Verbetering van de beveiliging met F5 SSLO in Equinix

In de loop der jaren hebben we veel trends in de industrie zien komen en gaan. Twee hiervan - cloud en mobiliteit - vallen onder wat we "megatrends" zouden kunnen noemen. Dit zijn bewegingen binnen de industrie, die de computerwereld hebben ontwricht en uiteindelijk hebben veranderd.

Mobiliteit was er het eerste, en het opende de ogen van de consument voor de mogelijkheid om onderweg te kunnen computeren. Onze telefoons werden onze constante metgezellen. De apps waar we op vertrouwden voor entertainment en samenwerking waren echter niet zo mobiel.

Public cloud biedt daar een antwoord op en biedt nieuwe locaties en manieren om applicaties in te zetten. Vandaag de dag is bijna negen op de tien (87%) van de organisaties aanwezig in meerdere publieke cloud-eigendommen. Met zoveel applicaties in de publieke cloud zijn de verkeerspatronen van applicaties verschoven. Onze klanten zien nu steeds meer verkeer dat bestemd is voor een publieke cloud, of dat verkeer nu wordt gegenereerd door medewerkers of door hun klanten. Wat niet veranderd is, is de noodzaak om dat verkeer te beveiligen. Inderdaad, die behoefte is nu misschien meer uitgesproken dan ooit tevoren.

Volgens het State of Cloud Security 2020-rapport van Sophos "meldden multi-cloud organisaties meer beveiligingsincidenten in de afgelopen 12 maanden. Drieënzeventig procent (73%) van de ondervraagde organisaties maakte gebruik van twee of meer publieke cloudaanbieders en meldde meer beveiligingsincidenten dan de organisaties die gebruik maken van één enkel platform".

De uitdaging waar het bedrijfsleven tegenwoordig voor staat, is dat de bedrijfsperimeter waar traditioneel beveiligingscontroles worden uitgevoerd, verdwenen is. Er moeten nieuwe controlepunten worden geïmplementeerd omdat beveiliging niet optioneel is.

De uitdaging is het bestrijden van de complexiteit. Aangezien sommige applicaties in het datacenter blijven en andere naar meerdere cloud-eigendommen verhuizen, kan een van de oplossingen zijn om zowel in elke cloud als binnen het datacenter de juiste beveiligingscontroles in te zetten. Deze meervoudige implementaties leiden tot inconsistent beleid, een gebrek aan volledig inzicht in bedreigingen voor de veiligheid en aanzienlijke operationele kosten. Als gevolg hiervan geven veel organisaties een dergelijke strategie op, waardoor ze kwetsbaar zijn voor aanvallen.

Het inzetten van deze nieuwe beveiligingscontrolepunten op een centrale locatie waar gebruikers, publieke clouds en data elkaar kruisen is een winnende strategie. Het biedt een betere zichtbaarheid, een consistente beleidscontrole, minder operationele kosten en een efficiënter gebruik van de middelen. Een van die locaties is Equinix, dat bliksemsnelle, zeer lage latency verbindingen biedt met de publieke clouds die al door de meeste organisaties worden gebruikt via hun virtuele interconnectie oplossing, Equinix Cloud Exchange (ECX).

F5 heeft al eerder de algemene voordelen van BIG-IP als een cloud gateway in Equinix vastgesteld. Nu gaan we ons verdiepen in de specifieke use case voor SSLO (SSL Orchestration) om de bedrijfsresultaten te verbeteren.

BIG-IP en SSLO in Equinix

De uitdaging voor organisaties met een multi-cloud applicatie portfolio is groot. Bovendien geeft F5 in hun onderzoek aan dat de meest urgente uitdaging voor de afgelopen drie jaar met betrekking tot multi-cloud het afdwingen van een consistent beveiligingsbeleid in alle applicaties, waar dan ook, is geweest. Privacy en beveiliging zorgen ervoor dat bijna al het verkeer vandaag de dag gecodeerd is. Mary Meeker merkt op dat het aandeel gecodeerd verkeer begin 2019 al 87% bedroeg, en uit het laatste transparantierapport van Google blijkt dat bijna 90% van al het webverkeer gecodeerd is.

De meeste organisaties gebruiken gemiddeld tien verschillende applicatiediensten om applicaties te beveiligen, te leveren en te optimaliseren. Het is niet echt een optie om er maar één te kiezen. Beveiliging domineert de meest gebruikte diensten: DNSSEC, bot verdediging en fraudebestrijding. Er is niet één applicatie service die alle beveiligingsmogelijkheden biedt die een organisatie nodig heeft om haar infrastructuur en toepassingen te beschermen tegen bestaande en opkomende bedreigingen. De behoefte aan deze services in alle omgevingen leidt tot aanzienlijke uitdagingen met integratie en orkestratie op een naadloze, gebruiksvriendelijke manier.

Hoewel men meerdere beveiligingsdiensten aan elkaar zou kunnen koppelen, hoeven niet alle applicaties en het verkeer door dezelfde set beveiligingsdiensten te worden geëvalueerd.

Het gebruik van BIG-IP als cloud gateway op het Equinix platform stelt organisaties in staat om een veiligheidscontrolepunt te creëren en tegelijkertijd gebruik te maken van de mogelijkheden van meerdere beveiligingsapplicatie diensten zonder de operationele overhead van het handmatig integreren en orkestreren van beveiligingsdiensten op basis van een applicatie. BIG-IP SSL Orchestrator (SSLO) zorgt ervoor dat verkeer correct wordt gerouteerd naar de juiste beveiligingsdiensten voordat dat verkeer veilig wordt geacht om door te sturen naar de bestemming in een publieke cloud of in het datacenter. BIG-IP SSLO decodeert gecodeerd verkeer en stuurt het vervolgens, op basis van het type en de bron van het verkeer, naar de juiste beveiligingsdiensten voor inspectie. Dit betekent een dynamische service keten die gebaseerd is op logica en niet op handmatige richtlijnen. Het resultaat is een verbeterde zichtbaarheid om bedreigingen te beperken met behoud van bestaande beveiligingsinvesteringen in malware, dataverlies preventie, next-gen firewalls en andere beveiligingsapparatuur.

BIG-IP SSLO integreert ook met Equinix SmartKeyTM, dat een cloud-hardware security module (HSM) als service biedt om een betrouwbare, multi-cloud beveiliging voor gevoelige cryptografische sleutels te garanderen.

De voordelen van het gebruik van BIG-IP SSLO in Equinix om een gecentraliseerd beveiligingsbeleid af te dwingen zijn onder andere:

1. Geoptimaliseerde kostenefficiëntie. Cloud-resources worden niet verbruikt tenzij de gebruiker en het verzoek zijn geïnspecteerd en ontdaan van kwaadaardige inhoud. Cloud kosten worden onder controle gehouden door het weigeren van service aan slechte agenten en bots.
2. Vereenvoudigde handelingen. Een enkel beveiligingscontrolepunt samen met een consistente set beveiligingsservices verminderen de operationele overbelasting die wordt veroorzaakt door meerdere dashboards, consoles, logboeken en beleidstalen.
3. Verbeterde beveiligingsresultaten. De centralisatie van de beveiliging, terwijl een multi-cloud realiteit wordt ondersteund, maakt een consistent beveiligingsbeleid mogelijk dat alle applicaties dekt. Consistentie van beleid en handhaving is de sleutel tot het verbeteren van de houding van het bedrijf ten opzichte van de beveiliging en het vermijden van die veel voorkomende cloud beveiligingsincidenten.