Een nieuw paradigma voor datacenter-firewalls

De frequentie, geavanceerdheid en diversiteit van netwerkaanvallen nemen zienderogen toe. Als gevolg hiervan komen conventionele stateful beveiligingsvoorzieningen aan de rand van het datacenter zwaar onder vuur te staan. Er is een nieuwe beveiligingsarchitectuur nodig die datacenters effectief beschermt tegen moderne aanvallen en tegelijkertijd de investeringskosten, ofwel capex, aanzienlijk terugdringt. Afnemers van cloud- en hosted toepassingen maken zich meer zorgen over beveiliging, dan functionaliteit. Door een nieuwe security-aanpak, zou dat niet langer hoeven.

De afgelopen 25 jaar waren stateful firewalls het kloppende hart van de beveiliging aan de rand van datacenters. Er beginnen zich echter gebreken te vertonen in conventionele, op firewalls gebaseerde architecturen. Cybercriminelen maken namelijk gebruik van nieuwe technieken en wereldwijde botnets om dit traditionele beveiligingsschild tot een risico om te vormen, en wel precies op het moment waarop dat schild het meest nodig is. Het soort bedreigingen is in de loop der jaren aanzienlijk veranderd. Traditionele firewalls zijn in staat om simpele netwerkaanvallen af te slaan, en zogenaamd geavanceerde firewalls kunnen een oplossing bieden voor kwetsbaarheden in het uitgaande verkeer van zakelijke datacenters. Desondanks kan alleen een nieuwe architectuur voor datacenter-firewalls, waarbij aan de rand van het netwerk gebruik wordt gemaakt van volledig proxy Application Delivery Controllers (ADC’s) met een hoge verbindingscapaciteit, de naleving van beveiligingsstandaarden waarborgen. Een dergelijke architectuur kan kosten besparen door een einde te maken aan de noodzaak om firewall-apparatuur aan te schaffen en op te waarderen, en optimaal gebruik te maken van de overige ICT-bronnen binnen het datacenter.


Drie aanvalscatogorieën
Toekomstgerichte organisaties zijn momenteel bezig om hun beveiligingsdiensten te convergeren om, naast de traditionele netwerkaanvallen, bescherming te bieden tegen de twee belangrijkste nieuwe aanvalscategorieën waarmee hun datacenter wordt geconfronteerd:

1. Complexe DDoS-aanvallen (gericht op HTTP en DNS)

2. Kwetsbaarheden op applicatieniveau

Het nieuwe paradigma voor datacenter-firewalls biedt een complete, geïntegreerde oplossing die bescherming biedt tegen elk van deze aanvalscategorieën. Dit omvat het beheer van het netwerkverkeer en firewall-services, de implementatie en het gebruik van DNSSEC en DNS Express om cruciale DNS-services te beschermen tegen DoS-aanvallen en pogingen tot kaping, en firewall-services die bescherming bieden tegen de belangrijkste bedreigingen voor webapplicaties (de OWASP Top 10). Om de oplossing compleet te maken is ook voorzien in veilig beheer van de internettoegang en single sign-on (SSO) voor (cloud-)applicaties.

De keuze voor datacenter-firewalls is traditioneel gebaseerd op selectiecriteria zoals certificering, investeringskosten en de prestatie. Omdat firewalls worden beoordeeld op hun doorvoercapaciteit is het eenvoudig om de investeringskosten af te zetten tegen de maximale omvang van het inkomende verkeer die de firewall kan verwerken. Toch is 'bulkdoorvoer' niet waar het allemaal om draait. Tijdens een gedistribueerde denial-of-service (DDoS)-aanval is het belangrijk hoe de firewall omgaat met gelijktijdige verbindingen en het aantal verbindingen per seconde.


Doorvoercapaciteit
Een doorsnee conventionele firewall van 37.000 euro biedt gemiddeld een doorvoercapaciteit van 10 Gbps. Dit zou genoeg moeten zijn om een kleine of middelgrote aanval af te slaan. Maar firewalls uit deze categorie kunnen slechts tussen de 1 en 2 miljoen gelijktijdige verbindingen aan. Inmiddels is bekend dat de WikiLeaks-hackers in 2010 met slechts één botnet met het grootste gemak meer dan 2 miljoen gelijktijdige verbindingen wisten te genereren, waardoor firewalls overal in de Verenigde Staten het lieten afweten. Voor een conventionele firewall die een betere prestatie biedt voor gelijktijdige verbindingen (4 tot 10 miljoen verbindingen per seconde), komen de kosten al snel uit op zo’n 75.000 tot 111.000 euro. Hetzelfde geldt voor het aantal verbindingen per seconde. Wanneer een conventionele firewall een stateful inspectie uitvoert, verslechtert de prestatie bij elke tot stand gebrachte TCP-sessie.


Veelzijdigheid
Een andere beperking van firewalls die op een conventionele architectuur zijn gebaseerd, is het vermogen om het volledige spectrum van geavanceerde aanvallen af te slaan; aanvallen gericht op het volledige netwerk en ecosysteem van applicaties. Oplossingen om deze sterk variërende aanvallen tegen te gaan, worden traditioneel los van elkaar geïmplementeerd, en zijn ontwikkeld op basis van specifieke technologie die bescherming biedt tegen logische groepen aanvallen, zoals applicatie-, netwerk- en DDoS-aanvallen. Deze standalone oplossingen van uiteenlopende leveranciers vergroten echter de beheercomplexiteit en gaan noodzakelijkerwijze gepaard met forse operationele en kapitaalkosten.

Door alle beveiligingsdiensten samen tot één linie van ADC’s aan de rand van het datacenter te bundelen, voorkom je dit firewall-probleem. Het belang van deze aanpak wordt duidelijk zodra parallelle firewalls kunnen worden afgeschreven en uit het netwerk worden verwijderd. Hierdoor wordt het aantal apparaten sterk gereduceerd, met behoud van hetzelfde niveau van doorvoercapaciteit, compliance en bescherming tegen aanvallen. Native firewall-services die de netwerklaag beschermen bij een veel hogere verbindingscapaciteit dan traditionele firewalls staan aan de basis van zo’n architectuur. Deze omvangrijke capaciteit maakt het mogelijk om een enorme toevloed van gegevensverkeer af te vangen, en tegelijkertijd de poort- en IP-gebaseerde toegangscontrole te verzorgen die normaliter door een stateful firewall wordt uitgevoerd.

Published Mar 14, 2013
Version 1.0

Was this article helpful?

No CommentsBe the first to comment