Evolusjonen er der kontinuerlig. Heldigvis. Men noen ganger er den ikke det, man ikke bare står på stedet hvil, men man går faktisk bakover i tid.
«Alle» skal til skyen. Veldig mange gjør det «blåøyd» og tenker «vi gjør som myndighetene anbefaler». Ikke bra. Skyen ER usikker, men kan bli bra. Viktig å presisere «kan», fordi det er ditt og deres ansvar å gjøre den sikker.
Skyen. Boeing 747 vs Ford Focus
«Alle» har tatt førerkort på bil og kan dermed kjøre en Ford Focus, eller nærmest hvilken som helst bil.
Bare noen få har tatt «lappen» på Boeing 747, for mange grunner. Det er ikke så mange som trenger det, og det er en mye mer komplisert enhet å håndtere enn en vanlig vil.
Mye av det samme er det innen datasenter. Vi har hatt datahaller, datasenter og datarom i 50 år. Disse har vært håndtert av hvermansen med grunnkompetanse og noen kurs. Det er litt som å kjøre og vedlikeholde en vanlig bil.
Og så skal man til skyen, gjerne i parallell til det gamle systemet, og danner en hybrid løsning. Dette ikke bare dobler, men flerdobler kompleksiteten. En ting er at man får ting til å fungere, men hvordan er kvaliteten? Hvordan er sikkerheten? Og her er essensen.
Next Generation Firewall!?!?
Next Generation Firewall ble et begrep i 2007 når Palo Alto Networks kom med en ny generasjon sikkerhetsteknologi som hadde til hensikt å ha et høyere sikkerhetsnivå på det som er den primære funksjonen til en brannmur, nemlig tilgangskontroll. Tidligere ble tilgangskontroll gjort basert på IP adresser og portnummer basert på mange antagelser. I 2007 ble tilgangskontroll i nettverk løftet til et nivå som virkelig betyr noe, nemlig brukerbasert mot applikasjoner og URL’er. Plutselig kunne man kontrollere det som er mye mer forståelig og verifiserbart. I tillegg kunne all denne kommunikasjonen inspiseres med forskjellige sikkerhetsfunksjoner for å identifisere og stoppe skadelig trafikk.
Med årene kom alle de andre produsentene etter og nå har «alle» en Next Generation Firewall i sitt datasenter. Noen få henger igjen med forhistorisk teknologi, og altfor mange kjører moderne teknologi med et gammelt mindset. Vanskelig å lære gamle hunder å sitte.
Trusselbildet er meget tydelig. Skadelige hendelser er i media hver eneste uke, og trenden er dyster. Vi mennesker må gjøre noe for å snu denne trenden i form av bl.a bedre tilgangskontroll.
Skyen går bakover i tid
Enten man går for Microsoft Azure, Amazon Web Services eller Google Cloud Platform går man tilbake til 80 tallet og brannmurens fødsel når det kommer til brannmurteknologi. Og dette gjør majoriteten av de som går til skyen.
I tillegg tillates utgående kommunikasjon «by default» for flere av de, og Microsoft har nettopp lansert at de skal endre denne default funksjonen i 2025!!!!! Hvorfor vente???? I 3 år!!!! Dette er midt i gata til VG testen. Microsoft Azure stryker på VG testen fra start.
Brannmurens primære oppgave er tilgangskontroll, og evolusjonen som har foregått i mange år innen dette området er bare neglisjert i skyen. Kanskje ikke så rart ettersom de som lager NGFW ikke lager IaaS, og de som lager IaaS ikke lager NGFW.
Det er mulig å integrere disse to teknologiene, men det krever.
Hva har man i datasenteret og skyen? Verdiene sine. Hvorfor skal man senke krav og behov for god visibilitet, logging, tilgangskontroll, inspeksjon og sikkerhet når man går til skyen? Er det fordi man tenker at skyen er den ultimate løsningen? Det er ikke det. Vær klar over det.
Egne erfaringer
Vi har prøvd å etablere god og sikker løsning i skyen med AWS og Palo Alto Networks. Å få løsningen til å fungere er relativt fort gjort, men det var når vi skulle begynne arbeidet med å gjøre det Zero Trust sikkert at ting ble komplisert.
CIA/KIT, Konfidensialitet, Integritet og Tilgjengelighet er med oss hele tiden. Tilgjengelighet er ikke overraskende den førende og ledende fokus for de aller fleste. Men i dagens trusselbilde MÅ man anta det verste og ta action basert på det, og det er da det blir komplisert.
Pust før du går til skyen
Det er veldig mange gode grunner for å gå til skyen. Det ligger muligheter der du ikke får andre steder, både når det gjelder ytelse, skalering, men også sikkerhet. Vær bevisst på hvorfor du går til skyen, hva du trenger, og hva som kreves. Husk at verden går fremover, både på godt og vondt (trusselbildet øker og de kriminelle øker sine aktiviteter).
VG testen i skyen
Pass på så du ikke går bakover når du går til skyen, for leverandørene der selger det de har, selv om det er gammeldags.
Kjør VG testen, alle steder, i eget datasenter og i skyen. Dette er veldig viktig. Adressér VG testen ved å hviteliste hva dine servere får lov til å gjøre mot internett for å begrense eller fjerne muligheten for åpning av bakdører. Å gjøre dette med skyløsningenes brannmur løsninger vil jeg gjerne se hvordan dere gjør.
Leave a Reply