Microsegmentatie is lastig op te schalen en AI wordt vaak gepresenteerd als de oplossing. AI kan beleidsregels genereren, afwijkingen detecteren, gedrag analyseren en aanbevelingen doen voor beleidswijzigingen. Daarmee vermindert het de handmatige inspanning voor een aantal beheertaken.
Toch lost AI het onderliggende probleem maar gedeeltelijk op. De grootste uitdaging is namelijk niet hoe snel beleidsregels worden aangemaakt, maar hoe al die regels beheerd en op elkaar afgestemd blijven. Zonder samenhangende governance neemt de complexiteit toe, ongeacht hoe efficiënt AI nieuwe beleidsregels kan genereren.
De technologie doet precies datgene waarvoor die ontwikkeld is. Het overzicht op het oost-westverkeer is verbeterd. Beveiligingsregels worden op een veel fijnmaziger niveau toegepast. Identiteitsbewuste controlemechanismen worden toegepast op het niveau van workloads, terwijl nog maar een paar jaar geleden brede netwerkzones de enige optie waren. Die vooruitgang heeft echter ook een keerzijde: het aantal beleidsregels groeit sneller dan securityteams kunnen beheren.
Er zijn twee manieren om hiermee om te gaan. De eerste is om te wachten totdat AI volwassen wordt en uitgroeit tot iets wat het nu nog is: een systeem dat onafhankelijk beleidsregels kan beheren met dezelfde snelheid waarmee het die produceert. De andere manier is om eerst de governance-discipline op te bouwen voor de microsegmentatie, firewalls, cloud security groups, SASE en ZTNA, en AI vervolgens de goede beslissingen sneller ten uitvoer te laten leggen. En dat is precies wat FireMon doet.
Wat microsegmentatie in werkelijkheid oplevert
Een microsegmentatie-implementatie omvat een engine voor het genereren van beleidsregels. Elke nieuwe grens die rond workloads wordt opgetrokken roept een beleidsobject in het leven dat moet worden gedefinieerd, gerechtvaardigd en onderhouden zolang die workload bestaat. In een kleine omgeving is dit een simpele exercitie, maar in een multi-cloudomgeving vol containers is het dat absoluut niet.
Applicaties veranderen vaak sneller dan de beleidsregels die erop van toepassing zijn. Daardoor sluit het beveiligingsbeleid al snel niet meer aan op de werkelijke situatie. Tijdelijke toegangsrechten die onder tijdsdruk voor een project worden ingericht, blijven in de praktijk vaak permanent bestaan. Het achteraf controleren en verwijderen van die rechten kost immers meer tijd en moeite dan ze ongemoeid laten. Zo ontstaat geleidelijk een verzameling van uitzonderingen en verouderde veronderstellingen. Afzonderlijk lijkt geen enkele beleidsregel een probleem, maar samen maken ze het beleid steeds complexer en moeilijker te beheren.
We hebben dus te maken met een actief uitdijend beleidsoppervlak. Dit laatste concept is een variant van het aanvalsoppervlak, oftewel de som van alle apparaten, identiteiten en workloads waarvan cybercriminelen misbruik zouden kunnen maken. Het beleidsoppervlak heeft echter betrekking op een andere laag van de omgeving. Het is de som van alle beslissingen die ten aanzien van de toegang zijn gemaakt en die een organisatie moet beheren: elke uitzondering en elke grens die om een applicatie is opgeworpen onder druk van een deadline en daarna nooit opnieuw onder de loep wordt genomen. Als het beleidsoppervlak onbeheerd blijft, zal het deze beslissingen niet langer weerspiegelen. In plaats daarvan zal het verouderd beleid weerspiegelen. En hoe fijnmaziger de segmentatie, hoe groter de gevolgen.
Wat AI in werkelijkheid verandert
AI draagt niet bij aan een reductie van het beleidsvolume, maar versnelt het tempo waarmee beleidsregels worden geproduceerd, gewijzigd en toegepast. En snelheid waaraan geen governance ten grondslag ligt, is een mes dat aan twee kanten snijdt. Als beleidsregels zich sneller ontwikkelen dan menselijke beoordelaars kunnen doorgronden, zal de validatie nog verder achter de toepassing van de beleidsregels aanhollen. Dit kan ertoe leiden dat verkeerd geconfigureerde toegangsbeslissingen zich snel en zonder duidelijk waarschuwingssignaal verspreiden. De scheefgroei die in het verleden in de loop van maanden ontstond, tekent zich nu al in een paar dagen af.
De bedenkingen die de meeste security-teams hebben met het overlaten van segmentatiebeslissingen aan AI, houden niet zozeer verband met de mogelijkheden van het AI-model. Segmentatiebeslissingen zijn contextgebonden: ze zijn afhankelijk van de zakelijke bedoelingen, het bedrijfskritische karakter van applicaties, de eisen van de wet- en regelgeving en de specifieke risicotolerantie van een organisatie. AI kan patronen analyseren, onregelmatigheden uitlichten en de meest waarschijnlijke bedoeling afleiden uit tickets, labels en applicatiestromen. Maar wat AI niet eigenhandig kan, is vaststellen of een beleidsregel de zakelijke bedoeling, risicotolerantie of de interne en externe richtlijnen weerspiegelt. Dat betekent dat AI kan aangeven dat een beleidsregel plausibel is, maar niet kan garanderen of het ook een correcte beleidsregel is.
