DNS-data is een goudmijn, maar integratie is noodzakelijk

Abonneer je gratis op Techzine!

De DDI-markt zit stevig in de lift. Het belang van goede en gedegen DNS, DHCP en IP-adresmanagement is inmiddels goed geland. Nu is het tijd om volgende stappen te zetten. Hoe krijg je nog meer waarde uit DNS-data? Wij gingen hier wat dieper op in met Martin van Son, Senior Account Executive bij Infoblox.

Het belang van een goed functionerende DNS (en BGP) is recent weer duidelijk aangetoond toen de diensten van Facebook urenlang niet beschikbaar waren. Een medewerker van het bedrijf maakte een foutje in de configuratie, waarna DNS en BGP dermate in de war raakten dat alles in het honderd liep en gebruikers van Facebook, Whatsapp en Instagram iets anders moesten verzinnen als tijdverdrijf.

DNS was zodoende even prominent in het nieuws, ook al was het niet per se om de meest positieve redenen. Let wel, het DNS-systeem van Facebook kan op zich niet zo heel veel verweten worden in dit geval. Het is niet alsof dat niet goed werkte, de input was simpelweg niet goed. Wellicht dat het met een diepere integratie tussen DNS en andere componenten wel afgevangen had kunnen worden. Je kunt het probleem van Facebook in ieder geval niet op het conto van de DNS of de BGP schrijven.

Goed jaar voor DDI

Het belang van een goed functionerende backbone voor het internet in de breedste zin van het woord staat dus buiten kijf. Het is dan ook niet gek dat DDI de laatste jaren steeds meer aandacht krijgt. Afgelopen jaar was voor Infoblox niet verrassend een “bizar jaar op het gebied van omzet”, geeft Van Son aan. Waar Infoblox lange tijd de markt moest maken, is DDI nu echt definitief geland. Als voorbeeld noemt hij het feit dat de VNG (Vereniging Nederlandse Gemeenten) heeft ingezien dat DDI voor een gemeente een essentieel component is in de infrastructuur.

De transitie naar de cloud en de diensten die daarbij horen is een belangrijke factor geweest voor de toenemende populariteit van optimaal ingerichte DDI. Als je als wereldwijd opererend bedrijf bijvoorbeeld Microsoft Office 365 wilt gebruiken, dan wil je ook graag iedereen een optimale gebruikerservaring bieden. Dan kun je er niet mee aankomen dat al je medewerkers gebruikmaken van een gecentraliseerde DNS. Dat levert voor medewerkers die op grote afstand van dat centrale punt zitten, een belabberde ervaring op. Onder andere de latency is veel te hoog.

Tip: Lees ook ons artikel waarin we globaal uitleggen wat Infoblox doet.

Decentralisatie

We gaven het hierboven al even aan, de decentralisatie van de werkomgeving speelt een belangrijke rol bij de adoptie van DDI-diensten. Dat verklaart ook meteen voor een deel waarom het afgelopen jaar zo goed is geweest voor Infoblox. Veel organisaties moesten immers op stel en sprong veel decentraler gaan opereren. Om alles optimaal te laten verlopen, was het zaak om te kijken naar hoe clouddiensten optimaal gebruikt konden worden, ongeacht waar de medewerkers zich bevinden. De architectuur van het verleden is echter gecentraliseerd, geeft Van Son aan, terwijl die inmiddels gedecentraliseerd moet zijn.

De verschuiving van centralisatie naar decentralisatie is een van de voornaamste redenen waarom organisaties niet gewoon bij de grote public cloud providers aanbellen om bijvoorbeeld hun DNS in te richten. Zoals we al zagen in het voorbeeld van Microsoft Office 365 hierboven, wil je liever niet dat iedereen wereldwijd via het Microsoft-datacenter in Frankfurt toegang krijgt tot de diensten. “Je wilt de services op locatie hebben en het beheer in de cloud”, zoals Van Son het zegt. Daarnaast riskeer je een lock-in als je naast allerlei andere diensten ook nog eens je DNS af gaat nemen bij een public cloud.

DNS als securitylaag

Van origine is DNS niet per se gericht op het aanbieden van security. Toch kun je het er behoorlijk effectief voor inzetten. Een goed voorbeeld hiervan is een (lokale) Response Policy Zone (RPZ). Met een RPZ is het mogelijk om op basis van de reputatie van aanbieders opbouwend verkeer op een DNS te blokkeren. Daarmee voorkom je dat foute domeinen gerouteerd worden en dus verdere schade aan kunnen richten.

Een DNS kan daarnaast ook standaard nieuwe domeinen voor een beperkte tijd blokkeren. Vaak zie je namelijk dat foute domeinen erg kort bestaan. Ze komen in de lucht, worden heel even voor foute doeleinden gebruikt en verdwijnen weer. Door ervoor te zorgen dat nieuwe domeinen niet meteen gebruikt kunnen worden, maar deze eerst goed te controleren, hou je een fors deel van de foute domeinen tegen.

De informatie die Infoblox gebruikt om domeinen op deze manier te beoordelen, is afkomstig uit meerdere bronnen. Allereerst uiteraard van de DNS registrars, die de domeinnamen toewijzen. Daarnaast maakt Infoblox echter ook gebruik van honderden passieve DNS-nodes. Deze doen in principe niets, maar zien wel alle queries voorbijkomen. Een passive DNS slaat ook historische data over domeinen op. Al deze data gevoerd worden aan ML-algoritmes, om zo ook de wat meer subtiele bedreigingen voor security te kunnen achterhalen.

VPN vs DNS

Een laatste voorbeeld van het gebruik van DNS als securitylaag heeft te maken met het beveiligen van thuiswerkers. Dat is uiteraard nog altijd erg relevant en zal dat ook blijven. Als we hybride werk serieus inrichten, moeten er ook blijvend veilige oplossingen komen om op afstand te kunnen werken binnen de omgeving van een organisatie. Van oudsher gebruiken organisaties hier VPN voor.

