8min

Steeds meer bedrijven kiezen voor de cloud. Vaak beginnen ze met het virtualiseren van hun virtual machines in de cloud, de stap erna is het ontwikkelen van applicaties die volledig cloud gebaseerd zijn. Dit soort applicaties maken gebruik van allerlei verschillende cloudservices, van serverless tot machine learning en van S3-opslag tot allerlei verschillende databases. Het beveiligen en compliant houden van al deze clouddiensten is een uitdaging op zich. Producten als Barracuda Cloud Security Guardian en AWS Control Tower kunnen daarbij helpen.

Barracuda is een van de beveiligingsbedrijven die ervoor gekozen heeft om diens technologie en innovaties naar de cloud te brengen en ook vooral in de cloud nieuwe toepassingen te ontwikkelen. We raakten enkele weken voor AWS re:Invent al in gesprek met Barracuda over zijn nieuwe Cloud Security Guardian-product. Tijdens re:Invent introduceerde Amazon Web Services AWS Control Tower.

We gingen in gesprek met Barracuda Senior Vice President Data Protection, Network and Application Security Tim Jefferson om ten eerste beter te begrijpen wat Cloud Security Guardian precies doet, maar ook hoe het verschilt van AWS Control Tower. Op het eerste oog lijken beide producten namelijk enorm veel op elkaar. Aangezien beide producten vrijwel tegelijk worden gepresenteerd vroegen we ons af hoe we dit moeten zien.

Wat doen Barracuda Cloud Security Guardian en AWS Control Tower?

Wat deze producten in de basis doen is een overzicht maken van alle AWS-services die je gebruikt en de configuraties van deze diensten met een set compliance regels en frameworks vergelijken. Zo worden er verschillende ISO- en PCI-standaarden meegenomen, maar ook GDPR-regels en natuurlijk de CIS-benchmarks.

Als een dienst op de een of andere manier niet voldoet aan een van deze standaarden en daar wel aan zou moeten voldoen dan kunnen beide tools dit weergeven, aangeven wat de oplossing is, of zelfs met een druk op de knop de oplossing verzorgen door de instellingen aan te passen. In de basis zijn de producten op dit vlak vrijwel identiek. Voor hoever ze dat niet zijn, zullen ze dat over een aantal maanden wel zijn. Beide brengen AWS-services in kaart en gebruiken dezelfde standaarden. Barracuda ondersteunt naast AWS echter ook Azure, dus zij kunnen dit op twee public cloud-platformen toepassen.

Deze vergelijkingen worden op een microlevel gedaan. Dus per API en per feature wordt een aantal zaken bekeken: wat kan je ermee en welke invloed heeft dit op je omgeving, op de compliance en hoe moet daarmee om worden gegaan.

Nextgen firewall en malware scanning

Barracuda Cloud Security Guardian gaat echter nog een paar stappen verder dan het standaard AWS Control Tower-product. AWS beschikt wel over een WAF (Web Application Firewall), maar daarbij houdt het qua firewall-bescherming wel op. Dit is niet meer dan het open of dichtzetten van poorten. Barracuda biedt binnen AWS ook zijn nextgen-firewall aan die in staat is om SSL-verkeer te ontsleutelen en te analyseren. Met een druk op de knop kan ook een nextgen-firewall worden toegevoegd en kan de compliance verder worden verhoogd. Zonder nextgen-firewall is het bijvoorbeeld veel lastiger om goede IPS/IDS te verzorgen (Intrusion Detection Prevention). Daarvoor heb je echt een nextgen-firewall nodig en die kan Barracuda op dit moment wel bieden binnen AWS, maar AWS zelf niet.

Een andere feature waarmee Barracuda meerwaarde creëert is het scannen van malware in S3-buckets. Daarmee kan het eventuele (toekomstige) problemen beter tackelen.

