image

Column: 10GigE beveiligen

dinsdag 24 april 2007, 11:49 door Redactie, 18 reacties

Toenemende volumes aan dataverkeer, zoals media-rich applicaties (video-on-demand en streaming video) en consolidatie van het datacenter stuwen de behoefte aan bandbreedte en hogesnelheidsaansluitingen op. 10Gb Ethernet sluipt overal organisaties binnen, en confronteren carriers met een sterk groeiende capaciteitsvraag. 10GbE was alleen al in 2006 goed voor een markt van 1,8 miljard dollar (Dell'Oro Group). Ondertussen vermenigvuldigen de beveiligingsrisico’s zich in aantal en in complexiteit. Dit vraagt om diverse methoden van bescherming op de netwerk- en de applicatielaag. In beide gevallen staan de prestaties en de schaalbaarheid van het netwerk onder druk. Veel bedrijven vinden de oplossing in een multi-threat platform, dat kan functioneren in een 10GbE-omgeving en dat ongekende niveaus van verwerkingskracht en beveiliging biedt.

Stees meer ondernemingen, universiteiten, overheidsorganisaties, onderzoeksinstituten en publieke instellingen - om vaste en mobiele telefoonbedrijven niet te noemen – investeren in multi-threat security-oplossingen om hun netwerkverkeer en investeringen te beschermen. Nu alles in de toekomst op steeds hogere niveaus van capaciteitsbeslag van het netwerk wijst, zal de 'virtuele' omvang van deze organisaties ongekend toenemen. De uitdaging om een veilige toekomst voor hun snellere en grotere netwerken te plannen, kan zelfs al in 2010 leiden tot een nieuwe 100GbE standaard.

Op de lange lijst van IT-mythen (ergens in de buurt van "de overheid leest de e-mail van iedereen") staat de notie dat multi-threat security uitsluitend voor het MKB bestemd is. Tot nu toe krijgt men het idee dat alleen losstaande firewalls, antivirus-platforms, IDP-systemen etc. beproefd, robuust en betrouwbaar genoeg zijn voor de wereld van de grote ondernemingen, wat met name komt door de veteranenstatus van dergelijke oplossingen. 'Deze technologie is gepokt en gemazeld' luidt de claim, wat Hollywood producers ook zeiden over Kevin Costner, voordat ze zich realiseerden dat hij niet kon acteren en niemand zijn films leuk vond.

ATCA compliant (dat wil zeggen gecertificeerde carrier grade) multi-threat security-oplossingen voor de 10 Gigabit netwerkomgeving zijn al lang en breed gearriveerd. Toch wordt nog steeds van ons verwacht te vinden dat deze ‘nieuwe’ generatie beveiligingstechnologieën (inmiddels al weer een decennium oud) de kwetsbare, speelse nakomertjes zijn van het volwassen en op eigen benen staande point product wonderkind.

Gezien de beweging naar grotere, snellere en meer complexe netwerken is het niet verwonderlijk dat de conventionele aanpak om ‘best-of-breed’ point products in te zetten niet langer voldoet. IDC voorspelt dat aan het einde van het lopende jaar 80% van alle beveiligingsoplossingen zal worden verschaft via een dedicated appliance. Dit komt doordat single function toepassingen voor geen enkele bedrijfsomvang strategische waarde meer bieden. Vandaar de stelling dat security ‘pointless’ is geworden. Sterker nog, deze dure, omslachtige en inefficiënte aanpak om serieuze netwerkproblemen te lijf te gaan, verliest aan populariteit. Het marktaandeel van de point-vendors kalft in het zelfde tempo af als waarin haastig in elkaar geflanste ‘UTM’-producten worden geïntroduceerd.

In de 10GbE business en IT-omgeving van vandaag is alles wat geen complete bescherming biedt geen optie. Er is een almaar groeiende hoeveelheid aan infrastructuur en informatie te beschermen en een grotere hoeveelheid, diversiteit en intensiteit aan dreigingen af te weren.

Security wordt min of meer "pointless". Zonder een efficiëntere en economischer blended multi-threat aanpak kan het ook zinloos worden.

Door Harm Jan Arendshorst, Manager Fortinet Benelux

Reacties (18)
24-04-2007, 11:58 door Anoniem
Fortinet... waren dat niet die mensen die nog niet eens een
IPv6 roadmap hebben?
24-04-2007, 12:08 door awesselius
Die vergelijking met Costner slaat echt op..... Costner.