Het gebruik van VPN is echter niet meer echt van deze tijd. Door de opkomst van SaaS-applicaties neemt het nut ervan af. Daarvoor hoef je immers niet door een VPN-tunnel te gaan. Je bent dan in principe ook niet beschermd, ook al maak je wel verbinding met de bedrijfsomgeving. Daarnaast zijn VPN’s steeds vaker doelwit van aanvallen. Zeker ongepatchte VPN’s worden dus steeds kwetsbaarder. Tot slot kan het aanschaffen van een VPN-licentie voor iedere medewerker behoorlijk in de papieren gaan lopen. Je kunt dan natuurlijk beslissen om maar een beperkt aantal van die licenties aan te schaffen. Dat is qua beveiliging echter ook niet de beste strategie.

Om medewerkers veilig verbinding te laten maken, heb je niet per se VPN nodig. Je kunt ook DNS inzetten. Infoblox heeft hiervoor BloxOne Threat Defense in het portfolio zitten. Deze dienst leidt de DNS van de thuiswerker om via de Infoblox cloud. Daar zorgt de dienst ervoor dat een thuiswerker niet (per ongeluk) verbinding kan maken met websites waar phishing, ransomware en andere malware vandaan komen. Je kunt daar ook op basis van policies bepaalde soorten inhoud blokkeren. Verder houdt BloxOne Threat Defense continu in de gaten of de verbindingen veilig blijven. Komen er lookalike domeinen in de lucht voor de domeinen die medewerkers benaderen, dan ziet deze dienst dat ook.

DDI-data breder relevant maken

Tot nu toe hebben we het vooral gehad over zaken die tot de kern horen van wat je traditionele DDI zou kunnen noemen. Dat wil zeggen, de data die Infoblox verzamelt, zet Infoblox zelf in om producten en diensten voor haar klanten te ontwikkelen en aan te bieden. Dat was lange tijd ook nodig, omdat de markt voor DDI gemaakt moest worden. Die markt is er nu, dus nu is het ook tijd om te kijken naar wat er nog meer gedaan kan worden met de data die organisaties via DDI tot hun beschikking hebben. Dat is dan ook waar Infoblox tegenwoordig zwaar op inzet.

Een gevolg van een dergelijke focus is dat Infoblox meer en meer inzet op automatisering. Het is de bedoeling dat de DDI-data van Infoblox (vooral DNS) ook in andere (security-)oplossingen terechtkomt. Op deze manier beweegt Infoblox (of in ieder geval de data die klanten verzamelen met Infoblox) wat naar beneden in de netwerkstack. Infoblox kan bijvoorbeeld de severity scores doorgeven die het samenstelt als het DNS-queries blokkeert. Daar kunnen tools zoals Aruba Clearpass of Cisco ISE dan weer hun voordeel mee doen, om een paar voorbeelden te noemen.

Bovenstaande is echter eenvoudiger gezegd dan gedaan. Infoblox heeft weliswaar een API, maar daarmee zijn ze er nog niet. Er zijn zoveel securityleveranciers, dat het vrijwel onmogelijk is voor die leveranciers om alle integraties onderling te realiseren. Om dit deels op te vangen, maakt Infoblox zelf de nodige koppelingen met de grotere spelers in de markt. Dat kan het bedrijf natuurlijk niet voor alle leveranciers doen, net zoals de andere spelers dat niet kunnen doen.

Je kunt je afvragen of de markt al wel helemaal klaar is voor automatisering tussen allerlei securitylagen. Als je bedenkt dat RPA nog maar net enkele jaren aan het exploderen is, kan het nog weleens een tijdje duren. RPA is in het algemeen tamelijk low-level. Dat gaat bijvoorbeeld veel over het automatiseren van repetitieve taken, zoals het extraheren van data uit documenten, om die data in de juiste velden van een systeem te zetten. De impact als het fout gaat is dan te overzien. Bij securitygerelateerde zaken, zeker hoger in de boom, ligt dat toch anders. Van Son ziet dat ook, geeft hij aan. Uiteindelijk ligt het definitieve besluit bij de klanten zelf, Infoblox kan alleen maar proberen om het zo eenvoudig mogelijk te maken.

Toekomst: Andere rol voor Infoblox?

Als je zoals Infoblox zwaar inzet op het breder relevant maken van je expertise binnen DDI, dan betekent dat onder de streep ook dat de rol van het bedrijf als geheel verandert. Je kunt dat wat Infoblox nu aanbiedt zien als een soort telefoongids van het internet. Deze gids vertelt verkeer waar het heen moet. Daarnaast zou het ook fijn zijn als je ook inzichten krijgt over hoe je daar moet komen. “Infoblox is nu het eerste, maar moet ook richting het tweede”, geeft Van Son aan. Infoblox gaat niet de SD-WAN-kant op, voegt hij meteen toe, maar wil wel de cloud meer gaan gebruiken om veel meer uit de rijke DNS-data te halen en hun producten en diensten te verbeteren. SASE zal hier ongetwijfeld een rol in spelen, getuige de overname van Snaproute vorig jaar.

Hoe deze toekomst van Infoblox (en van DDI-data in het algemeen) er precies uit gaat zien, is op dit moment nog niet duidelijk. Daar kan Van Son nog geen uitspraken over doen. Met de nadruk op automatisering rondom DNS als securitylaag en de wens om niet alleen een telefoongids maar ook een Google Maps inclusief routebeschrijving te worden, kunnen we nog voldoende verwachten de komende tijd. Zowel van Infoblox als bedrijf als van de inzet van DDI-data in het algemeen.