Whitepaper
Uw next-generation firewall ten volle benutten Uitgebreide zichtbaarheid van het netwerk en beter beheer vergroten de efficiëntie van uw bedrijf en maken bedrijfsgroei mogelijk met maximale beveiliging. Zakelijke uitdagingen:
Taak van next-generation firewall:
Naleving van richtlijnen
Deterministische, stateful inspection uitvoeren
Diepgaand inzicht en beheer bieden
(Micro)toepassingen identificeren en beheren, ongeacht welke poorten en protocollen worden gebruikt Gebruikers identificeren via passieve en actieve verificatiemethoden
Bedrijfsbehoeften ondersteunen en tegelijk risicovol gedrag beperken
Specifiek gedrag binnen toegestane microtoepassingen identificeren en beheren
Gepast gebruik van persoonlijke apparaten autoriseren
Gedifferentieerde toegang tot een breed scala aan mobiele apparaten ondersteunen
Beschermen tegen internetbedreigingen
Websites en online toepassingen beheren op basis van een dynamische reputatieanalyse
Legitiem internetgebruik ondersteunen en ongewenste webcategorieën blokkeren
Bescherming bieden tegen zero-day bedreigingen in NRT (near real-time) Veilig gebruik van versleuteling ondersteunen
Versleuteld verkeer decoderen en inspecteren op basis van beleidsregels
Balans vinden tussen beveiligings- en prestatievereisten
Prestaties garanderen wanneer meerdere beveiligingsservices zijn ingeschakeld
Netwerkbeheerders hebben tegenwoordig met de meest diepgaande veranderingen in de geschiedenis te maken bij het zoeken naar een balans tussen beveiliging en productiviteit. Door de snel veranderende bedrijfstrends worden ze voor de uitdaging gesteld om breed beschikbare maar veilige internettoegang te bieden, zodat werknemers legitieme bedrijfstoepassingen kunnen gebruiken op het apparaat van hun keuze. De huidige toepassingen zijn zeer dynamisch en veelzijdig geworden, waardoor de grens vervaagt tussen legitieme bedrijfstoepassingen en toepassingen die tijdsverspilling met zich meebrengen en het bedrijf in toenemende mate blootstellen aan internetbedreigingen. In het verleden was het redelijk duidelijk wat acceptabel gebruik inhield, maar sociale media, het delen van bestanden en internetcommunicatie kunnen nu zowel voor bedrijfsdoeleinden als voor strikt persoonlijk gebruik worden ingezet. Deze toepassingen worden nu breed gebruikt in alle lagen van een organisatie. Het feit dat werknemers steeds mobieler worden, maakt de situatie nog gecompliceerder: gebruikers moeten overal en op elk moment toegang kunnen krijgen tot het netwerk via verschillende mobiele bedrijfs- en privéapparaten. Dit heeft ertoe geleid dat bedrijven van uiteenlopende grootte het BYOD-beleid (Bring Your Own Device) hebben geïntroduceerd om de productiviteit en tevredenheid van hun werknemers te vergroten. Netwerkbeheerders worden door deze en andere bedrijfstrends geconfronteerd met serieuze uitdagingen: zij moeten zowel het beleid voor acceptabel gebruik ter bescherming van het netwerk implementeren als de flexibiliteit garanderen om het productiviteitsniveau te behalen en te handhaven dat nodig is om bedrijfsgroei te stimuleren. Een nieuwe beveiligingsaanpak is vereist, zonder de beproefde methoden op te offeren, om netwerkzichtbaarheid en -beheer te verbeteren, bedrijfsinnovatie te versnellen en proactief bescherming te bieden tegen nieuwe en opkomende bedreigingen. Beheerders hoeven de huidige Stateful Inspection Firewall niet op te geven, maar moeten deze beproefde beveiligingsmethode aanvullen met extra netwerkgebaseerde beveiligingscontroles voor end-to-end netwerkintelligentie en gestroomlijnde beveiligingsactiviteiten. © 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 1 van 6