Concurrentie is groot, kunst is stap voor blijven

We stellen tegenover Jefferson dat Barracuda zich in een zeer competitief speelveld bevindt en vragen hoe hij daar tegenaan kijkt. Jefferson erkent dat Amazon met AWS Control Tower in de basis een prima product heeft. Wel benadrukt hij dat Barracuda Cloud Security Guardian al op korte termijn beschikbaar zal zijn en dat AWS nog maanden nodig heeft om dit product naar de markt te brengen. Daarnaast kunnen ze zich met een flink aantal features onderscheiden van AWS en meerwaarde bieden aan AWS-gebruikers.

Op de vraag of hij niet bang is dat de concurrentie de unieke features ook zal bouwen of dat AWS op een gegeven moment met een nextgen-firewall zal komen zegt Jefferson: “Daar gaan we wel vanuit, dat AWS op zeker moment met een nextgen-firewall gaat komen en dat de concurrentie met soortgelijke platformen gaat komen. Het is aan ons om nieuwe features te blijven bedenken, waarmee we de concurrentie voor blijven en meerwaarde blijven creëren voor onze klanten.“

Hij rekent er bijvoorbeeld op dat Palo Alto Networks en Checkpoint Security binnen één a twee jaar ook met een soort Cloud Security Guardian-oplossing gaan komen. Dat baseert hij op de recente overnames die de bedrijven hebben gedaan. Hij verwacht dat deze partijen de technologie van die overnames gaan integreren in nieuwe oplossingen.

API en data plane maken verschil

Jefferson liet verder weten dat Barracuda zich vooral focust op het MKB. Zulke bedrijven hebben ook hoogwaardige beveiliging nodig en kunnen dit met een product als Barracuda Cloud Security Guardian eenvoudig uitrollen, in zowel Azure als AWS. Daarnaast stelt hij dat dit product ook erg interessant kan zijn voor enterprise organisaties, vooral voor bedrijven die nog niet zo’n oplossing hebben, of de oplossing willen doortrekken naar hun firewalls.

Jefferson stelt dat Cloud Security Guardian voor de meeste enterprises geen heel uniek product is, omdat ze vaak zelf al een dergelijk product hebben ontwikkeld om zichzelf ervan te verzekeren dat hun omgeving compliant is met alle gestelde eisen. Hiertoe worden ze intern ook wel verplicht, om het bestuur daar geen conflicten over wil.

Wel kan Barracuda een aantal zaken bieden waar ook enterprises zeer blij van worden. De hele oplossing is namelijk API-based, dus enterprise organisaties kunnen gebruikmaken van Cloud Security Guardian zonder de user interface te gebruiken. Aangezien Cloud Security Guardian in staat is om al veel diensten automatisch achter een nextgen-firewall te plaatsen en al die configuratie uit handen te nemen, biedt het wel degelijk meerwaarde. Dat zijn zaken die voor veel organisaties een hoop werk zijn om te waarborgen. Zorgen dat alle firewalls goed zijn afgesteld, zowel nextgen als de Web Application Firewall (WAF). Dat soort integraties hebben ze vaak meer moeite mee.

Ook het analyseren en beschermen van de data plane is iets wat met andere oplossingen op dit moment nog onmogelijk is. AWS heeft hier nog geen oplossing voor. Azure begint de eerste stappen te zetten, maar heeft nog wel een lange weg te gaan. Binnen een of twee jaar verwacht hij dat Azure hierin competitiever zal zijn.

Sneller schakelen op security

Een van de zaken waar steeds meer bedrijven tegenaan lopen is dat security het ontwikkelproces vertraagt. We horen nu al een aantal jaar dat bij het ontwikkelen van applicaties er vanuit een security mindset gedacht moet worden. Achteraf beveiliging inbouwen in een applicatie is simpelweg veel lastiger dan vanuit een security oogpunt applicaties ontwikkelen. Met de cloud werkt dit eigenlijk hetzelfde. Als je gebruik gaat maken van nieuwe clouddiensten en microservices dan moet je er vrijwel direct een beveiligingsstrategie naast leggen.

