6min

Palo Alto Networks is als bedrijf volop in ontwikkeling om een dominantere rol op de markt in te nemen. De cybersecurity-leverancier werd groot met geavanceerde enterprise firewalls, maar wil eigenlijk steeds meer netwerk- en security vraagstukken oplossen. Men verpakt deze boodschap als SASE, voluit ook wel Secure Access Service Edge. We waren onlangs op de Ignite-gebruikersconferentie van het bedrijf om meer over deze stap te weten te komen.

Het streven van Palo Alto Networks om steeds meer netwerk- en security-zaken te adresseren, kan op voorhand best gewaagd genoemd worden. Door aanvankelijk de markt te betreden met één type product, wist Palo Alto Networks namelijk uit te groeien tot één van de grotere security-leveranciers. Dan zou je er voor kunnen kiezen om volledig te blijven focussen op hetgeen waar je goed in bent, in dit geval firewalls. Palo Alto Networks staat daar dus duidelijk anders in en verwacht veel van de activiteiten die erbij komen.

Traditionele firewalls niet meer voldoende

Volgens Palo Alto Networks hebben bedrijven namelijk een nieuwe manier nodig voor het verbinden met en gebruikmaken van applicaties. Enterprise organisaties nemen steeds meer Software as a Service (SaaS)-applicaties af en medewerkers gaan steeds mobieler werken. Deze verschuiving, en daarmee ook de verschuiving van Palo Alto Networks, is op zich al langer bezig. Volgens Palo Alto Networks was het tot op heden onder enterprise-organisaties echter niet altijd duidelijk hoeveel kritische applicaties cloud-gebaseerd zijn en hoe de connectiviteit voor de applicaties geoptimaliseerd moet worden. Dat besef lijkt nu steeds meer door te dringen.

De traditionele werkwijze van firewalls moet daarom op de schop. Zogeheten perimeter firewalls die voorheen populair waren, zijn inmiddels niet meer toereikend. Met een perimeter firewall werd er een fysieke appliance geïnstalleerd om het verkeer tussen het intern netwerk en het extern netwerk veilig te laten verlopen. Alle resources van enterprise-organisaties bevonden zich als het ware op één plek. Desktops stonden veilig op het bureau en applicaties werden in het intern datacenter gedraaid. De apparaten hadden wel een externe connectie met het reguliere internet. Om dit goed te laten verlopen, werd er over de interne resources een perimeter geplaatst. Hierbij gaat men er vanuit dat alles wat zich binnen de eigen grenzen bevindt goed is. Alles wat van buitenaf komt is juist slecht.

Deze aanpak is niet meer toereikend in een SaaS- en mobiele werk-gedreven wereld, aangezien resources zich op plekken ver buiten de bedrijfsgrenzen bevinden. Een ‘perimeter-less’ benadering is toereikender, of zoals Palo Alto Networks het ook wel noemt: een ‘logical perimeter’.

Samenkomen van Network as a Service en Security as a Service

Dit brengt ons automatisch dichterbij het eerder genoemde SASE. Bij een logical benadering wordt er namelijk gebruikgemaakt van een variëteit aan technologieën om de gebruiker veilig te verbinden met een applicaties. In de praktijk betekent het dat netwerk- en security-oplossingen samen zullen komen in één cloud-gebaseerd product, de zogeheten SASE-oplossing. Vanuit de netwerk-kant worden de technologieën SD-WAN, Quality of Service (QoS), Policy Based Forwarding, Network as a Service, IPSec en SSL VPN ondergebracht in SASE. Security brengt op zijn beurt bijvoorbeeld SSL decryptie, Cloud Access Security Broker, Cloud Secure Web Gateways, Zero Trust Network Access, Firewall as a Service, DNS security, data loss prevention en sandboxing naar de SASE-oplossing.

Door deze diensten in een enkele cloud-gebaseerde framework te stoppen, moeten enterprise-organisaties kunnen profiteren van de voordelen van de cloud. Dit betekent bijvoorbeeld de flexibiliteit en eenvoud die bij de cloud komt kijken. Stel dat je ervoor kiest om alle benoemde diensten af te nemen, dan neemt het aantal netwerk- en securityoplossingen binnen je bedrijf af. Er wordt immers veel meer centraal geregeld, met vereenvoudigd beheer en onderhoud tot gevolg.

Technologieën aan boord brengen

Om deze koers zo goed mogelijk te ondersteunen, heeft Palo Alto Networks de afgelopen tijd dan ook heel wat nieuwe technologieën geïntroduceerd. Soms zijn deze oplossingen afkomstig van overgenomen partijen, maar er wordt ook zelf het één en ander gebouwd. Hierbij kijkt Palo Alto Networks doorgaans of er een goed team aangekocht moet worden voor het specifieke product. Staat er bijvoorbeeld een opkomende startup op de overnameradar met een heel goed team dat het product nog goed moet ontwikkelen, dan worden de acquisitieonderhandelingen vaak opgestart. Dan is er het vertrouwen dat het team uiteindelijk beter een oplossing kan maken dan Palo Alto Networks zelf.

