Migratie van een client information system naar de public cloud

Een van de uitdagingen van de klant bij het geheel of gedeeltelijk migreren van een informatiesysteem naar één of meerdere public clouds, is het ontlasten van de datacenters met behoud van gegevensbeveiliging.

Met dit in gedachten is het essentieel om de toegang voor alle gebruikers tot de verschillende applicatiebronnen in de datacenters of de gekozen openbare clouds (bijvoorbeeld Amazon Web Services, Microsoft Azure, Google Cloud Platform of IBM) te beveiligen en voor te bereiden op de massale migratie van applicaties naar deze clouds.

Het succes van een dergelijk project hangt af van een technische oplossing die een schat aan functionaliteiten biedt om tegemoet te komen aan de verschillende use cases die moeten worden verwerkt.

Om bestendig te zijn, moet de beveiligingsarchitectuur het informatiesysteem (IS) beschermen en tegelijkertijd het meest onzichtbaar en pijnloos blijven. Dit garandeert een betere gebruikerservaring en vergemakkelijkt het dagelijkse leven van beheerders. Het moet ook een breed scala aan beveiligingsfuncties bieden die essentieel zijn voor de IS. Die laatste moet worden opgebouwd rond een beperkt aantal technologieën die perfect bij elkaar passen.

Ten slotte moet deze architectuur worden ontworpen in een context van een gelaagde implementatie, waarbij, indien nodig, andere technologieën kunnen worden toegevoegd om aan zeer specifieke behoeften te voldoen. Het presenteert een core architectuur die een zeer goed compromis biedt tussen de verschillende uitdagingen van een dergelijk project: rationalisatie, vereenvoudigd beheer, user experience, aantal ondersteunde use-cases, enz. Opties kunnen al dan niet worden geactiveerd, afhankelijk van de prioriteiten. Deze geoptimaliseerde architectuur biedt ook de mogelijkheid van een eenvoudigere implementatie en daarmee een sterk potentieel voor een efficiënte en snelle implementatie.

Een architectuur gebaseerd op drie complementaire niveaus

Om de overgang van applicatiemigratie naar de cloud te vergemakkelijken, raden we een hybride model aan, gebaseerd op een architectuur met drie complementaire lagen:

• een "on-premises" gedeelte om de remote sites te verbinden met de applicaties en om de legacy datacenters te beveiligen tijdens de migratie;
• een architectuur om zowel de IaaS omgeving (Infrastructure as a Service) als de naar de cloud gemigreerde applicaties te beveiligen;
• een SaaS-service (Software as a Service) om een ​​maximum aan beveiligingsfunctionaliteiten naar de cloud te porten om te profiteren van de voordelen op het gebied van schaalbaarheid en operationele controle.

Om bijvoorbeeld de uitgaande stromen van mobiele gebruikers te beveiligen, kunnen gebruikers verbinding maken met de cloud en vervolgens worden omgeleid naar een firewall-instantie in de IaaS omgeving om toegang te krijgen tot bronnen die worden gehost in de public cloud.

Als ander voorbeeld, voor het beveiligen van inkomende stromen, kan de firewall-instantie in IaaS worden beschermd door SaaS-beveiliging tegen gerichte DDoS-aanvallen (Distributed Denial of Service) op blootgestelde sites. In het geval van een volumetrische DDoS-aanval, zal het tussenliggende beveiligingsplatform in SaaS de volledige aanval opvangen en alleen de legitieme stroom doorlaten, waardoor de internetlink en de applicatie worden beschermd. Deze use case is onmogelijk af te handelen met een eenvoudige VM (virtuele machine) in de cloud en zonder een tussenplatform.

Voor de beveiliging van infrastructuur die wordt gehost in de public cloud (Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM...), aangezien het moeilijk blijft om vooraf de snelheid en geschiktheid van alle applicatieservices te voorspellen, raden we drie niveaus aan van security om verschillende use cases aan te pakken.

Essentiële security

• implementatie van een firewall-instantie in de IaaS die het mogelijk maakt om de volgende functionaliteiten aan te pakken: IPS (Intrusion Prevention System) / AV (antivirus) / URL-filtering / SSL-decodering / Sandbox;
• implementatie van een reverse proxy-instantie in de IaaS waarmee de volgende functionaliteiten kunnen worden aangepakt: reverse proxy met eenvoudige herschrijving van URL's / SSL-decodering / filtering op reputatie van kwaadaardige IP-URL.

Geavanceerde security. Dit omvat de essentiële security, waaraan we toevoegen:

• SSO (Single Sign-On),
• user authentication,
• complexe URL rewriting.

Total security. Dit omvat geavanceerde security, waaraan we toevoegen:

• WAF (Web Application Firewall),
• Applicatie DDoS.

De keuze van het te implementeren niveau van security is naar gelang van de wensen van de klant, afhankelijk van zijn beperkingen, of ze nu geografisch zijn, verband houden met het schema, of de noodzakelijkheid van de applicaties in het bijzonder.

