In deze wereld van hybride werken en gedecentraliseerde IT-netwerken, heeft een Zero Trust-netwerkarchitectuur (ZTNA) steeds vaker de voorkeur. Het werkt immers heel fijn binnen gedistribueerde organisaties, omdat het niet alleen de netwerkranden monitort, maar vooral ook wat er zich binnen het netwerk afspeelt. Maar er is een cruciaal aspect in ZTNA dat nog geregeld over het hoofd wordt gezien: IPv6.
Het Zero Trust-model verleent toegang tot applicaties en data op basis van gebruikersrechten, gecombineerd met constante monitoring van het gebruikersgedrag. Mits goed geïmplementeerd, kan een Zero Trust-aanpak interne en externe bedreigingen beperken, van supply chain-aanvallen tot gecompromitteerde inloggegevens.
De effectiviteit van een Zero Trust-aanpak is afhankelijk van de gebruikte technologieën. Een belangrijke technologie is het IP-protocol, dat computers via internet met elkaar laat communiceren. De zesde iteratie, IPv6, bestaat al sinds eind vorige eeuw. De implementatie is lang belemmerd vanwege (kosten)technische redenen, maar daar komt inmiddels verandering in. De laatste jaren is het momentum van IPv6-implementaties namelijk aanzienlijk toegenomen. Niet alleen vanwege de aantrekkelijke kenmerken, maar ook vanwege kostenbesparingen, afnemende complexiteit en het wegnemen van belemmeringen voor innovatie in de netwerken van organisaties.
Het IPv6-protocol is om een aantal redenen een krachtig hulpmiddel in de context van Zero Trust. Dat heeft alles te maken met het feit dat Network Address Translation (NAT) niet meer nodig is. NAT was ontworpen voor het oudere IPv4-protocol, zodat niet voor ieder wissewasje een nieuw adres hoefde te worden uitgeven. Maar omdat het IPv6-protocol zo ontzettend veel mogelijke adressen kan uitgeven, is NAT overbodig geworden.
Dat is goed nieuws voor Zero Trust. Wanneer NAT niet tussen de communicatie van client en server staat, ontvangt de applicatieserver de ongewijzigde verbinding van het IPv6-bronadres van de client. IPv4 maakt het daarentegen mogelijk dat IPv4-adressen van de client worden gemaskeerd, waardoor criminelen een grotere mate van anonimiteit hebben. Het leidt bovendien tot uitdagingen rond reputatiefiltering van IP-adressen, authenticatie van client-verzoeken en het opsporen en blokkeren van frauduleuze transacties.
Door de betere transparantie kan je met een IPv6-netwerk vervolgens veel meer voordeel halen uit DNS-beveiliging. In een IPv6-netwerk kan DNS zelfs dienst doen als een cruciaal, centraal controlepunt.
Zero Trust, IPv6 en DNS-beveiliging
DNS-beveiliging kan een sleutelrol spelen in ZTNA, omdat het gecentraliseerde zichtbaarheid en controle biedt op alle computing-middelen, van gebruikers en servers tot aan individuele IP-adressen die zijn gekoppeld aan een specifiek apparaat. Omdat het meeste verkeer, ook het kwaadaardige, eerst via DNS-resolutie verloopt, verschaft DNS gedetailleerde client-informatie en helpt het bij het opsporen van afwijkend gedrag en het beschermen van intern netwerkverkeer. DNS-beveiliging kan daarnaast voortdurend monitoren op command & control-verbindingen en toegangspogingen tot websites die malware hosten – en deze vervolgens ook te blokkeren.
Optimale implementatie van DNS-beveiliging in een IPv6-netwerk kent een aantal aspecten:
- De integratie van DDI-metadata (DNS, DHCP en IPAM) in de security-stack. Deze data maakt het mogelijk het apparaat te identificeren dat verantwoordelijk is voor specifiek netwerkverkeer, waardoor IT-teams een potentiële bedreiging kunnen detecteren en deze informatie kunnen delen met andere security-tooling. Door deze inzichten in de hele stack te benutten, kunnen alle netwerkonderdelen beter worden beveiligd, van de rand tot kern.
- De implementatie van gedegen monitoring en automatisering. Denk daarbij aan apparaatdetectie en gedeelde toegang tot een geïntegreerde database met gegevens over bijvoorbeeld protocollen, IP-adressen, netwerkinfrastructuur, end hosts en ports. Deze mogelijkheden beperken verstoringen van de dienstverlening bij de detectie van kwaadaardige apparaten, fouten, onbeheerde apparaten en netwerken die niet zichtbaar zijn in standaard IPAM-tools.
Door IPv6 wordt de toegevoegde waarde van DNS-beveiliging in een Zero Trust-architectuur versterkt. DNS-beveiliging dient als één centraal controlepunt voor het beheer en de administratie van alle omgevingen – cloud, on-premises, mobiel en hybride. Op deze manier wordt DNS-beveiliging het ‘dashboard’ voor de hele security stack en kan het makkelijker worden geïntegreerd met SOAR en andere belangrijke beveiligingscontroles.
Dit is een ingezonden bijdrage van Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
24 minuten geleden
