Arista Networks introduceert een zero trust security oplossing voor digitale organisaties. De nieuwe Multi-Domain Macro-Segmentation Service (MSS) biedt functionaliteit voor het integreren van security-policies met de infrastructuur, via een open en consistente segmentatie over verschillende netwerkdomeinen.
Ondersteund door Arista EOS (Extensible Operating System) en CloudVision-functionaliteit, biedt de Arista MSS (Macro-Segmentation Service) mogelijkheden voor het groepsgewijs segmenteren van netwerkdomeinen. Deze toevoeging verbetert en vereenvoudigt de toegangscontrole voor alle gebruikers en IoT-apparatuur in de huidige digitale organisaties.
Zero trust security in de cloud en IoT-wereld
Traditionele security-architecturen beschermen gebruikers vooral aan de netwerkranden. Deze aanpak volstaat tegenwoordig niet meer door een toenemend aantal gedistribueerde gebruikers en variëteit aan IoT-apparatuur. Een zero trust architectuur gaat ervan uit dat geen enkele gebruiker of apparaat zich vrij binnen het netwerk mag bewegen. Zero trust vertrouwt dus geen enkele gebruiker of apparaat zonder verificatie, beperkt de toegang tot alleen noodzakelijke verbindingen en monitort continu het gedrag.
Vandaag de dag moet het vertrouwen op basis van de netwerklocatie worden vervangen door een continue proactieve monitoring, gedragsanalyses om assets inzichtelijk te maken en een snelle reactie op incidenten. Arista’s zero trust aanpak is speciaal ontworpen voor deze evolutie. Het integreert multi- domain segmentatie van netwerken met situatiegerichte bewustwording en inzichten voor alle resources en een AI-ondersteunde detectie van afwijkingen en reactie daarop.
“Security en netwerken integreren volledig”, zegt Zeus Kerravala, oprichter & principal analyst van ZK Research. “Arista’s zero trust strategie is gebaseerd op netwerkanalyses en AI voor het identificeren van foute intenties en daardoor goed gepositioneerd voor mogelijk de grootste netwerktransitie die ik tot nu toe heb gezien.”
Segmentatie voor IoT
Veilige netwerksegmentering en groepering moet worden gebaseerd op functionele rollen, zoals camera’s of DVR’s, voor alle werkplekken en onafhankelijk zijn van de traditionele netwerkadressering. Verder is het verstandig elke netwerkoplossing te baseren op een open framework, dat zowel toepasbaar is voor nieuwe installaties als uitbreidingen en upgrades van bestaande netwerken.
Arista introduceert MSS-Group als een nieuwe service voor netwerksegmentatie die controle houdt op geautoriseerde netwerkcommunicatie tussen alle groepen. Beschikbaar op EOS-switches, dwingt MSS-Group security-policies af gebaseerd op logische groepen, in plaats van traditioneel op basis van interfaces, subnets of fysieke poorten. De service is gebouwd op een efficiënt data plane handhavingsmechanisme, dus zonder de beperkingen van alternatieve proprietary oplossingen die gebruiken maken van eigen hardware tags en inefficiënte hardware resource mappings.
MSS-Group benut de uitgebreide functionaliteit van CloudVision, het centrale managementplatform voor multi-domain automatisering, telemetrie en analyses, tevens voor het managen van de security-policies. Verder presteert de nieuwe MSS-Group service het optimaalst als CloudVision wordt geïntegreerd met een dynamische identiteitsprovider, via de daarvoor beschikbare API’s.
Arista heeft met Forescout samengewerkt aan een oplossing voor het stroomlijnen van security-policies en -management. Organisaties kunnen Forescout eyeSegment gebruiken voor het automatisch toevoegen van realtime context voor het koppelen van ieder verbonden apparaat met de relevante groep. Maar ook voor het eenvoudig groepsgewijs configureren en monitoren van de policies en deze communiceren naar CloudVision. Vervolgens is CloudVision verantwoordelijk voor de dynamische orchestratie van de vereiste policy naar de Arista switches.
Arista Multi-Domain Segmentation
Arista MSS convergeert het volledige netwerk, inclusief de beveiliging van de campus naar het datacenter en de cloud. Deze oplossing voorkomt een lock-in door de gesloten architecturen van andere leveranciers. Met multi-domain segmentatie en het convergeren van netwerksecurity, verbetert Arista met MSS tevens toepassingen voor edge-firewalls en datacentervirtualisatie. Daarmee biedt Arista een complete oplossing voor bedrijfsbrede multi-domain segmentatie.
MSS Firewall maakt het mogelijk om beveiligingservices toe te voegen voor flexibele firewall-policies in DMZ-edge-, datacenter- en campusnetwerken. Door op open-standaarden gebaseerde technologie te gebruiken stuurt MSS Firewall al het netwerkverkeer op een dynamische wijze langs het punt waar de firewall-policies worden gehandhaafd. Via dezelfde CloudVision-orkestratie integreert MSS Firewall met Palo Alto Networks en andere bekende leveranciers van firewall-oplossingen die onderdeel zijn van Aristo’s ecosysteem voor securitypartners.
MSS Host is een oplossing gericht op datacenters, waar de security-policies worden uitgebreid van de gevirtualiseerde host naar het fysieke netwerk. Via een API-gebaseerde integratie tussen CloudVision en het VMware NSX-platform breidt MSS Host de NSX microsegmentatie-policies uit naar bare-metal workloads.
Arista heeft meerdere integraties met securitypartners uit het ecosysteem, zoals met Aruba, Forescout, Palo Alto Networks, VMware en Zscaler (lees er hier meer informatie over). Als aanvulling op de nieuwe MSS-gebaseerde dynamische segmentatieservices continueert Arista ook de ondersteuning van andere segmentatiemodellen, zoals VXLAN/EVPN, VRF’s, VLAN’s en Access Control Lists.
MSS Firewall en MSS Host worden momenteel al meegeleverd als onderdeel van Arista CloudVision. De MSS-Group uitbreiding komt in het eerste kwartaal van 2021 beschikbaar.
Meer informatie is te horen tijdens een webinar op 18 maart 2021, waarvoor u zich hier kunt registreren. Verder is er ook nog een toelichting over dit nieuws te lezen in de blog van Jayshree Ullal.