Hans Steeman - 23 december 2022

Nutanix: geen security bedrijf maar wel het veilige fundament

Nutanix: geen security bedrijf maar wel het veilige fundament image

Toen de voormalige CEO en mede-oprichter Djeerah Pandey zijn eerste klanten zocht voor het idee HCI (Hyper Converged Infrastructure), was de Amerikaanse FBI een van de eerste geïnteresseerden. Zij zagen het concept zitten, mits de security goed geborgd was. De eerste vraag was dan ook: Is de security in het concept geïntegreerd en een onlosmakelijk onderdeel? Nutanix heeft ervoor gezorgd dat er een veilig framework kwam dat ook nu nog dagelijks zijn waarde bewijst.

Ricardo van Velzen, Manager Systems Engineering van het Nederlandse Nutanix-team:
“Samen hebben we gekeken hoe het concept en het ontwikkelproces cyber proof te maken was. Hiervoor zijn baselines gedefinieerd die continu worden bewaakt. De waakhonden in de software speuren constant de configuratie af en bekijken of er nergens mutaties ontstaan rond de data en de rechten. Welke gebruikers en processen krijgen welke lees- en schrijfrechten, en worden die ook gehandhaafd? Zijn de password en secret keys veilig gearchiveerd? Het gebruikte Linux-besturingssysteem moet uiteraard bestanden kunnen lezen en schrijven, maar je weet als ontwikkelaar precies hoe, wat en waar. Elk uur wordt die baseline gecontroleerd. Komt er dus malicieus software in de omgeving die achterdeurtjes probeert te vinden door aan rechten of instellingen te sleutelen, dan wordt dat gesignaleerd en gecorrigeerd. De deur is daarmee potdicht.”

Veiligheid van binnenuit
Veel securityoplossingen kijken van buiten naar binnen, en beveiligen de buitenkant van het netwerk, als een soort hekwerk. Zijn er activiteiten die haaks staan op de policies, wordt er verkeerde software gebruikt, zoeken gebruikers toegang tot vreemde locaties of doen ze verdachte transactie en zijn er onbekende gebruikers? Hierdoor wordt het gedrag van gebruikers en systeemcomponenten inzichtelijk gemaakt. Met het buiten houden van verdachte componenten en het bewaken van processen worden risico’s geëlimineerd.
Nutanix zorgt voor een goede integratie met zulke XDR-oplossingen, maar ook de binnenkant van infrastructuur moet veilig zijn. Ricardo: “Want als er bij een security-oplossing iets of iemand door de mazen van de beveiliging glipt, dan is het cruciaal dat hij of zij geen schade aan kan richten. Nutanix HCI heeft ook dat deel onder controle, door een gelaagd security-model te hanteren.”

Alles is versleuteld
Essentieel in de architectuur is de encryptie op basis van AES 256. Alle data in het systeem wordt versleuteld bewaard met de krachtigste encryptie algoritmes. Ook de verbindingen tussen de nodes is zo beveiligd. Iemand die dus tot de systemen weet door te dringen kan niet aan de data komen omdat die encrypted is. Voor de disks (data at rest) kan dat softwarematig of met hardware geïmplementeerd worden. Data at rest is onbruikbaar zonder toegang tot de sleutels. Hiervoor kan het Nutanix-keymanagement gebruikt worden, maar ook oplossingen van gespecialiseerde aanbieders zoals onder andere Thales.

Een andere security laag is om bepaalde bestandsformaten te weren, dit is een andere manier om potentiële malicieus bronnen de pas af te snijden. Ook wordt continue bewaakt waar bestanden heen gaan. Als er een proces is dat bestanden ineens in grote hoeveelheden tegelijkertijd aan het aanpassen is, wordt dat direct gelokaliseerd en in geheel voor analyse in quarantaine gezet. Dit zou namelijk kunnen duiden op een ransomware aanval.

