AI kan voor snellere microsegmentatie zorgen, maar biedt geen grip op het beleid

AI kan voor snellere microsegmentatie zorgen, maar biedt geen grip op het beleid

Micro­seg­men­tatie is lastig op te schalen en AI wordt vaak gepre­sen­teerd als de oplos­sing. AI kan beleids­re­gels gene­reren, afwij­kingen detec­teren, gedrag analy­seren en aanbe­ve­lingen doen voor beleids­wij­zi­gingen. Daarmee vermin­dert het de hand­ma­tige inspan­ning voor een aantal beheer­taken.

Toch lost AI het onder­lig­gende probleem maar gedeel­te­lijk op. De grootste uitda­ging is name­lijk niet hoe snel beleids­re­gels worden aange­maakt, maar hoe al die regels beheerd en op elkaar afge­stemd blijven. Zonder samen­han­gende gover­nance neemt de complexi­teit toe, onge­acht hoe effi­ciënt AI nieuwe beleids­re­gels kan gene­reren.

De tech­no­logie doet precies datgene waar­voor die ontwik­keld is. Het over­zicht op het oost-west­ver­keer is verbe­terd. Bevei­li­gings­re­gels worden op een veel fijn­ma­ziger niveau toege­past. Iden­ti­teits­be­wuste contro­le­me­cha­nismen worden toege­past op het niveau van workloads, terwijl nog maar een paar jaar geleden brede netwerk­zones de enige optie waren. Die voor­uit­gang heeft echter ook een keer­zijde: het aantal beleids­re­gels groeit sneller dan secu­ri­ty­teams kunnen beheren.

Er zijn twee manieren om hiermee om te gaan. De eerste is om te wachten totdat AI volwassen wordt en uitgroeit tot iets wat het nu nog is: een systeem dat onaf­han­ke­lijk beleids­re­gels kan beheren met dezelfde snel­heid waarmee het die produ­ceert. De andere manier is om eerst de gover­nance-disci­pline op te bouwen voor de micro­seg­men­tatie, fire­walls, cloud secu­rity groups, SASE en ZTNA, en AI vervol­gens de goede beslis­singen sneller ten uitvoer te laten leggen. En dat is precies wat FireMon doet.

Wat microsegmentatie in werkelijkheid oplevert

Een micro­seg­men­tatie-imple­men­tatie omvat een engine voor het gene­reren van beleids­re­gels. Elke nieuwe grens die rond workloads wordt opge­trokken roept een beleids­ob­ject in het leven dat moet worden gede­fi­ni­eerd, gerecht­vaar­digd en onder­houden zolang die workload bestaat. In een kleine omge­ving is dit een simpele exer­citie, maar in een multi-cloudom­ge­ving vol contai­ners is het dat abso­luut niet.

Appli­ca­ties veran­deren vaak sneller dan de beleids­re­gels die erop van toepas­sing zijn. Daar­door sluit het bevei­li­gings­be­leid al snel niet meer aan op de werke­lijke situ­atie. Tijde­lijke toegangs­rechten die onder tijds­druk voor een project worden inge­richt, blijven in de prak­tijk vaak perma­nent bestaan. Het achteraf contro­leren en verwij­deren van die rechten kost immers meer tijd en moeite dan ze onge­moeid laten. Zo ontstaat gelei­de­lijk een verza­me­ling van uitzon­de­ringen en verou­derde veron­der­stel­lingen. Afzon­der­lijk lijkt geen enkele beleids­regel een probleem, maar samen maken ze het beleid steeds complexer en moei­lijker te beheren.

We hebben dus te maken met een actief uitdijend beleids­op­per­vlak. Dit laatste concept is een variant van het aanvals­op­per­vlak, oftewel de som van alle appa­raten, iden­ti­teiten en workloads waarvan cyber­cri­mi­nelen misbruik zouden kunnen maken. Het beleids­op­per­vlak heeft echter betrek­king op een andere laag van de omge­ving. Het is de som van alle beslis­singen die ten aanzien van de toegang zijn gemaakt en die een orga­ni­satie moet beheren: elke uitzon­de­ring en elke grens die om een appli­catie is opge­worpen onder druk van een dead­line en daarna nooit opnieuw onder de loep wordt genomen. Als het beleids­op­per­vlak onbe­heerd blijft, zal het deze beslis­singen niet langer weer­spie­gelen. In plaats daarvan zal het verou­derd beleid weer­spie­gelen. En hoe fijn­ma­ziger de segmen­tatie, hoe groter de gevolgen.

