Arista Networks heeft een update aange­kon­digd van het Arista MSS (Multi-Domain Segmen­ta­tion Service)-aanbod, voor het creëren van een bedrijfs­breed zero trust-netwerk. Zonder de noodzaak van ‘endpoint software agents’ en proprietary proto­collen maakt Arista MSS effec­tieve micro­pe­ri­me­ters mogelijk. Deze limiteert de laterale bewegingen in campus- en datacen­ter­net­werken en daarmee het bereik van cyber­aan­vallen, zoals ransom­ware. Arista MSS wordt nu door klanten getest en komt in het derde kwartaal van 2024 beschikbaar. 

Bedrijfsbrede zero trust vereist effectieve microsegmentatie

De gedis­tri­bu­eerde IT-infra­struc­tuur om overal te kunnen werken, een wildgroei aan IoT-apparaten en multi-cloud-appli­ca­ties heeft de tradi­ti­o­nele netwerk­secu­rity op zijn kop gezet en geleid tot een dynamisch en onvoor­spel­bare aanvals plekken. Om hun bevei­li­ging te verbe­teren, zijn bedrijven gestart met zero trust-initi­a­tieven die een vergaande controle vereisen over alle noord-zuid- en oost-west-commu­ni­catie. Firewalls zijn simpelweg niet geopti­ma­li­seerd om bescher­ming te bieden tegen al deze laterale bewegingen. Dat zou een vergaande uitbrei­ding van de bevei­li­gings­ap­pa­ra­tuur, stijgende kosten en een enorme toename aan complexe policies vergen, die nog steeds onvol­doende bescher­ming bieden tegen laterale verkeersbewegingen.

Het Cyber­se­cu­rity & Infra­struc­ture Security Agency (CISA) adviseert in het ‘Zero Trust Maturity Model’ de adoptie van micro­seg­men­tatie voor sterk gedis­tri­bu­eerde, fijnma­zige handha­ving via micro­pe­ri­me­ters. Hoewel er al micro­seg­men­ta­tie­op­los­singen op de markt beschik­baar zijn, zowel voor netwerken als endpoints, kampen deze met uitda­gingen op het gebied van de complexi­teit, inter­o­pe­ra­bi­li­teit, porta­bi­li­teit, en kosten. Die uitda­gingen beperken de organi­sa­tie­brede toepas­sing ervan, waardoor zero trust-initi­a­tieven vaak stranden.

Op standaarden gebaseerde microsegmentatie

Arista MSS biedt op standaarden gebaseerde micro­seg­men­tatie met behulp van de bestaande netwer­k­in­fra­struc­tuur en overwint tegelij­ker­tijd de uitda­gingen van bestaande oplos­singen. MSS is zowel netwerk-agnos­tisch als eindpunt-onafhan­ke­lijk. Het vermijdt propri­ë­taire proto­collen en kan naadloos worden geïnte­greerd in een omgeving met meerdere netwerken. De oplos­sing vereist ook geen endpoint-software, waardoor beper­kingen in de flexi­bi­li­teit en opera­ti­o­nele complexi­teit worden vermeden, die nu kenmer­kend zijn voor agent-based microsegmentatie-oplossingen.

Samenvatting functionaliteit Arista MSS

Arista MSS combi­neert drie mogelijk­heden waarmee organi­sa­ties micro­pe­ri­me­ters kunnen bouwen rond elk digitaal device dat ze willen beschermen, zowel op de campus als in het datacenter. Dat zijn: 