Dit moet niet worden gezien als een argument tegen de inzet van AI voor microsegmentatie, maar als een argument voor het scheppen van orde in de chaos. Policy governance is een eerste vereiste om ervoor te zorgen dat AI met zijn razendsnelle tempo betrouwbare bijdragen levert.
De governance-omgeving is inherent gefragmenteerd
De vraag voor de markt voor microsegmentatie is niet zozeer of de toepassing van beleidsregels effectief genoeg is, of dat AI-mogelijkheden verder zullen worden verbeterd. In beide gevallen is het antwoord bevestigend. Eén ding dat echter hardnekkig gefragmenteerd is gebleven, is het beleidsbeheer, oftewel het waarborgen van samenhangend gedrag van alle binnen de omgeving toegepaste beleidsregels.
De meeste security-teams proberen deze governance handmatig tot stand te brengen door gefragmenteerde oplossingen tot een ketting te rijgen, binnen een architectuur die nooit voor centrale governance is ontworpen. Firewalls werken op basis van een specifiek beleidsmodel, cloud security groups weer op basis van een heel ander model, en platforms voor microsegmentatie hanteren steevast hun eigen model. Identiteitssystemen, compliance-tools en change management-workflows bieden stuk voor stuk een gedeeltelijk perspectief op dezelfde achterliggende bedoeling. En het afstemmen van al deze perspectieven is een handmatige exercitie die zich moeilijk laat opschalen naarmate de omgeving groeit. Het resultaat is gefragmenteerde grip op een fundamentele vraag die om een holistisch antwoord vraagt: wie mag toegang hebben tot wat en onder welke voorwaarden, en welke garantie wordt er geboden dat het antwoord op deze vragen de werkelijke zakelijke bedoelingen weerspiegelt in plaats van een reeks van overgeërfde beleidsbeslissingen.
Binnen meer volwassen security-teams richt de discussie zich niet langer op de vraag “Hoe kunnen we meer segmenteren?”, maar op de vraag “Hoe zorgen we voor een samenhangend beheer van het beleid voor elke laag die het beleid voor microsegmentatie toepast?”
Het beleid zelf als de beheerlaag behandelen
Deze vraag kan alleen worden beantwoord als het beleid wordt gezien als een beheerlaag die onafhankelijk is van een specifieke toepassingstechnologie. Platforms voor microsegmentatie, firewalls en cloud security groups passen stuk voor stuk beleidsregels toe. En geen van deze oplossingen bepaalt op zichzelf de werkelijke bedoeling van beleidsregels voor de andere oplossingen. Wie hen vraagt om dat te doen, begrijpt niet goed waarvoor deze oplossingen precies zijn bedoeld.
Network security policy management (NSPM) biedt de governance-laag die alle afzonderlijke tools voor het toepassen van beleidsregels (firewalls, cloud security groups, en platforms voor microsegmentatie) overstijgt. NSPM dient als integraal beheeroppervlak voor het definiëren, valideren en beheren van de bedoeling van beleidsregels. In de kern genomen omvat NSPM een simpele discipline: ervoor zorgen dat beleidswijzigingen de werkelijke zakelijke bedoelingen en eisen van de wet- en regelgeving weerspiegelen voordat ze worden toegepast, en niet pas nadat zij een scheefgroei van het beleidsvolume hebben veroorzaakt. FireMon is op basis van dit principe ontwikkeld; het biedt security-teams inzicht in het werkelijke gedrag van beleidsregels binnen hybride omgevingen. De oplossing valideert wijzigingen voordat ze de productieomgeving bereiken. Dezelfde beheerlaag waarborgt voortdurende overeenstemming met de interne en externe richtlijnen waarvoor organisaties verantwoording moeten afleggen, zodat de toepassing van beleidsregels is gebaseerd op hard bewijs in plaats van aannames.
Wat het volgende onderwerp van gesprek moet worden
Microsegmentatie zal een pijler van zero trust blijven, en AI zal het tempo waarmee segmentatieregels worden gegenereerd en toegepast verder blijven opvoeren. Geen van beiden brengen echter verandering in het fundamentele probleem, dat microsegmentatie beleidsregels sneller produceert dan ze kunnen worden beheerd. En het zonder governance opvoeren van de snelheid is geen oplossing, maar creëert simpelweg een efficiëntere versie van hetzelfde probleem.
De oplossing ligt niet alleen in betere technologie, maar vooral in beter beheer van het beleid zelf. Dat beleid moet als een zelfstandige discipline worden bestuurd. AI kan beleidsbeheer versnellen en ondersteunen, maar neemt de verantwoordelijkheid voor governance niet over. Alleen wanneer governance de basis vormt, kan AI helpen aantonen dat beleidsregels nog steeds overeenkomen met de bedoeling waarmee ze ooit zijn opgesteld.
Door: David Brown, Senior Vice President International Business bij FireMon




0 Reacties