Wat AI in werkelijkheid verandert

AI draagt niet bij aan een reductie van het beleids­vo­lume, maar versnelt het tempo waarmee beleids­re­gels worden gepro­du­ceerd, gewij­zigd en toege­past. En snel­heid waaraan geen gover­nance ten grond­slag ligt, is een mes dat aan twee kanten snijdt. Als beleids­re­gels zich sneller ontwik­kelen dan mense­lijke beoor­de­laars kunnen door­gronden, zal de vali­datie nog verder achter de toepas­sing van de beleids­re­gels aanhollen. Dit kan ertoe leiden dat verkeerd gecon­fi­gu­reerde toegangs­be­slis­singen zich snel en zonder duide­lijk waar­schu­wings­sig­naal verspreiden. De scheef­groei die in het verleden in de loop van maanden ontstond, tekent zich nu al in een paar dagen af.

De beden­kingen die de meeste secu­rity-teams hebben met het over­laten van segmen­ta­tie­be­slis­singen aan AI, houden niet zozeer verband met de moge­lijk­heden van het AI-model. Segmen­ta­tie­be­slis­singen zijn context­ge­bonden: ze zijn afhan­ke­lijk van de zake­lijke bedoe­lingen, het bedrijfs­kri­ti­sche karakter van appli­ca­ties, de eisen van de wet- en regel­ge­ving en de speci­fieke risi­co­to­le­rantie van een orga­ni­satie. AI kan patronen analy­seren, onre­gel­ma­tig­heden uitlichten en de meest waar­schijn­lijke bedoe­ling afleiden uit tickets, labels en appli­ca­tie­stromen. Maar wat AI niet eigen­handig kan, is vast­stellen of een beleids­regel de zake­lijke bedoe­ling, risi­co­to­le­rantie of de interne en externe richt­lijnen weer­spie­gelt. Dat bete­kent dat AI kan aangeven dat een beleids­regel plau­sibel is, maar niet kan garan­deren of het ook een correcte beleids­regel is.

Dit moet niet worden gezien als een argu­ment tegen de inzet van AI voor micro­seg­men­tatie, maar als een argu­ment voor het scheppen van orde in de chaos. Policy gover­nance is een eerste vereiste om ervoor te zorgen dat AI met zijn razend­snelle tempo betrouw­bare bijdragen levert.

De governance-omgeving is inherent gefragmenteerd

De vraag voor de markt voor micro­seg­men­tatie is niet zozeer of de toepas­sing van beleids­re­gels effec­tief genoeg is, of dat AI-moge­lijk­heden verder zullen worden verbe­terd. In beide gevallen is het antwoord beves­ti­gend. Eén ding dat echter hard­nekkig gefrag­men­teerd is gebleven, is het beleids­be­heer, oftewel het waar­borgen van samen­han­gend gedrag van alle binnen de omge­ving toege­paste beleids­re­gels.

De meeste secu­rity-teams proberen deze gover­nance hand­matig tot stand te brengen door gefrag­men­teerde oplos­singen tot een ketting te rijgen, binnen een archi­tec­tuur die nooit voor centrale gover­nance is ontworpen. Fire­walls werken op basis van een speci­fiek beleids­model, cloud secu­rity groups weer op basis van een heel ander model, en plat­forms voor micro­seg­men­tatie hanteren stee­vast hun eigen model. Iden­ti­teits­sys­temen, compli­ance-tools en change mana­ge­ment-work­flows bieden stuk voor stuk een gedeel­te­lijk perspec­tief op dezelfde achter­lig­gende bedoe­ling. En het afstemmen van al deze perspec­tieven is een hand­ma­tige exer­citie die zich moei­lijk laat opschalen naar­mate de omge­ving groeit. Het resul­taat is gefrag­men­teerde grip op een funda­men­tele vraag die om een holis­tisch antwoord vraagt: wie mag toegang hebben tot wat en onder welke voor­waarden, en welke garantie wordt er geboden dat het antwoord op deze vragen de werke­lijke zake­lijke bedoe­lingen weer­spie­gelt in plaats van een reeks van over­ge­ërfde beleids­be­slis­singen.