De overnamestrategie van Palo Alto Networks komt daardoor vrij agressief over. In een tijdsbestek van ongeveer een jaar werden er zo’n vijf bedrijven overgenomen voor gezamenlijk meer dan een miljard dollar. Zonder meer de opmerkelijkste overname uit het rijtje, was die van Demisto. Voor deze partij legde Palo Alto Networks namelijk 560 miljoen dollar neer (zo’n 500 miljoen euro), een dergelijk hoog acquisitiebedrag betaalde de security-leverancier nog nooit. Dit vanwege het Demisto-platform waarop security-teams hun aanpak kunnen coördineren na een cyberaanval. Hiervoor brengt Demisto data over de aanval samen, filter het de relevantste details uit de aanval en is er de mogelijkheid om de aanval te reconstrueren.

Een ander goed voorbeeld van de agressieve ingeslagen weg is het opkopen van Twistlock en PureSec. De intentie voor de acquisities werden namelijk op hetzelfde moment, afgelopen zomer, wereldkundig gemaakt. Voor deze bedrijven betaalde Palo Alto Networks respectievelijk 410 miljoen dollar en 47 miljoen dollar. Hiermee toont Palo Alto Networks nogmaals zijn cloudambities aan. Twistlock brengt een platform voor het beveiligen van cloud-native applicaties en workloads naar het Palo Alto Networks-portfolio, terwijl PureSec-technologie gebruikt wordt voor het bouwen en onderhouden van veilige serverless applicaties.

Andere noemenswaardige in huis gehaalde technologieën zijn die van Aporeto en Zingbox, een zero trust security-provider en een hackdetectieplatform voor IoT-devices.

Samenkomen op engines

Momenteel is Palo Alto Networks bezig om alle technologieën zo goed mogelijk samen te laten werken. Daar lijkt voorlopig wat meer focus naar uit te gaan dan nog meer overnames doen, aangezien dit best wat integratie-uitdagingen met zich mee brengt. De verschillende producten kennen immers hun eigen architecturen, maar moet wel vaak zoveel mogelijk compatibel met elkaar zijn.

Om dit integratievraagstuk te lijft te gaan, stelt Palo Alto Networks zichzelf het doel om alle data en loggegevens te laten landen op zijn eigen engine. Op die manier wordt de samenwerking bevorderd en kunnen er analytics toegepast worden. Loggegevens vertellen in dit geval dat er dataverkeer is uitgewisseld tussen een gebruiker en een applicatie. Data moet daadwerkelijk uit het verkeer gehaald worden, om te begrijpen wat er in het verkeer gebeurde. Naar al deze gegevens kan Palo Alto Networks vervolgens kijken om verdachte activiteiten op te sporen. In deze engine worden uiteindelijk zoveel mogelijk gegevens ingeklopt, ook data afkomstig van derde partijen.

Het aangekochte Demisto maakt deze situatie soms nog wat opmerkelijk, aangezien de Demisto-technologie draait op een eigen engine. Voor dit platform was het altijd al belangrijk om data uit systemen van derde partijen te analyseren. Daardoor kan de engine niet zomaar te komen vervallen. Palo Alto Networks kiest er zodoende voor om beide engines zo goed mogelijk te combineren. Als klanten beide engines gebruiken, dan moeten ze in staat zijn om met één van de twee engines bijna altijd diepe analyses uit te voeren.

Best-of-breed als antwoord

De vele mogelijkheden die hier allemaal door bijkomen, is iets waar de hele security-markt volgens Palo Alto Networks momenteel om schreeuwt. Het aantal leveranciers van security-tools is opgelopen tot meer dan 100, wat bij enterprise-organisaties tot een spinnenweb aan security-oplossingen heeft geleid. De security-teams zijn vaak te klein om al die producten te gebruiken voor het daadwerkelijk uitvoeren van een goede strategie. Daardoor gaat het hele oorspronkelijke idee van de oplossingen, veiligere bedrijfsomgevingen creëren, verloren.

Security-leveranciers die meer taken op zich nemen geven hier het juiste antwoord op, stelt Palo Alto Networks. Daarbij maakt het bedrijf ook de kanttekening dat voor vendor lock-in niet gevreesd hoeft te worden, aangezien er ook andere tools belangrijk blijven waar Palo Alto Networks simpelweg geen rol in kunnen spelen. SASE moet echter wel als voorbeeld dienen voor activiteiten die samen kunnen komen in één oplossing.

Andere security-leveranciers lijken daar ook gehoor aan te geven. Concurrenten als Zscaler, Fortinet en Infoblox zijn namelijk ook op de SASE-trein gesprongen.

Uitwijzen hoe belangrijk SASE daadwerkelijk is

SASE is als discipline steeds meer in opkomst. Het samenkomen van network- en security-capaciteiten in één cloud-product is een interessant idee. De traditionele werkwijze van firewalls is immers niet meer toereikend, dus moet de security-aanpak op de schop. Of SASE daadwerkelijk het juiste antwoord is, zal de tijd ons leren. Er zijn vaker technologische vooruitgangen bedacht waar veel van verwacht werd, maar waar de adoptie van achter bleef. We blijven de SASE-ontwikkelingen hoe dan ook met een scherp oog in de gaten houden hier op Techzine.