Slik blir Facebook for nettverket ditt

Sosiale nettverk er en utfordring både å skjønne og å bruke. Det skyldes ikke bare at det er et fellesnavn på tjenester som ikke fungerer på samme måten, ikke er for det samme publikummet selv innad i den enkelte tjeneste, og de har ikke felles regler for hva som er rett bruk. De kan også være så mangt - fra tunge ressurser til en eske i et lager. Analogien til datanettverk er med andre ord åpenbar.

Nå kommer løsningene som tar erfaringene fra sosiale nettverk til datanettverkene for å gi bedre sikkerhet og enklere drift. Etter å ha vært under arbeid i et par år, kommer et eget standardforslag. Stikkordet er å gi og lese nettverksenhetene og deres viktigste identifikator ip-numrene metadata. Dette vil si opplysninger om maskinvare, bruker, applikasjoner, sikkerhetsnivå, innhold og – status. Eller "Facebook" for nettverksenheter, så og si. Stadig flere enheter bruker ip-adresser – fra mobiltelefoner til kassaapparater og saker og ting i en butikk eller fabrikklager. Mer informasjon om hver enhet reduserer risikoen for fullt kaos.

Hva er i et nummer?

Det er sikkerhetssamarbeidsgruppa "Trusted Computing Group" som har foreslått IF-MAP (Interface to Metadata Access Point) som en kjernedel av en framtidig NAC 2 (Network Access Control 2.0)-standard. To leverandører er helt klare for standarden, F5 og Infoblox, mens leverandører som Check Point, ArcSight, Aruba, Lumeta og Juniper har tilnærminger som gjør at de vil være tilpasset standarden raskt når den blir vedtatt.

- Med IF-MAP kan vi få vite hva som skjuler seg bak et ip-nummer. Og hva den gjør. Om vi knytter det til et identitets- og tilgangskontrollsystem kan vi prioritere og styre sikker tilgang avhengig av hvor bruker og enhet er. Eller lagerkontroll kan gjøres i sanntid, forteller Dirk Marichal, salgssjef for Infoblox i EMEA.

- Den viktigste gevinsten vil være automatisering av prosesser og høyere sikkerhet. Med en standard på plass vil integrasjonen komme for eksisterende kontrollsystemer.

IF-MAP-standardforslaget definerer en klient-serverprotokoll. Den sentrale MAP-Serveren samler og lagrer metadata fra hver enkelt enhet i nettverket i sanntid. Ved hjelp av dette kan man lage enklere drift og administrasjon og bedre sikkerhet gjennom rene avviksregler for hver enkel enhet. Slik sikkerhet kan være autentisering av kopling mellom to nettverksenheter, sikring av selve MAP-serveren og validering av datastrømmen mellom autoriserte servere.

Infoblox leverer løsninger for administrasjon av ip-nummer i svært store virksomheter. De hevder at deres løsning gir innsparinger for store virksomheter med mange lokalkontor og mange nettverksenheter. Til IF-MAP-løsningen leverer de både ren programvare eller en dedikert nettverksenhet (Appliance). Den kjører et strippet og herdet operativsystem og har ekstra sikkerhet i form av mulighet for å finsikte regelsett for tilgang mellom enheter etter de fleste metadata IF-MAP åpner for.

Enklere DLP

Datainnholdsvern (Data Loss Prevention) har vært et stasingsfelt for de bedriftene som har villet komplementere endepunktsikkerhet med revisjonssamsvar (data compliance). Check Point, som med utgangspunkt i brannmurer har utvidet virksomheten med endepunkt-sikkerhet og kryptering, utvider med datainformasjonsvern (DLP). De hevder årevis med prat om DLP ikke har ført til noen reell bedring.

- Det er for komplisert å legge for mye programvare inn i selve nettverket. Det er et sted hvor man trenger innholdsvern, og det er der det interne nettverket slutter. Trafikken kan kontrolleres med regler, og endepunktlagring kan sikres med kryptering, sier Jan Johannsen, sjefsingeniør for Check Point i Norden.

Selskapet legger et tillegg i sine brannmur-løsninger hvor man kan løse ut alarmer og handling ut fra regler som kan omfatte ord, følsomhet, mottaker og lignende i datapakker som er på vei ut av det indre nettverket. All aktivitet logges. For å redusere administrasjonsbehovet, kan man legge på et lag av selvlæring/selvadministrasjon. Det viktigste er å øke bevisstheten rundt å behandle konfidensielle data gjennom opplæring, og redusere risikoen for rene tabber. Da er det snakk om tabber med å sende noe til feil adresse, eller intern informasjon ut av virksomheten.

- Vi ser at 80-90 prosent av brudd på datainnholdsvernregler skyldes rene brukerfeil og ikke bevisste handlinger, sier Johannsen.

Nettverkene skal bli grønnere, les videre på neste side!