• ‘State­less wire-speed enfor­ce­ment’ in het netwerk: Arista EOS-gebaseerde switches bieden een eenvoudig model voor fijnma­zige, identi­teits­be­wuste micro­pe­ri­me­ter­hand­ha­ving. Dit model is onafhan­ke­lijk van het type endpoint en identiek voor zowel gebruik in campus- als datacen­ter­om­ge­vingen en versim­pli­fic­ceert de dag 2 operatie.. Arista MSS maakt dus laterale segmen­tatie mogelijk die momen­teel vaak ontbreekt en ontlast de functi­o­na­li­teit van firewalls die expli­ciet voor dit doel zouden moeten worden ingezet.
• Omlei­ding naar ‘Stateful Firewalls’: Arista MSS kan naadloos integreren met firewalls en cloud proxy’s van partners zoals Palo Alto Networks en Zscaler voor state­full network handha­ving, vooral voor noord-zuid- en inter­zo­ne­ver­keer. MSS zorgt er dus voor dat het juiste verkeer naar deze kritieke bevei­li­gings­con­troles wordt gestuurd, waardoor ze zich kunnen concen­treren op de handha­ving van L4-L7, terwijl onnodig uitpluizen van het andere verkeer wordt vermeden.
• Cloud­Vi­sion voor micro­pe­ri­me­ter­be­heer: Arista Cloud­Vi­sion mogelijk gemaakt door NetDL, biedt diep realtime inzicht in netwerk­pak­ketten, flows en endpoint-identi­teiten. Dit maakt een effec­tieve oost-west laterale segmen­tatie mogelijk. Boven­dien verlichten MSS-dashboards binnen Cloud­Vi­sion de inspan­ningen van opera­tors om de micro­pe­ri­me­ters te beheren. MSS breidt de Ask AVA-service (Autono­mous Virtual Assist) van Arista uit om een chatach­tige inter­face te bieden waarmee opera­tors door de dashboard­data kunnen navigeren en afwij­kingen van de policies kunnen opvragen en filteren.

Zero trust ecosysteem 

Arista MSS is tevens naadloos te integreren met de bredere Arista Zero Trust Networ­king-oplos­sing, waaronder Arista Cloud­Vi­sion, CV AGNI en Arista NDR. Het kan boven­dien worden geïnte­greerd met veelge­bruikte firewalls zoals van Palo Alto Networks, oplos­singen voor IT-servi­cema­na­ge­ment (ITSM) zoals Servi­ceNow en virtu­a­li­sa­tie­plat­forms zoals VMware.

Ervaringen van klanten

“Wij zijn onder de indruk van Arista’s MSS techno­logie voor micro­pe­ri­me­ter­seg­men­tatie”, vertelt Evan Gillette, Security Enginee­ring, Paychex Inc. “Daarom beschouwen wij deze als veelbe­lo­vend en geloven dat deze techno­logie het poten­tieel heeft om onze benade­ring van security en segmen­tatie te trans­for­meren van een tradi­ti­o­nele perime­te­r­aanpak naar een gedis­tri­bu­eerde netwerk­ge­richte archi­tec­tuur. Het verheugt ons om met Arista samen te werken om de mogelijk­heden van deze innova­tieve techno­logie en de toepas­singen ervan in onze infra­struc­tuur te verkennen.”

“Als bank willen wij alomvat­tende finan­ciële producten en oplos­singen leveren, waarbij we de data en veilig­heid van klanten als onze toppri­o­ri­teit zien. Security is ook ingebed in een van de belang­rijkste archi­tec­tu­rale principes bij het ontwerpen van onze datacen­ter­net­werken”, aldus Komang Artha Yasa, Techno­logy Division Head, OCBC. “Arista MSS comple­teert onze zero trust-houding door efficiënt samen te werken met onze firewalls voor het micro­seg­men­teren van kriti­sche betalings­sys­temen. De aanpak van Arista is voor ons eenvoudig toe te passen, omdat het softwa­re­ge­ba­seerde agenten vermijdt en toch inter­o­pe­ra­bi­li­teit biedt binnen onze gehele datacenteromgeving.”

“Arista MSS is een welkome aanvul­ling op onze zero trust-strategie”, zegt Dougal Mair, Associate Director, Networks & Security aan de Univer­si­teit van Waikato. “De mogelijk­heid om een open maar veilig netwerk te bieden aan veel gebrui­kers (studenten, docenten gasten), IT- (laptops, printers) en IoT-apparaten (zoals sensoren en slimme verlich­ting) in een grote omgeving, is een enorme uitda­ging op de univer­si­teit. Arista MSS voorkomt ongeoor­loofde peer-to-peer- en laterale bewegingen op onze dynami­sche netwerkomgeving.”

Arista MSS is al te zien op de RSA-confe­rentie. Meer infor­matie over multi-domein­seg­men­tatie is te horen tijdens Arista’s webinar op 9 mei en te lezen in de blog van Jayshree Ullal.