Binnen meer volwassen secu­rity-teams richt de discussie zich niet langer op de vraag “Hoe kunnen we meer segmen­teren?”, maar op de vraag “Hoe zorgen we voor een samen­han­gend beheer van het beleid voor elke laag die het beleid voor micro­seg­men­tatie toepast?”

Het beleid zelf als de beheerlaag behandelen

Deze vraag kan alleen worden beant­woord als het beleid wordt gezien als een beheer­laag die onaf­han­ke­lijk is van een speci­fieke toepas­sings­tech­no­logie. Plat­forms voor micro­seg­men­tatie, fire­walls en cloud secu­rity groups passen stuk voor stuk beleids­re­gels toe. En geen van deze oplos­singen bepaalt op zich­zelf de werke­lijke bedoe­ling van beleids­re­gels voor de andere oplos­singen. Wie hen vraagt om dat te doen, begrijpt niet goed waar­voor deze oplos­singen precies zijn bedoeld.

Network secu­rity policy mana­ge­ment (NSPM) biedt de gover­nance-laag die alle afzon­der­lijke tools voor het toepassen van beleids­re­gels (fire­walls, cloud secu­rity groups, en plat­forms voor micro­seg­men­tatie) over­stijgt. NSPM dient als inte­graal beheer­op­per­vlak voor het defi­ni­ëren, vali­deren en beheren van de bedoe­ling van beleids­re­gels. In de kern genomen omvat NSPM een simpele disci­pline: ervoor zorgen dat beleids­wij­zi­gingen de werke­lijke zake­lijke bedoe­lingen en eisen van de wet- en regel­ge­ving weer­spie­gelen voordat ze worden toege­past, en niet pas nadat zij een scheef­groei van het beleids­vo­lume hebben veroor­zaakt. FireMon is op basis van dit prin­cipe ontwik­keld; het biedt secu­rity-teams inzicht in het werke­lijke gedrag van beleids­re­gels binnen hybride omge­vingen. De oplos­sing vali­deert wijzi­gingen voordat ze de produc­tie­om­ge­ving bereiken. Dezelfde beheer­laag waar­borgt voort­du­rende over­een­stem­ming met de interne en externe richt­lijnen waar­voor orga­ni­sa­ties verant­woor­ding moeten afleggen, zodat de toepas­sing van beleids­re­gels is geba­seerd op hard bewijs in plaats van aannames.

Wat het volgende onderwerp van gesprek moet worden

Micro­seg­men­tatie zal een pijler van zero trust blijven, en AI zal het tempo waarmee segmen­ta­tie­re­gels worden gege­ne­reerd en toege­past verder blijven opvoeren. Geen van beiden brengen echter veran­de­ring in het funda­men­tele probleem, dat micro­seg­men­tatie beleids­re­gels sneller produ­ceert dan ze kunnen worden beheerd. En het zonder gover­nance opvoeren van de snel­heid is geen oplos­sing, maar creëert simpelweg een effi­ci­ën­tere versie van hetzelfde probleem.

De oplos­sing ligt niet alleen in betere tech­no­logie, maar vooral in beter beheer van het beleid zelf. Dat beleid moet als een zelf­stan­dige disci­pline worden bestuurd. AI kan beleids­be­heer versnellen en onder­steunen, maar neemt de verant­woor­de­lijk­heid voor gover­nance niet over. Alleen wanneer gover­nance de basis vormt, kan AI helpen aantonen dat beleids­re­gels nog steeds over­een­komen met de bedoe­ling waarmee ze ooit zijn opge­steld.

Door: David Brown, Senior Vice Presi­dent Inter­na­ti­onal Busi­ness bij FireMon

redactie@ai-visie

29 juni 2026 - 11:06

WEERGAVEN

0 Reacties

Gerelateerde berichten

Vier stappen om de transitie naar natuurlijke taalmodellen te managen

Vier stappen om de transitie naar natuurlijke taalmodellen te managen

Europees consortium wil AI-infrastructuur terug naar eigen bodem halen

Europees consortium wil AI-infrastructuur terug naar eigen bodem halen

Onderzoek: ‘Platform engineering wordt fundament onder AI in de IT-operatie”

Onderzoek: ‘Platform engineering wordt fundament onder AI in de IT-operatie”

Nog geen gerelateerde berichten...

0 Reactie(s)

0 Reacties

Plaats Een Reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Share This