Microsegmentatie afstudeeropdracht
Intro
Ik ben Ramon Bonsema en ik ben 23 jaren jong. Momenteel zit ik in het vierde jaar van de bachelor opleiding ‘Network & Security Engineering’ aan de Hanzehogeschool te Groningen en dat betekent dat ik ben toegekomen aan het afstuderen. Dat ga ik doen bij deze leuke club, FlexVirtual!
Na mijn eerdere stages bij Hotels.nl en TKP Pensioen vanuit het MBO, de RDW vanuit de derdejaars stage van het HBO en de zo’n vijf jaren die ik heb gewerkt bij TKP, ben ik op zoek gegaan naar een opdracht rondom security en het liefst in een omgeving waar ik nog niet eerder in heb gewerkt.
Hierop heb ik contact opgenomen met Steven Jans, consultant bij FlexVirtual, waar ik eerder mee heb samengewerkt. Het balletje is gaan rollen en na wat gesprekken met Alex kwamen we tot een opdracht omtrent microsegmentatie. Ik was enthousiast! Een interessant onderwerp omdat het innovatief is en actueel is. Actueel in deze tijd van toenemende virtualisatie van infrastructuren en bewegingen richting de cloud, al dan niet in hybride vorm. Daarnaast ook omdat het goed aansluit bij mijn opleiding en eigen interesse in digitale beveiliging.
De opdracht
8 februari van dit jaar (2021) ben ik gestart met mijn afstudeeropdracht voor een periode van 20 weken. Daarna hoop ik, nee ga ik, mijn diploma ophalen! Inmiddels ben ik dus al zo’n drie maanden aan het werk voor FlexVirtual en dat doe ik volledig vanuit huis. Inmiddels hoef ik het waarom vanuit huis niet meer uit te leggen. Ik ben blij dat FlexVirtual mij hierin vertrouwd en mij hier alle ruimte en ondersteuning bij bied.
Mijn opdracht gaat FlexVirtual van kennis voorzien omtrent microsegmentatie. De omschrijving van de opdracht is “Wat is de toepasbaarheid van microsegmentatie?”. Daarbij lever ik verschillende documenten op waar zowel sales, als de consultants van FlexVirtual iets aan hebben. Daarnaast lever ik twee demo-omgevingen op. Één gebouwd op Nutanix en één op VMware. Dat zijn de twee toonaangevende fabrikanten op het gebied van software-defined networking en de daarbij behorende mogelijkheden van microsegmentatie. Met deze twee omgevingen kan FlexVirtual microsegmentatie demonstreren aan bijvoorbeeld klanten.
Wat is microsegmentatie?
Microsegmentatie is een beveiligingsinstrument voor IT infrastructuren dat zich bevindt op laag drie van het OSI-model: de netwerklaag. Met deze techniek is het mogelijk de infrastructuur op te delen in verschillende beveiligingssegmenten die zijn gekoppeld aan de individuele workloads of virtuele machines.
Het opdelen – de segmentatie – gebeurd op een flexibele, dynamische en snelle manier, zonder dat er iedere keer aparte firewall-regels ingevoerd moeten worden.
Paard van Troje
Om het simpel uit te leggen leg ik graag de link met het tijdperk van de stroomculturen. Daar waar het paard van Troje ontstond, in de IT wereld bekend als Trojaans paard of ‘Trojan Horse’. Binnen de muren van een kasteel of dorp wanen de bewoners zich veilig. Door de muur, de gracht en de bewakers die buiten patrouilleren. Een heuse weerstand tegen aanvallen van buitenaf. Dit is te vergelijken met de hedendaagse firewall die het netwerk van een bedrijf moet beschermen tegen hackers of andere kwaadwillenden van buitenaf.
De muur is de (next-generation) firewall, de gracht is de distributed denial-of-service (DDoS) bescherming en de bewakers dienen als intrusion prevention/detection system (IDS/IPS) et cetera.
Maar wat als een indringer eenmaal voorbij deze muur, gracht en bewakers is geslopen? Te denken aan, je voelt hem aankomen, het paard van Troje.
