Network Security2018-05-24T15:48:35+00:00

Network Security

När vi pratar om nätverkssäkerhet måste vi skilja på olika delar.Det finns nätets perimeter, det fysiska nätverket och det trådlösa nätverket.

Nätverkets perimeter

De traditionella perimeterlösningarna, som typiskt bestod av en brandvägg och en proxy är över. Det är väldigt svårt att idag avgöra vad den faktiska omfattningen är för ett företag, eftersom vi flyttar till en mer mobil värld där alla behöver ha tillgång överallt, från alla enheter och där program körs både lokalt och i molnet .

Enligt oss måste vi skilja på två saker, inkommande säkerhet för att skydda tillgångar och utgående säkerhet, varigenom användare och applikationer skyddas från t.ex. hämta skadlig kod.

En nästa generations security gateway  kommer att vara en kombination av flera lösningar beroende på kundens faktiska miljö. Vad bör beaktas är:

  • Skydd mot zero day attacker, Advanced Persistent Threats (APT) och skadlig programvara
  • Nästa generations hårdvara: högre prestandat
  • Integrerad Threat Prevention (IPS, URL, Anti-Virus, Anti-Malware, Content Scanning)
  • Användarigenkänning
  • Signaturlös upptäckt
  • Virtuell formfaktor för att säkra en virtualiserad servermiljö
  • Rapportering och managering
  • DDoS-skydd på flera nivåer
  • Applikations identifiering
  • Identitets- och åtkomsthantering för ett hybridapplikationslandskap (se även Cloud Security)
  • Separata krav på utgående och inkommande säkerhet
  • Integration mellan olika lösningar (t.ex. NAC och Security Gateway)
  • Threat Intelligence (threat feeds) för en helt integrerad lösning

För att vara ansluten, alltid och överallt, är det starkt rekommenderat att ha en tillräcklig mängd trådbundna och trådlösa anslutningar i en campusinfrastruktur. Inom området säker infrastruktur uppfylls dessa krav genom ett antal av lämpliga lösningar som LAN-switchar, datacenter fabrics, trådlösa accesspunkter och kontrollers. De rätta komponenterna och funktionerna väljs utifrån företagets principiella säkerhetsarkitektur.

Secure Switching

Behovet av infrastruktur för att tillhandahålla anslutning mellan klienten och applikationsservrarna är inte ny utan har funnits i årtionden. Den kontinuerliga utvecklingen för att leverera smartare och effektivare lösningar med ökad flexibilitet, funktionalitet och hanterbarhet ger nya möjligheter till företag och organisationer.

Utvecklingar och behov som Power over Ethernet (POE +), ”New Style” hög tillgänglighet (no Spanning Tree), stackningar (Aggregated Links), identitetsbaserad åtkomst (802.1x), programmerbara system (SDN), skalbarhet, förenkling av operativ management etc, kräver en regelbunden förnyelse av LAN och datacentrets infrastruktur. Särskilt behov av nätverksvirtualisering uppstår för att betjäna SDDC-arkitekturen (Software Defined Data Center).

Eftersom säkerhet blir alltmer integrerad i LAN och ofta på Layer , är det viktigt att titta på anslutningen och funktionaliteten för att säkerställa säkerhet och tillgänglighet (DHCP-spoofing, dynamisk ARP-inspektion, privata VLAN, IP-källskydd, hastighetsbegränsning, stormkontroll , etc.).

Funktioner

  • Lägre strömförbrukning
  • Mer bandbredd / kapacitet
  • Enkelt operativsystem
  • Phasing Spanning Tree
  • Ej överbokad design
  • Hög tillgänglighet i en aktivt läge
  • Integrerad säkerhet
  • Nätverksvirtualisering
  • Programmerbarhet (open flow)
  • Integration av röst / data på enskilda gränssnitt och eventuellt båda ”taggade”
  • Lägre TCO

Trådlös säkerhet

Trådlöst är nu tillgänglig inom de flesta företagsarkitekturer. Hur och för vem är dock mindre tydligt. Under de senaste åren har det varits en hel del utveckling, vissa fortfarande pågående, kring accesspunkterna. Ny teknik som 802.11ac, smarta funktioner för roaming och radio management, kontroll och trafikhantering (inklusive säkerhet) via en central admin eller via en enklare admin för att nämna några.