Uitdagingen voor het bedrijf Zoals eerder aangegeven, worden toepassingen voor sociale media, voor het delen van bestanden en voor internetcommunicatie die voorheen op bedrijfsnetwerken verboden waren nu beschouwd als legitieme, efficiënte en kosteneffectieve methoden om klanten en partners wereldwijd te bereiken. Volgens het Cisco Annual Security Report van 2013 heeft 22% van alle webverzoeken op het werk betrekking op het bekijken van online video’s; nog eens 20% betreft bezoeken aan sociale netwerksites. Als gevolg hiervan worden sociale media en online video door alle mogelijke organisaties geïntroduceerd. De meeste grote merken hebben een eigen Facebook- en Twitteraccount en vele integreren sociale media in hun daadwerkelijke producten. Terwijl voorheen toegang tot het netwerk werd beperkt tot apparaten die eigendom waren en beheerd werden door de IT-afdeling, kan nu een brede reeks persoonlijke apparaten ook beveiligde toegang verkrijgen. Naast de voordelen op het gebied van bedrijfsproductiviteit, leiden deze netwerktrends ook tot nieuwe beveiligingsrisico’s. Hierdoor vormen het implementeren van beleid voor acceptabel gebruik, het beheren van toepassingen die het beleid omzeilen, het autoriseren van privéapparaten en de bescherming tegen internetbedreigingen momenteel de belangrijkste uitdagingen voor organisaties.
Beleid voor acceptabel gebruik handhaven Twee van de belangrijkste zakelijke kwesties die door organisaties moeten worden aangepakt, hebben te maken met de handhaving van beleid voor acceptabel gebruik. Ten eerste is robuuste, op content gebaseerde URLfiltering vereist om aanstootgevende, ongepaste en mogelijk illegale websites te blokkeren, zoals websites die gewelddadig, racistisch materiaal of materiaal voor volwassenen bevatten, websites die de productiviteit verlagen of ongekend veel bandbreedte opeisen, zoals YouTube, en websites die de naleving van wetgeving door bedrijven in gevaar brengen, zoals BitTorrent en eDonkey. Bovendien is diepgaande technische toepassingsinspectie vereist om bekende, kwaadaardige software te blokkeren, zoals proxy anonymizers (software voor anoniem surfen), die door werknemers kunnen worden gebruikt om IT-controles te omzeilen. De implementatie van een beleid ten aanzien van acceptabel gebruik wordt verder gecompliceerd door toepassingen zoals Facebook, Twitter, LinkedIn en Skype. Deze toepassingen hebben zich ontwikkeld tot legitieme bedrijfstoepassingen, maar vele organisaties verzetten zich tegen toelating op het netwerk omdat het gebruik ervan kan leiden tot wijdverspreid misbruik van bandbreedte en verminderde productiviteit van werknemers.
Toepassingen beheren die het beleid omzeilen Gerelateerd aan deze uitdaging is het verkrijgen van zichtbaarheid op, en de controle over, toepassingen zoals Skype en BitTorrent die gebruikmaken van verschillende poorten en protocollen. Aangezien deze toepassingen trachten op enige manier toegang te verkrijgen, ongeacht wat er met het netwerk gebeurt, vormen zij unieke uitdagingen voor beheerders die het gebruik van dergelijke toepassingen proberen te blokkeren. Beheerders kunnen tientallen beleidsregels opstellen die slechts één van deze toepassingen blokkeert en ze toch niet adequaat onder controle houden.