Nog een andere security laag binnen het Nutanix platform, is het segmenteren van VM’s (virtuele machine) door middel van securitypolicies. Zo beperken we welke applicaties of VM met welke andere applicaties mag communiceren en over welke port nummers dit mag. Omdat alle eilanden in de architectuur daarmee goed gesegmenteerd zijn, betekent bij een aanval dat slechts een beperkt deel van de infrastructuur impacted zal zijn.

Snapshots is weer een andere verdedigingslinie. De snapshots van VM’s zorgen ervoor dat de historie beschikbaar is en hersteld kan worden. Nutanix Prism beheert dit proces. Ricardo: “In een enkele case waar ransomware doorgedrongen was, hebben we gezien dat het werkte. De snapshots konden onbeschadigd opgehaald worden, omdat die door de ranswomware software niet waren versleuteld. Daarbij kunnen snaps en backup ook nog in een immutable storage omgeving geplaatst worden op het Nutanix-platform. Dan ben je 100% zeker dat een ranswomware aanval deze bestanden nooit kan versleutelen”. “Dit garandeert een snelle en betrouwbare recovery.”

Een bijkomend voordeel is dat de hypervisor van Nutanix (AHV) minder populair is bij hackers en alleen al daarom minder risico’s oplevert dan een VM van VMware.” Want één ding is zeker, de kans dat gijzelsoftware een keer toe probeert te slaan is eigenlijk zeker. Je weet helaas nooit wanneer en waar, maar uitsluiten kan niemand het. Een goede gelaagde verdediging is dan cruciaal en beperkt de impact.”

Simpel en secure naar de cloud
Nutanix ondersteunt Amazon AWS en Microsoft Azure als cloudoplossing in een hybride cloud-concept. Er wordt gebruik gemaakt van virtuele private clouds (VPC’s) die vanuit de on-prem infrastructuur automatisch uitgerold kunnen worden. De gebruiker heeft er geen omkijken naar want de security policies van de on-prem configuratie gaan automatisch mee in deze opstelling. Hiermee zorg je ervoor dat je dezelfde securityinstellingen zowel on-prem als ook in de publieke cloud hebt. Als klant hoef je niet een nieuwe securitymethode van bijvoorbeeld Azure of AWS te leren. Dit voorkomt het maken van handmatige instellingsfouten. Dit maakt de Nutanix hybride-cloud oplossing niet alleen de snelste manier om naar de cloud te gaan, maar ook nog eens de meest veilige. 

Zero trust
Al met al zou je kunnen zeggen dat de combinatie, dus de integratie met de XDR-oplossingen en het gelaagde securitymodel van Nutanix een Zero-trust security aanpak is. Ze maken het de hacker zo moeilijk mogelijk om binnen te komen, vervolgens zorgt men ervoor dat de bewegingsvrijheid als iemand doorbreekt zo min mogelijk is en dan zorgt men er ook nog voor dat de schade die zo’n persoon of software kan aanrichten zo klein mogelijk is.
Ricardo: “Uiteraard helpt een zero trust policy ook bij het uitsluiten van risico’s. Je moet echter voorkomen dat het zo strikt wordt dat medewerkers op zoek gaan naar shadow IT. Zeer strenge policies hinderen medewerkers en dagen hen uit alternatieve oplossingen te bedenken. OneDrive is vaak een toegestane opslag en kan zo een brug slaan tussen het gesloten bedrijfsdomein en het internet. Vergelijkbare dingen zijn mogelijk met Dropbox of Google-drive. Als IT-beheerder is het dus zoeken naar een veilige aanpak die medewerkers voldoende ruimte geeft. Ons platform is zo veilig dat je de risico’s beheersbaar houdt en de gebruiker vrijheden geeft.”

Auteur: Hans Steeman

Datacollectief BW 13-05-2024 tm 03-06-2024 Axians BW 27-05-2024 tm 10-06-2024
Dutch IT Partner Day 11 juni2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!