Arista Networks heeft een update aangekondigd van het Arista MSS (Multi-Domain Segmentation Service)-aanbod, voor het creëren van een bedrijfsbreed zero trust-netwerk. Zonder de noodzaak van ‘endpoint software agents’ en proprietary protocollen maakt Arista MSS effectieve microperimeters mogelijk. Deze limiteert de laterale bewegingen in campus- en datacenternetwerken en daarmee het bereik van cyberaanvallen, zoals ransomware. Arista MSS wordt nu door klanten getest en komt in het derde kwartaal van 2024 beschikbaar.
Bedrijfsbrede zero trust vereist effectieve microsegmentatie
De gedistribueerde IT-infrastructuur om overal te kunnen werken, een wildgroei aan IoT-apparaten en multi-cloud-applicaties heeft de traditionele netwerksecurity op zijn kop gezet en geleid tot een dynamisch en onvoorspelbare aanvals plekken. Om hun beveiliging te verbeteren, zijn bedrijven gestart met zero trust-initiatieven die een vergaande controle vereisen over alle noord-zuid- en oost-west-communicatie. Firewalls zijn simpelweg niet geoptimaliseerd om bescherming te bieden tegen al deze laterale bewegingen. Dat zou een vergaande uitbreiding van de beveiligingsapparatuur, stijgende kosten en een enorme toename aan complexe policies vergen, die nog steeds onvoldoende bescherming bieden tegen laterale verkeersbewegingen.
Het Cybersecurity & Infrastructure Security Agency (CISA) adviseert in het ‘Zero Trust Maturity Model’ de adoptie van microsegmentatie voor sterk gedistribueerde, fijnmazige handhaving via microperimeters. Hoewel er al microsegmentatieoplossingen op de markt beschikbaar zijn, zowel voor netwerken als endpoints, kampen deze met uitdagingen op het gebied van de complexiteit, interoperabiliteit, portabiliteit, en kosten. Die uitdagingen beperken de organisatiebrede toepassing ervan, waardoor zero trust-initiatieven vaak stranden.
Op standaarden gebaseerde microsegmentatie
Arista MSS biedt op standaarden gebaseerde microsegmentatie met behulp van de bestaande netwerkinfrastructuur en overwint tegelijkertijd de uitdagingen van bestaande oplossingen. MSS is zowel netwerk-agnostisch als eindpunt-onafhankelijk. Het vermijdt propriëtaire protocollen en kan naadloos worden geïntegreerd in een omgeving met meerdere netwerken. De oplossing vereist ook geen endpoint-software, waardoor beperkingen in de flexibiliteit en operationele complexiteit worden vermeden, die nu kenmerkend zijn voor agent-based microsegmentatie-oplossingen.
Samenvatting functionaliteit Arista MSS
Arista MSS combineert drie mogelijkheden waarmee organisaties microperimeters kunnen bouwen rond elk digitaal device dat ze willen beschermen, zowel op de campus als in het datacenter. Dat zijn:
- ‘Stateless wire-speed enforcement’ in het netwerk: Arista EOS-gebaseerde switches bieden een eenvoudig model voor fijnmazige, identiteitsbewuste microperimeterhandhaving. Dit model is onafhankelijk van het type endpoint en identiek voor zowel gebruik in campus- als datacenteromgevingen en versimplificceert de dag 2 operatie.. Arista MSS maakt dus laterale segmentatie mogelijk die momenteel vaak ontbreekt en ontlast de functionaliteit van firewalls die expliciet voor dit doel zouden moeten worden ingezet.
- Omleiding naar ‘Stateful Firewalls’: Arista MSS kan naadloos integreren met firewalls en cloud proxy’s van partners zoals Palo Alto Networks en Zscaler voor statefull network handhaving, vooral voor noord-zuid- en interzoneverkeer. MSS zorgt er dus voor dat het juiste verkeer naar deze kritieke beveiligingscontroles wordt gestuurd, waardoor ze zich kunnen concentreren op de handhaving van L4-L7, terwijl onnodig uitpluizen van het andere verkeer wordt vermeden.
- CloudVision voor microperimeterbeheer: Arista CloudVision mogelijk gemaakt door NetDL, biedt diep realtime inzicht in netwerkpakketten, flows en endpoint-identiteiten. Dit maakt een effectieve oost-west laterale segmentatie mogelijk. Bovendien verlichten MSS-dashboards binnen CloudVision de inspanningen van operators om de microperimeters te beheren. MSS breidt de Ask AVA-service (Autonomous Virtual Assist) van Arista uit om een chatachtige interface te bieden waarmee operators door de dashboarddata kunnen navigeren en afwijkingen van de policies kunnen opvragen en filteren.
Zero trust ecosysteem
Arista MSS is tevens naadloos te integreren met de bredere Arista Zero Trust Networking-oplossing, waaronder Arista CloudVision, CV AGNI en Arista NDR. Het kan bovendien worden geïntegreerd met veelgebruikte firewalls zoals van Palo Alto Networks, oplossingen voor IT-servicemanagement (ITSM) zoals ServiceNow en virtualisatieplatforms zoals VMware.
Ervaringen van klanten
“Wij zijn onder de indruk van Arista’s MSS technologie voor microperimetersegmentatie”, vertelt Evan Gillette, Security Engineering, Paychex Inc. “Daarom beschouwen wij deze als veelbelovend en geloven dat deze technologie het potentieel heeft om onze benadering van security en segmentatie te transformeren van een traditionele perimeteraanpak naar een gedistribueerde netwerkgerichte architectuur. Het verheugt ons om met Arista samen te werken om de mogelijkheden van deze innovatieve technologie en de toepassingen ervan in onze infrastructuur te verkennen.”
“Als bank willen wij alomvattende financiële producten en oplossingen leveren, waarbij we de data en veiligheid van klanten als onze topprioriteit zien. Security is ook ingebed in een van de belangrijkste architecturale principes bij het ontwerpen van onze datacenternetwerken”, aldus Komang Artha Yasa, Technology Division Head, OCBC. “Arista MSS completeert onze zero trust-houding door efficiënt samen te werken met onze firewalls voor het microsegmenteren van kritische betalingssystemen. De aanpak van Arista is voor ons eenvoudig toe te passen, omdat het softwaregebaseerde agenten vermijdt en toch interoperabiliteit biedt binnen onze gehele datacenteromgeving.”
“Arista MSS is een welkome aanvulling op onze zero trust-strategie”, zegt Dougal Mair, Associate Director, Networks & Security aan de Universiteit van Waikato. “De mogelijkheid om een open maar veilig netwerk te bieden aan veel gebruikers (studenten, docenten gasten), IT- (laptops, printers) en IoT-apparaten (zoals sensoren en slimme verlichting) in een grote omgeving, is een enorme uitdaging op de universiteit. Arista MSS voorkomt ongeoorloofde peer-to-peer- en laterale bewegingen op onze dynamische netwerkomgeving.”
Arista MSS is al te zien op de RSA-conferentie. Meer informatie over multi-domeinsegmentatie is te horen tijdens Arista’s webinar op 9 mei en te lezen in de blog van Jayshree Ullal.