Persoonlijke apparaten autoriseren Volgens het Cisco Annual Security Report van 2011 is 81% van de ondervraagde studenten van mening dat zij zelf moeten kunnen bepalen welke apparaten zij nodig hebben om hun taken uit te voeren. 77% van de ondervraagde werknemers wereldwijd gebruikt meerdere apparaten om toegang te verkrijgen tot het bedrijfsnetwerk. Meer dan eenderde van hen gebruikt ten minste drie apparaten voor hun werk. Volgens het Global IBSG Horizons Report van Cisco van 2012 meldt 84% van de IT-managers dat IT binnen hun bedrijf steeds meer op de consument is gericht. Het Cisco Annual Security Report van 2013 staaft deze bevindingen: alleen al de afgelopen twee jaar is er bij Cisco sprake van een toename van 79% in het aantal mobiele apparaten dat door medewerkers wordt gebruikt. Het merendeel hiervan betreft bovendien BYOD. © 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 2 van 6
Deze trends hebben ertoe geleid dat BYOD voor de meeste organisaties een prioriteit is geworden: mobiliteitsinitiatieven zullen naar verwachting 23% van IT-budgetten uitmaken in 2014 (in vergelijking met 18% in 2012). Hoewel slechts enkele jaren geleden een organisatie alleen hoefde te bepalen wie toegang moest hebben tot het netwerk en tot vertrouwelijke bedrijfsgegevens, heeft BYOD nieuwe lagen van complexiteit aan die besluitvorming toegevoegd. Organisaties moeten nu bepalen of werknemers die toegang hebben tot dergelijke gegevens alleen toegang mogen krijgen via apparaten die eigendom zijn van en beheerd worden door het bedrijf of dat ook persoonlijke apparaten mogen worden gebruikt. Als het gebruik van persoonlijke apparaten acceptabel is, zijn dan alle apparaten toegestaan of alleen specifieke? Moeten werknemers zich binnen de bedrijfs-LAN bevinden of bieden externe VPN-verbindingen ook het juiste beveiligingsniveau?
Bescherming tegen internetbedreigingen Internetbedreigingen vormen ook een probleem voor zowel grote als kleine organisaties. Hoewel zaken als het delen van bestanden en het gebruik van sociale media een positief effect hebben gehad op de productiviteit van werknemers, kennen ze ook duidelijke risico’s: ze kunnen worden misbruikt door hackers en andere auteurs van kwaadaardige software om onbevoegde toegang te verkrijgen tot het netwerk of malware te verspreiden. Toepassingen voor extern beheer, zoals TeamViewer en PC Anywhere, kunnen de productiviteit van individuele werknemers en van teams enorm vergroten, maar makers van malware kunnen zwakke plekken in die toepassingen misbruiken om de controle over het netwerk over te nemen. Bovendien kan het gebruik van toepassingen voor het delen van bestanden, zoals Dropbox en iCloud, ertoe leiden dat vertrouwelijke bedrijfsgegevens naar de cloud worden geüpload, waar de organisatie geen zeggenschap meer heeft over de verspreiding ervan. Malware kan zich ook voordoen als bekende toepassingen die worden uitgevoerd via open poorten. Het kan worden geïntegreerd in legitieme toepassingen waarin zwakke plekken zijn gevonden en malware kan worden geïnstalleerd als een drive-by download via frauduleuze websites, of zelfs via legitieme websites die zijn geïnfecteerd. Sociale technieken die zijn gericht op gebruikers van sociale media zijn ook effectief gebleken: dergelijke toepassingen hebben ertoe geleid dat werknemers het heel normaal vinden om te klikken op emailkoppelingen en content te downloaden van onbekende websites, ongeacht alle waarschuwingen van de ITafdeling om van dergelijk gedrag af te zien.
Een proactieve, uitgebreide aanpak van netwerkbeveiliging is vereist Leiders van ondernemingen onderkennen dat flexibiliteit essentieel is bij het maximaliseren van de productiviteit. Maar hoe kunnen zij profiteren van de productiviteit en kostenbesparingen die worden geboden door zakelijke en technologische trends, en zich tegelijkertijd beschermen tegen de beveiligingsproblemen die dergelijke trends veroorzaken? Het antwoord zit in het feit dat een organisatie de zichtbaarheid op het netwerkverkeer kan vergroten via volledig contextbewustzijn. Wanneer beheerders de details van het netwerkverkeer duidelijk kunnen zien, kunnen zij goed gefundeerde beslissingen nemen. Zichtbaarheid van toepassingen en gebruikers-ID’s is waardevol, maar biedt echter niet het volledige contextbewustzijn dat is vereist om nieuwe toepassingen, apparaten en business cases op een veilige manier toe te staan. Volledig contextbewustzijn omvat ook enterpriseklasse URL-filtering, dynamische webreputatie, apparaatbewustzijn en kennis van de locatie van de gebruiker en het apparaat.