Dit gebeurt steeds vaker, tot groot ongenoegen van de ontwikkelaars. Zij lopen namelijk tegen het probleem aan dat er eerst weken nagedacht moet worden hoe we dat allemaal gaan beveiligen en dichttimmeren. Met Cloud Security Guardian kan dit vele malen sneller en kunnen ontwikkelaars veel nauwer betrokken worden.

Vanuit een security oogpunt kan aangegeven worden aan welke eisen een applicatie kan voldoen, terwijl Cloud Security Guardian ook tijdens het ontwikkelen direct kan melden wanneer een service niet compliant is. Stel dat een ontwikkelaar gebruikmaakt van nieuwe services maar de configuratie hiervan voldoet niet aan de eisen, dan kan dit direct worden gecommuniceerd. Niet alleen traditioneel per e-mail, maar ook direct in bijvoorbeeld Slack-kanalen en andere berichtendiensten. Hierdoor kan zowel het beveiligingsteam als de ontwikkelaar snel schakelen om tot een oplossing te komen. De ontwikkelaar wordt daarmee vrijwel direct gewezen op een probleem en er kan direct naar een oplossing worden gekeken.

Dat is veel effectiever dan dat er vooraf eerst een uitgebreid onderzoek wordt gedaan of dat na het ontwikkelen van een flinke module, de ontwikkelaar er vervolgens opnieuw in moet duiken om deze compliant te maken.

Barracuda Cloud Security Guardian is ook geschikt voor managed security providers

De Barracuda Cloud Security Guardian is zoals eerder vermeld volledig API-based, maar het is uiteindelijk ook een multi-tenant SaaS-applicatie waardoor het product ook zeer geschikt is voor managed security providers.

Binnen de SaaS-omgeving van Cloud Security Guardian kunnen dus meerdere AWS- en Azure-accounts worden toegevoegd en aan verschillende gebruikers en omgevingen worden toegekend. Bedrijven die kiezen voor Cloud Security Guardian, via een MSP of direct bij AWS, krijgen binnen hun cloudomgeving een instance van Barracuda die alle data gaat verzamelen en de omgeving blijft scannen.

De klant kiest of dat Barracuda alleen mag lezen of ook mag schrijven in deze omgeving. Met schrijven wordt in dit geval het aanpassen van configuraties bedoeld. Doordat de instance in de omgeving van de klant draait en daar alle data verzameld wordt, blijft de data ook in het beheer van de klant en niet van Barracuda.

Wel is het zo dat als de SaaS-omgeving wordt gebruikt, deze gaat praten met de instance in het netwerk om die data te visualiseren. Dat is echter een zeer beperkte data-overdracht. Mocht de klant besluiten om te stoppen met Cloud Security Guardian, is de data dus gewoon bij de klant.

Verder kan de SaaS-omgeving ook worden gedraaid in dezelfde public cloud regio als waar de klant actief is. Barracuda heeft geen preferred cloudpartner, de SaaS-omgeving wordt zowel in Azure als AWS aangeboden. Ook kon Jefferson ons al vertellen dat de ondersteuning van Google Cloud Platform momenteel in kaart wordt gebracht en in de toekomst zeker zal gaan volgen. Een timeline kon hij hiervoor nog niet geven.

Cloud Security Guardian was in eerste instantie een intern product

Wat ook nog wel interessant is om te weten, is dat Cloud Security Guardian in eerste instantie een intern product was. Net als veel enterprise organisaties is het in eerste instantie ontwikkeld om de eigen Barracuda cloudomgevingen te monitoren en te zien of alle microservices en diensten die Barracuda gebruikt wel compliant zijn met de gestelde eisen.

Barracuda zag echter in dat dit voor veel meer bedrijven toepasbaar is. Daarom begon het toen met het bouwen van Cloud Security Guardian op basis van de technologie die het eerder had ontwikkeld voor interne doeleinden.

Binnenkort zal het product definitief beschikbaar gaan komen, het kan nu al wel getest worden in de Marketplace en tot februari worden er geen kosten in rekening gebracht.  We zijn benieuwd hoe het ontvangen wordt, hoe de oplossing zich verder ontwikkelt en of Barracuda de concurrentie voor kan blijven.