- Unomi -
24-04-2007, 12:19 door Skizmo
waardeloos artikel
24-04-2007, 13:46 door Anoniem
De essentie van dit verhaal is: de netwerksnelheid neemt toe, dus zijn all-
in-one producten heel geschikt.

Tja, geloof je het zelf? Het enige argument dat ik hier lees is dat het
goedkoper zou zijn. Maar goedkoop is duurkoop. Fortinet behoort zeker niet
tot best of breed voor geen van de deelgebieden.
24-04-2007, 13:53 door Gonzalex
"In de 10GbE business en IT-omgeving van vandaag is alles
wat geen complete bescherming biedt geen optie."

Wat biedt Fortinet dan om de fysieke beveiliging op orde te
krijgen (badge reader systeem o.i.d.)? En Fortinet regelt
ook access control? Oftewel: waar bestaat die "complete
bescherming" dan uit?

Leuk promotieartikeltje, maar ik heb liever weer gewoon
columns.

Daarnaast, als ik beveiliging serieus neem maak ik per
bedreiging een serieuze afweging tussen de oplossingen die
verschillende leveranciers bieden en zou ik nooit lukraak
een totaaloplossing aanschaffen. Wellicht dat dit soort
producten daarom juist meer geschikt is voor MKB?
24-04-2007, 14:17 door Anoniem
"pointless"
24-04-2007, 15:56 door Anoniem
Door Anoniem
De essentie van dit verhaal is: de netwerksnelheid neemt toe, dus zijn all-
in-one producten heel geschikt.

Tja, geloof je het zelf? Het enige argument dat ik hier lees is dat het
goedkoper zou zijn. Maar goedkoop is duurkoop. Fortinet behoort zeker niet
tot best of breed voor geen van de deelgebieden.
Welke vendor kan je mij aanbevelen mocht ik 500mb AV(Http) scanning
willen enforcen op mijn netwerk?
24-04-2007, 16:03 door Anoniem
In 2000 schoot je in de lach indien een klant op wirespeed 1
Gb/s darkfiber met één appliance wilde firewallen.

Tegenwoordig schiet je in de lach indien een appliance dat
niet kan.

Wat deze meneer vergeet is dat het alleen maar duurder gaat
worden om een infrastructuur mee te laten schalen met de
behoefte.

Maar door verkeer naar functie te scheiden hoef je niet
alles mee te laten schalen.

Ik vraag mij af voor wie de doelgroep is voor dit warrig
verhaal, ik kan me niet voorstellen dat er op deze site veel
mensen komen die zich hierin kunnen vinden als ook zijn
gedachten geheel begrijpen.
24-04-2007, 16:07 door WhizzMan
De essentie van het artikel lijkt mij dat de markt dicteert
dat rode kastjes met blauwe ledjes beter werken dan goed
nadenken over je security. Wat 10Gbit ethernet er mee te
maken heeft is me niet duidelijk, kennelijk is het een
buzzwoordje wat wordt gebruikt om mensen te intrigeren en
het artikel te lezen. Er wordt namelijk totaal niet ingegaan
op de technische problemen die het oplevert als je op
packet-inspection niveau alle traffic in een 10Gbit backbone
van een ISP zou willen analyzen en blocken als het malicious
is. De eerste partij die daarvoor met een werkende
betaalbare oplossing komt zal echt met open armen ontvangen
worden en niet worden weggejouwd zoals de auteur beweert.
Alleen al het aftappen van het internetverkeer van een paar
gebruikers waar justitie om vraagt is al door bijna geen
enkele leverancier uit te voeren, laat staan dat het verkeer
van honderdduizenden gebruikers realtime geanalyseerd kan
worden en geblocked....
24-04-2007, 16:08 door Anoniem
Probeer de essentie uit het artikel te halen.. je kunt je bijvoorbeeld afvragen
of een firewall op de perimeter voldoende is wanneer je achter die firewall
op je eigen netwerk een 40gbps core hebt draaien met 20 datacenters,
terwijl je NAM's blijven steken op 4gbps en een goede netwerkkaart op een
standaard 'sniffer' pc niet verder komt dat 70mbps. de kans dat een virus
van een 3rd party laptop aan de 'goede' zijde van de firewall rotzooi trapt
wordt vele malen groter dan via die firewall met een paar megabit per
seconde...
24-04-2007, 16:16 door [Account Verwijderd]
Allemaal mooi en wel dat UTM gewouwel maar nu kan één ventje
met één foute configuratie je hele boel opengooien, terwijl
met multithreat hij al op al je appliances fouten moet gaan
maken. En wat is de grootste bug in security? Juist: de
mens. Geef de mens één management console ipv 10 en hij kan
10x zoveel schade aanrichten.

