It-säkerhet har i många år byggt på en väldigt centraliserad modell där användarnas trafik skall passera och inspekteras i brandväggar som är placerade på till exempel ett huvudkontor eller ett datacenter. Den här arkitekturen blir allt mer utmanad då användarna ställer högre krav på nätet. Det finns tre primära drivkrafter som leder bort från den centraliserade arkitekturen:
Internet som WAN. Det är numera accepterat att använda internet som WAN och i många fall kan en internet-förbindelse upprätthålla samma kvalitet och tillgänglighet som en dyrare förbindelse.
Molntjänster. Användare vill konsumera molntjänster med bästa möjliga prestanda och då är det inte lämpligt att transportera tillbaka trafiken till ett centralt kontor.
Kostnader. Att transportera tillbaka trafik centralt innebär en högre kostnad och ett slöseri med resurser då den centrala internet-förbindelsen måste kunna ta emot trafik från alla de övriga kontoren bara för att släppas ut på internet igen.
Dessutom kommer det bli svårare och svårare att inspektera användarnas trafik då allt mer av trafiken blir krypterad i form av TLS 1.3, QUICC och andra krypterade protokoll. Det är bara en tidsfråga innan trafik i klartext blir undantaget som bekräftar regeln och inte tvärtom.
Hur bygger man då en säker arkitektur i en decentraliserad värld?
Svaret är att du måste tänka om och börja tänka i flera lager istället för att fokusera all kraft på ett perimeterskydd. Nedan listar jag ett antal områden du bör fundera på och utvärdera när du skapar din nya säkerhetsarkitektur.
1. Brandvägg på varje kontor
Ett alternativ kan vara att placera brandväggar på varje kontor istället för att ha detta som en centraliserad tjänst. Frågan är dock hur kostnadseffektivt det blir och hur stor del av trafiken som kan inspekteras. Hur hanterar du att implementera ett regelverk som nu behöver implementeras på kanske 100-tals brandväggar jämfört med bara en eller ett fåtal som tidigare? Är det värt att placera en på vissa kontor?
2. Klientsäkerhet
I slutändan kommer det bli så att klienten är den enda som kan få full insyn i trafiken och därför måste klienten skyddas i form av en applikation som har skydd för både virus, malware och crypto locker attacker. Denna applikation bör kunna inspektera DNS-förfrågningar och upptäcka hot som inte enbart är beroende av uppdaterade virus-signaturer. Många attacker kommer idag enkelt förbi den typen av primitivt skydd.
3. Decentraliserat internet
Att transportera tillbaka all internettrafik är inte effektivt. Att släppa ut all internettrafik lokalt kan vara ett stort steg men det finns också alternativ. Det är möjligt att till exempel släppa ut alla molntjänster lokalt, vilka har en större chans att vara säkra än slumpmässig trafik på internet, och transportera tillbaka övrig internettrafik via en central plats. Detta kan vara en acceptabel kompromiss om man inte vill släppa ut all trafik lokalt.
4. Smartare routrar
Routrar blir allt smartare, framför allt om det är den typ som har stöd för SD-WAN funktionalitet. Det finns numer routrar som har både brandväggsfunktionalitet, IPS och URL-filtrering. Det går då att använda samma verktyg som används för att bygga WAN för att också bygga upp säkerhetsarkitekturen.
5. Säkerhet i molnet
Det finns ett antal olika säkerhetstjänster i molnet som kan fungera både som proxy och/eller brandvägg. På så sätt läggs en del av ansvaret ut på leverantören av denna tjänst istället för företaget. Betänk dock följande, vilken typ av hot skyddar denna tjänst mig mot? Hur lång omväg, om någon, tar trafiken när den skall tunnlas till leverantören? Hur hanterar den krypterad trafik? Klarar den all typ av trafik eller bara specifika protokoll såsom http och https?
6. Maskininlärning
Machine learning, eller maskininlärning på svenska, är ett uttryck som används friskt idag men vad har det med säkerhet att göra? Då allt mer av trafiken blir krypterad krävs det smartare säkerhetslösningar. Det finns idag nätverksenheter som kan analysera krypterad trafik och använda algoritmer som analyserar om det är en godartad eller elakartad trafik. Detta sker genom att titta på mängden trafik, mönster i trafikflödet, hur ofta paketen skickas och så vidare. När ni köper in nätverksutrustning så kontrollera om din produkt har denna typ av skydd.
Vi går mot en mer decentraliserad värld där säkerhet måste byggas i flera lager och på flera ställen i nätverket. Det går inte längre att förlita sig enbart på ett perimeterskydd. För att hänga med i den utveckling som sker gäller det att tänka i nya banor och ta ett helhetsgrepp om säkerheten. Vänta inte med att uppdatera din arkitektur.
Befattning: Senior network architect
Företag: Conscia Netsafe
Linkedin: Daniel Dib
E-post: daniel.dib@netsafe.se
Expertområden: Nätverksdesign och säkerhet
Certifieringar: Cisco Certified Design Expert, certifierad nätverkskonsult
Bakgrund: Kvalificerad erfarenhet från flera områden, såväl myndigheter, operatörer, kommuner och storföretagsmiljöer. Specialist på att bygga nätverk med snabb konvergens eller multicast-transport.