Eenmaal binnen de muren kunnen kwaadwillende zich vrij bewegen. Er zal enkel een keer een deur dicht zitten met een slecht slot, als die al aanwezig is. In een traditioneel netwerk is dit niet anders. Wanneer een kwaadwillende erin slaagt om voorbij de firewall en andere beveiligingsmaatregelen te komen, kan hij zich vaak vrij bewegen door het netwerk. Wanneer vervolgens ontdekt wordt dat een machine gecompromitteerd is, is de kwaadwillende veelal al zo in het netwerk genesteld dat het voor de organisatie dweilen is met de kraan open. Een paar bekende voorbeelden die hier goed misbruik van wisten te maken en voor veel schade hebben gezorgd zijn: Petya en WannaCry.
Segmenten
Zoals gezegd kan met microsegmentatie het netwerk in verschillende (kleine) segmenten ingedeeld worden. Elk segment krijgt als het ware een eigen muur, ofwel om elk segment komt een (virtuele) firewall met eventueel aanvullende beveiligingsmaatregelen. Dit kan zo specifiek dat zelfs machines in hetzelfde netwerk niet langer bij elkaar kunnen komen. Hierdoor is het voor kwaadwillenden lastiger om zich lateraal te bewegen door het netwerk en kan het de weerstand van een bedrijf tegen aanvallen aanzienlijk versterken.
Hoe dan?
Dat was de vraag die in mijn hoofd spookte op de vraag hoe een bedrijf microsegmentatie zou kunnen implementeren. Hoe breng je in kaart welke machines ‘bij elkaar horen’, met elkaar praten en dan specifiek over welke poorten en welke protocollen? In eerste instantie dacht ik ontzettend veel werk, maar uiteraard was ik vast niet de eerste die aan deze vraag dacht.
De twee fabrikanten die ik gebruik, Nutanix en VMware, kunnen zelf heel netjes in kaart brengen welk verkeer waarheen beweegt. Vervolgens kun je met een paar ‘simpel’ aan te maken policies deze in kaart gebrachte verkeersstromen toestaan of blokkeren en deze regels vervolgens koppelen aan tags of categorieën die hergebruikt kunnen worden.
Microsegmentatie is dus een virtuele vorm van firewalling, maar de fysieke firewalls moeten niet vergeten worden. Daarom neem ik deze in m’n opdracht en onderzoek mee en ga ik kijken of en hoe ze kunnen samenwerken of elkaar kunnen versterken. Daarnaast kijk ik uiteraard naar de vragen als waarom gebruiken bedrijven de techniek wel of niet en wat zijn daarbij de afwegingen.
Gaaf!
Inmiddels ben ik dus al zo’n drie maanden bezig met mijn opdracht en word ik steeds enthousiaster van de mogelijkheden. Het is een knap en mooi staaltje techniek dat zeer geavanceerd en dynamisch ingezet kan worden. Zo is het mogelijk dat een machine alleen benaderd kan worden door een gebruiker met een specifieke permissie in combinatie met ‘de juiste’ PC. Maakt een andere gebruiker gebruik van diezelfde PC maar mist hij de juiste permissies op zijn account, of lidmaatschap van een groep of afdeling, dan kan deze gelijk niet meer bij de machine. Andersom, een gebruiker met de juiste permissies, maar vanaf ‘een verkeerde’ PC, lukt het ook niet.
Maar ook kan het zo zijn dat standaard niemand van de IT bij een machine kan komen. Wordt er een ticket aangemaakt omdat er problemen zijn met die machine, zou je kunnen denken: hoe komt de IT-afdeling dan bij die machine om het probleem op te lossen. Het is mogelijk om zo te automatiseren dat wanneer een ticket op een persoon van de IT zijn naam staat, deze persoon specifiek het recht krijgt om wél bij de machine te kunnen komen. Is de ticket afgehandeld dan worden deze rechten ook weer automatisch weggehaald.
Deze dynamiek en toch mogelijke complexiteit van regels vind ik erg gaaf. Gewoon cool!
De komende tijd hoop ik nog meer gave dingen te ontdekken die mogelijk zijn, met als eindresultaat een mooi product en kennis voor FlexVirtual.
Meer weten?
Voor meer informatie en/of advies over microsegmentatie of afstuderen bij FlexVirtual, kun je contact met ons opnemen door hier te klikken. Via mail kan natuurlijk ook, kies dan voor hallo@flexvirtual.nl. Wij nemen zo snel mogelijk contact met je op!