Ik vind dat artikels laten schrijven door commerciële
vertegenwoordigers van een bedrijf het niveau van de site
naar beneden halen. Om op hetzelfde niveau verder te gaan:
Harm Jan, waarom ben je eigenlijk weg gegaan bij RSA?
24-04-2007, 18:31 door [Account Verwijderd]
[Verwijderd]
24-04-2007, 20:02 door joashh
zoals anoniem @ 16:08 al aangeeft, de essentie here en dames, de essentie, daar draait het om.

Fortinet is inderdaad niet best of breed op alle deelvlakken, maar! ik lees ook nergens dat ze dat claimen. Fortinet zet heel duidelijk de trend in een security ontwikkeling, die, of we het er nu mee eens zijn of niet, wel de toekomst van firewalling is.

Bandbreedtes nemen in rap tempo toe, 10 GB ethernet is een barrier die nog niet veel firewall & security vendors aandurven in een zgn multi threath of UTM oplossing.

Het is inderdaad goedkoper om bepaalde functionaliteiten te combineren, organisaties moeten nu eenmaal een keuze maken tussen 10 verschillende, en dus ook complexer te beheren en integreren point solutions, of een goede (maar niet best of breed) multi security oplossing.

en, om terug te komen op een vraag in de reacties, over welke oplossing ik zou adviseren in een 500 mbps AV omgeving, dat zou toch echt een fortinet oplossing zijn.

laten we vooral niet harmjan woorden in de mond leggen, maar reeël zijn. UTM is een prima first line defense oplossing.
het zal altijd nodig zijn om bijvoorbeeld een goede AV of HIPS oplossing op desktops en servers te hebben. het gaat om het totaal plaatje, defense in depth om maar eens een mooi buzzword te gebruiken, is het doel. vendors als bijvoorbeeld cisco, juniper , checkpoint en ook fortinet doen hun best om een goede mix tussen performance en goede security te vinden, iets wat in de immer meer bandbreedte vretende online community niet makkelijk is.

anyway, my thoughts on this subject ;-)
24-04-2007, 20:09 door joashh
oja, één aanvulling op mijn post,

waar dat verhaal over ipv6 vandaan komt weet ik niet, maar dat werkt wel gewoon met fortinet.

ik heb zelf al de nodige setups gezien en gebouwd waarin ipv6 ondersteuning al noodzakelijk was, en dat is me toen prima gelukt met de spullen van fortinet.
24-04-2007, 20:58 door [Account Verwijderd]
[Verwijderd]
24-04-2007, 21:44 door joashh
@ jos,

je hebt gelijk, security moet je niet aan één device
overlaten, laat staan aan één vendor.
Als je de tijd zou nemen om met vendors te praten, en zeker
de mensen achter het commercielë "frontend" zou je merken
dat ook daar ronduit word gezegd dat het een gelaagde, multi
vendor oplossing moet zijn, defense in depth dus.
Fortinet is een vendor die zich profileet als een goede
eerste lijns verdediging, een goede manier om je meestal
tochal beperkte security budget zo goed mogelijk te
besteden, om zodoende nog wat geld over te houden voor , ik
noem maar wat, een goede correlatie engine, of je security
management eens lekker vorm te geven.

oja, ook ogres hebben verschillende lagen, daar heb je
gelijk aan ;-)
25-04-2007, 20:11 door Anoniem
kevin costner ruled
30-04-2007, 14:25 door fits
Door Anoniem
Door Anoniem
De essentie van dit verhaal is: de netwerksnelheid neemt toe, dus zijn all-
in-one producten heel geschikt.

Tja, geloof je het zelf? Het enige argument dat ik hier lees is dat het
goedkoper zou zijn. Maar goedkoop is duurkoop. Fortinet behoort zeker niet
tot best of breed voor geen van de deelgebieden.
Welke vendor kan je mij aanbevelen mocht ik 500mb AV(Http) scanning
willen enforcen op mijn netwerk?

-->webwasher
-->eventueel TippingPoint
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.