Om web-, niet-web- en zakelijke toepassingen te beveiligen, raden we aan een oplossing te implementeren die een compleet security platform biedt voor een groot aantal gebruiksscenario's (u moet echter niet de technologieën vermenigvuldigen).

Deze oplossing zou met name één enkele inspection engine moeten hebben om, met een flow rule, alle beveiligingselementen aan te pakken.

Een essentieel onderdeel van de oplossing is de efficiënte herkenning van de meeste toepassingen op de markt, waardoor de gewoontes van de gebruikers kan worden geïdentificeerd om ze beter te beschermen.

Routing en flow partitioning worden geoptimaliseerd met de ondersteuning van virtuele routers, firewall-instanties en de implementatie van concepten voor beveiligingszones. De ondersteuning van het SAML-protocol (Security Assertion Markup Language) maakt het vereenvoudigen van de authenticatie van webapplicaties mogelijk.

Om integratie met het bestaande ecosysteem te vergemakkelijken, biedt het openen van API's de mogelijkheid tot vloeiende uitwisselingen tussen security oplossingen. Het reguleren van de houding van het werkstation moet transparant zijn voor de gebruiker, zonder de noodzaak om een ​​IPSEC-tunnel (Remote Access-oplossing) op te zetten of intrusive oplossingen zoals NAC (Network Access Control) te implementeren.

Het outsourcen van de IS vergroot natuurlijk de exchanges naar buiten toe. De oplossing moet aan een maximum aan technische criteria voldoen en vooral heel weinig impact hebben op de reeds bestaande architectuur. Een consolidatie van al het beveiligingsbeleid dat afkomstig is van interne of externe bronnen (netwerkcontrole, flow routing, URL filtering, conformity control, profiling...), maar ook de routing van flows binnen dezelfde administrationconsole, wordt ten zeerste aanbevolen om meer efficiënt flows te openen naar internet.

De oplossing moet andere webstromen dan HTTP/HTTPS en FTP (File Transfer Protocol) kunnen verwerken. De user experience kan dus worden verbeterd en gecontroleerd, ongeacht de locatie (mobiel of niet) om de verbinding van gebruikersstations mogelijk te maken door een beveiligingsbeleid toe te passen dat is aangepast aan hun risiconiveau.

Het is ook noodzakelijk om rekening te houden met de vereisten van SaaS-applicaties die proxificatie, authenticatie en flow analysis niet aanbevelen. Om de use cases voor onbeheerde of agentless werkstations aan te pakken, is de captive portal nodig om de LAN/WAN- of WIFI-netwerken te beveiligen. Het gebruik en onderhoud van de proxy. Pac-bestand zou op middellange en lange termijn optioneel kunnen worden.

Door het gebruik van een public SaaS oplossing (cloud firewall) kunnen dezelfde beveiligingsfuncties worden toegepast als die aanwezig zijn op een "on-premises" firewall. Deze pure SaaS aanpak filtert alle user requests voor toegang tot internet en biedt de mogelijkheid om site-to-site tunnels (SaaS naar private datacenters) op te zetten voor toegang tot applicaties die worden gehost in de IS (die niet naar de cloud konden worden gemigreerd).

Gebruikers in mobiele situaties worden door deze SaaS oplossing dus beschermd zonder tussenkomst van de IS. Dit vermijdt het gebruik van split tunneling, wat vaak een vector is voor de verspreiding van malware, door een brug te creëren van internet naar het werkstation om toegang te krijgen tot het interne netwerk van het bedrijf. De aangeboden beveiligingsfuncties, ook wel 'netwerkfiltering' genoemd, zijn rijker dan die van een SaaS proxyoplossing.

Door de security te vereenvoudigen met geconsolideerde beveiligingsregels, en tegelijkertijd het security niveau dat al bestond te behouden, kunnen de teams van de klant dagelijks efficiënter werken, waardoor de tijd om incidenten te onderzoeken en te verwerken wordt verkort. De gebruikerservaring wordt verbeterd met directe internettoegang zonder via de centrale site te gaan, terwijl de beperkingen van gebruikers en applicaties worden gerespecteerd.

Hiervoor is de schaalbaarheid en versnelde migratie van het platform gepland, grotendeels door het toevoegen van gebruikerslicenties of bandbreedte. Hierdoor kunnen we inspelen op nieuwe behoeften. Het beveiligingsniveau is volgens de regels van de kunst gerespecteerd, terwijl het in overeenstemming is gebleven met de vereisten van bedrijfsapplicaties die in de cloud worden gehost.

Opgemerkt moet worden dat al deze acties werden uitgevoerd zonder enige verslechtering van de dienstverlening aan gebruikers en zonder enige vermindering van het beveiligingsniveau.

Auteur: Florent Houy, pre-sales engineer bij Orange Cyberdefense France