markt horen toch nog altijd de cloud voor die groep.

API-gedreven platform bouwen

Uiteindelijk is een koppeling zoals we hierboven zien tussen CSG en Azure een mooi voorbeeld van hoe Barracuda de toekomst van security ziet. "We hebben een verleden als bouwer van veel puntoplossingen," aldus Shi, "maar nu gaan we steeds meer richting een API-first benadering, om te kunnen communiceren met andere ecosystemen." Het is verder de bedoeling dat de producten die Barracuda zelf al heeft, steeds meer met elkaar gekoppeld gaan worden. Op deze manier wil men het in de toekomst als platform aan kunnen bieden.

Deels is een dergelijke platformbenadering uiteraard vooral goed voor Barracuda. Als ze meerdere producten kunnen verkopen met het argument dat ze erg goed samenwerken, gaat de omzet ook omhoog. Aan de andere kant is dat ook best prettig voor organisaties, die nu met een overvloed aan security-toepassingen zitten en door de bomen het bos niet meer zien. Dat zal alleen maar gekker worden naarmate er steeds meer complexiteit in de infrastructuur komt. Door een platform af te nemen, kun je in ieder geval een aantal van die oplossingen met pensioen sturen en meer zaken centraliseren.

Uitstekend gepositioneerd

Volgens Shi is Barracuda uitstekend gepositioneerd om een dergelijk platform te ontwikkelen, omdat ze voldoende volume draaien bij hun honderdduizenden klanten. Ze weten op basis van deze data wat er zoal speelt en kunnen daarop inspelen. Het is volgens Shi niet de bedoeling om een platform te ontwikkelen waar alleen Barracuda een plaats in heeft. "Het gaat erom dat het een platform wordt waar je alle diensten aan kunt koppelen die je nodig hebt op het gebied van security," volgens hem. Ze zullen dan ook ontwikkelaars van goede oplossingen in staat stellen om te koppelen met het platform. Het is tot slot ook de bedoeling dat de eindgebruiker geen omkijken heeft naar alle afzonderlijke onderdelen. Het platform wordt beheerd door Barracuda.

We gaan zeker in de gaten houden of het Barracuda lukt om een dergelijk platform neer te zetten, waarbij alle afzonderlijke onderdelen elkaar versterken. Wat ons betreft denkt men in ieder geval in de juiste richting, met niet alleen focus op traditionele onderdelen zoals e-mail en firewall, maar ook op de basis, in de vorm van Cloud Security Guardian.