Skapandet av en trådlös infrastruktur verkar enkelt, men erfarenheten har lärt oss att förutom att välja rätt leverantör krävs också expertis för att uppnå en bra trådlös arkitektur.

En bra täckningsplan, en hög tillgänglighet, rätt kapacitet (i bandbredd och antal användare) och funktionalitet är några villkor för att erbjuda en säker trådlös lösning i en företagsmiljö. Det måste dessutom kombineras med användarautentisering för både gäster och anställda samt på såväl BYOD och företagsenheter innan tillgång till internet eller affärsapplikationer.

På SecureLink arbetar vi med trådlösa leverantörer som utvecklar alla produkter ur ett säkerhetsperspektiv.

Funktioner

  • Mer bandbredd per användare
  • Access baserat på authenticering
  • Centrala managering
  • Ökad trådlös täckning
  • Tillämpning av nya trådlösa standarder
  • Skalbart
  • Integrerad säkerhet
  • Platsbaserade tjänster
  • Klassificering av användare
  • Integration av röst / data

Säker arbetsstation

Säker arbetsstation avser säker åtkomst till applikationer. Dessa anlutningar måste vara tillgängliga överallt. Vanligtvis är en VPN konstruerad för att få tillgång till skyddade resurser. En begränsning av klient-serverns applikationer är att du behöver en specifik klient för att komma åt programmet. Det skapar en ytterligare säkerhetsrisk eftersom data då kommer att finnas på fjärrklienten.

Det finns en lösning som eliminerar dessa begränsningar: publicerade applikationer eller full virtuell skrivbordsinfrastruktur. Genom en mycket begränsad klient som du kan installera på nästan vilken enhet som helst, kan du få åtkomst som om du arbetade lokalt.

Eftersom bara skärm- och tangentbord kommer att skickas över nätverket kan alla data ligga i det centrala datacenteret. Således upplever du samma hastighet och säkerhet. Autentisering av användaren är av yttersta vikt idag. En stark autentiseringsmetod i kombination med VDI rekommenderas starkt.

Virtualisering

Virtualisering dyker upp på olika nivåer. Fram till nyligen var det bara vanligt på servernivå, men idag används det ofta på såväl endpoint som i datacentret. Vid dessa endpoints finns det fler och fler virtuella skrivbordsinitiativ. Vid datacentret finns anpassningen av SDD (Software Defined Networking) och Software Defined Data Centers (SDDC). Anledningen till dessa trender är flexibiliteten och smidigheten i miljön. Målet är att ha en komplett infrastrukturstack som kan användas av en enda person. Det är inte längre nödvändigt att vänta på att de olika avdelningarna distribuerar de enskilda komponenterna. Tydliga exempel på sådana miljöer som framkom av SDDC-konceptet är Amazon och Azure. Samma koncept gäller allt oftare i större företag.

Något som är väldigt viktigt för oss är möjligheten till extra säkerhet. Tack vare ”service chaining” och ”mikrosegmentering” är det möjligt att omdirigera specifika trafikflöden genom dedikerade säkerhetlösningar, även om trafiken är mellan två enheter i samma lager 2-subnät.

Lagring

Behovet av lagring fortsätter att öka. En flexibel och skalbar lösning, både vad gäller kapacitet och prestanda, är ett måste. Prestanda uttrycks typiskt i antal IOPS (Input / Outputs per sekund). Redundans är också mycket viktigt. Företagen har inte råd att förlora data. För att ge den nödvändiga redundansen finns det flera alternativ, allt från redundanta diskar till helt redunanta system som sprids över flera platser. Det är upp till SecureLink-konsulterna att utforma den bästa arkitekturen för kunden utifrån deras individuella behov.

Backup är nära relaterad till lagring också. Säkerhetskopier är mer och mer placerade off-site: på egen infrastruktur eller till och med i molnet. Utmaningen är att få en flexibel lösning som ger en snabb återställning om du behöver det. Typiska säkerhetskopior är en del av ett totalt återställningsscenario vid en katastrof och måste tas på allvar.

SecureLink Sverige