De opmars van mobiel en BYOD, gecombineerd met de migratie naar de cloud, heeft een directe invloed op de vraag waar enterprise-applicaties moeten worden gehost. Waar applicaties voorheen op het bedrijfsnetwerk achter een beschermde afscheiding werden gestald, vraagt het huidige digitale ecosysteem om een snellere, naadloze en open aanpak.

Huidige oplossingen, zoals application delivery controllers en VPN’s voldoen niet aan de vraag. Ook de Europese regelgeving rondom de bescherming van persoonsgegevens (GDPR) die vanaf 25 mei 2018 van kracht wordt, stelt bepaalde eisen aan de inrichting van een applicatie-infrastructuur. Dit alles betekent dat organisaties bij beslissingen rondom de toegang tot enterprise-applicaties rekening moeten houden met vijf belangrijke aspecten.

1. Wie heeft toegang nodig?

Sommige apps zijn specifiek voor medewerkers bedoeld, maar er zijn ook applicaties die opengesteld zijn voor partners en stakeholders. Voor iedere derde partij die van buitenaf toegang tot het ecosysteem krijgt, zijn regels en uitzonderingen in de firewall nodig.

Dit leidt tot zwakke plekken en veiligheidsrisico’s. Tot nu toe werd hierop ingespeeld met het toevoegen van extra securitylagen, maar dit zorgt voor meer complexiteit, hogere kosten en is geen duurzame oplossing gebleken.

2. Aanpassing aan mobiel

Ondernemingen beschouwen mobiele devices als vertrouwd en moedigen BYOD aan. Technologieën zoals network access control (NAC) en mobile device management (MDM) zouden gebruikers zogenaamd binnen de securityperimeters brengen, maar in de praktijk komt het erop neer dat de installatie van clients en certificaten op devices ervoor zorgt dat de grenzen van de perimeter worden opgerekt doordat er meer externe gebruikers zijn.

Ook zijn technologieën zoals NAC en MDM niet in staat om tijdig malware te signaleren die ongemerkt devices overneemt. IT-teams staan echter onder druk om applicaties toegankelijk te maken voor gebruikersdevices, waardoor de beveiliging eerder zwakker dan sterker wordt.

3. De cloud

Verhuizen naar de cloud heeft grote voordelen op het gebied van agility, flexibiliteit en kosten, maar het biedt geen gedetailleerd inzicht in netwerkcomponenten en -servers. Bovendien kunnen gebruikers zich fysiek niet in de cloud begeven – iedereen komt van buiten. Weinig bedrijven maken gebruik van slechts één cloud, een meerderheid beschikt over virtual private clouds (VPC’s).

Iedere VPC is een op zichzelf staand netwerk met eigen bescherming. Met een traditionele toegang tot applicaties betekent dit dat oplossingen, security en beleid per VPC beheerd moeten worden. Wanneer er bijvoorbeeld toegang via VPN is, betekent dit dat iedere VPC een eigen VPN-ingang moet hebben.

Concreet houdt dit in dat gebruikers met verschillende VPN’s op hun device moeten werken en weten welke VPN ze nodig hebben om een bepaalde applicatie te gebruiken. De complexiteit hiervan is duidelijk. Het enige alternatief – een overlappend netwerk dat alle VPC’s met elkaar verbindt – is echter duur.

4. Zero-trustmodellen

Vertrouwen is gebaseerd op kennis en de mogelijkheid de ander te kunnen identificeren. Maar hoe ben je ervan verzekerd dat vertrouwen niet beschaamd wordt? We kunnen zekerheden inbouwen, denk aan gebruikersnamen, wachtwoorden, two-factor- of multi-factorauthenticatie.

Maar malware heeft ervoor gezorgd dat bedrijven gebruikersdevices minder vertrouwen. En wanneer we devices en gebruikers niet kunnen vertrouwen, betekent dit dat we ook VPN’s niet kunnen vertrouwen. Deze bieden immers toegang tot een afgesloten omgeving. Een zero-trustaanpak betekent dat het geven van toegang tot een intern netwerk leidt tot een veiligheidsrisico. Zelfs bronnen die in eerste instantie vertrouwd worden, genieten dit vertrouwen voor een beperkte periode en omvang.

5. SaaSificatie

We leven in een SaaS-wereld en hebben via elk device en op ieder moment toegang tot consumentendiensten als Facebook, Gmail en Uber. Dezelfde trend zien we in ons zakelijke leven. Eenvoudige en simpele interfaces, zoals Microsoft Office 365, geven gebruikers toegang tot de applicaties die ze nodig hebben. De uitdaging is dat gebruikers deze ervaring ook verwachten bij niet-SaaS-applicaties.

Dit is eenvoudiger gezegd dan gedaan. Naast de standaard veiligheidsmaatregelen binnen de bedrijfsgrenzen moeten SaaS-bedrijven hun applicatiesfront-end beschermen tegen DDoS-aanvallen, accelaratie toevoegen om latency- en performanceproblemen te voorkomen en specifieke bescherming op applicatieniveau inbouwen. Nieuwe toegangsarchitecturen moeten tegemoetkomen aan de verwachtingen van gebruikers en applicaties leveren die voldoen aan de hoge securityeisen.

Nieuwe enterprise-toegangsarchitectuur

Het moge duidelijk zijn: er is een verandering nodig. Christina Richmond van onderzoeksbureau IDC zei onlangs: “Een nieuwe, eenvoudige, cloud-based toegangsaanpak gericht op applicaties en identiteit is nodig om de impact van het derde platform – mobile, sociale media, cloud computing, analytics en IoT – in goede banen te leiden.”

Wat organisaties nodig hebben, is een nieuwe architectuur die eenvoudig en veilig toegang biedt tot enterprise-apps achter de firewall. Deze toegang moet worden gescheiden van toegang tot het onderliggende netwerk en zich beperken tot de applicaties die nodig zijn om werk gedaan te krijgen. Dit gebeurt door een buffer te creëren tussen enterprise-applicaties en infrastructuur enerzijds en het publieke internet anderzijds. Dit verkleint de kans op aanvallen en verbergt enterprise-infrastructuren voor het publiek.

Een aantal voorwaarden is hierbij belangrijk: geen inbound-tunnels of open poorten naar de enterprise, en vertrouwen moet device-onafhankelijk, kortstondig en voor een beperkte reikwijdte worden gegeven. Afhankelijkheid van de infrastructuur tussen de gebruiker en de bronnen die hij nodig heeft, moet worden vermeden. En uiteraard moet de vernieuwde infrastructuur voldoen aan de gebruikersverwachting als het gaat om snelheid, performance en toegankelijkheid.

Hieraan wordt het beste voldaan wanneer toegang tot applicaties als een service wordt geleverd. Er zijn dan geen aanvullende machines aan de randen van het netwerk nodig. Hetzelfde geldt voor een netwerksegmentatie in het datacenter. Bovendien is een snelle implementatie op deze manier mogelijk. Dit betekent dat de operationele kosten aanzienlijk lager liggen, ook omdat er geen ondersteuning vanuit IT nodig is om complexe toegangs- en beveiligingsvraagstukken op te lossen.