Zichtbaarheid en beheer van toepassingen Zoals eerder aangegeven, is toepassingsbewustzijn een kernvereiste voor elke next-generation firewall. Het is echter van essentieel belang dat de firewall meer herkent dan alleen de toepassingen: de microtoepassingen die een toepassing vormen moeten ook kunnen worden herkend en eventueel worden geblokkeerd. Dit is met name van belang bij toepassingen voor sociale media, zoals Facebook en LinkedIn. Wanneer deze toepassingen worden herkend, kan alleen de gehele toepassing worden geblokkeerd of toegestaan. Een organisatie kan bijvoorbeeld toegang tot Facebook willen bieden zodat verkoop- en marketingmedewerkers berichten kunnen posten op de Facebook-pagina van het bedrijf en kunnen communiceren met klanten en partners, maar toegang tot Facebook Games willen weigeren. Wanneer elke microtoepassing afzonderlijk wordt herkend, kunnen beheerders aan elk ervan andere toegangsrechten toekennen. © 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 3 van 6
Door specifieke functies binnen deze microtoepassingen te herkennen, kan de firewall beheerders nog gedetailleerder beheer bieden. De specifieke functies binnen de microtoepassing ‘Facebook-berichten en chat’ zijn bijvoorbeeld ‘bijlage uploaden’, ‘bijlage downloaden’ en ‘videochat’. Hoewel de meeste van deze functies zouden kunnen worden beschouwd als gepaste zakelijke activiteiten, zullen de functies ‘bijlage downloaden’ door beveiligingsmedewerkers worden gezien als risicovol. Door gebruik te maken van een firewall die specifieke functies binnen een microtoepassing kan herkennen, kunnen beheerders ‘Facebook-berichten en chat’ toestaan, maar de functie ‘bijlage downloaden’ blokkeren. Toepassingen die het toegangsbeleid proberen te omzeilen, zoals Skype, kunnen ook effectief worden beheerd wanneer de firewall alle poorten en protocollen kan bewaken en beleidsdefinitie uitsluitend wordt gebaseerd op identificatie van de toepassing zelf. Aangezien toepassingen zoals Skype altijd dezelfde toepassings-ID hebben, ongeacht welke poort of welk protocol zij gebruiken om het netwerk te verlaten, kan het toevoegen van een beleid tot het ‘blokkeren van Skype’ effectievere handhaving bewerkstelligen met minder beleidsregels in vergelijking met het schrijven van tientallen beleidsregels voor de stateful firewall om elke mogelijke combinatie te blokkeren. Dit bespaart beheerders tijd bij de initiële ontwikkeling en het doorlopende beheer van de beleidsregels, wat weer leidt tot operationele efficiëntie. Door te beheren wie toegang heeft tot toepassingen voor het delen van bestanden en door te kunnen bepalen welke toepassingsfuncties mogen worden gebruikt, kunnen beheerders de kritieke gegevens van het bedrijf beschermen en tegelijkertijd werknemers toestaan gebruik te maken van krachtige zakelijke tools.
Geavanceerde gebruikersidentificatie Gebruikersbewustzijn is een andere kerncomponent van elke next-generation firewall. De meeste firewalls bieden passieve verificatie via een bedrijfsadreslijst, zoals Active Directory (AD). Hierdoor kunnen beheerders beleidsregels toepassen op basis van de ID van een gebruiker of van de groep(en) waar deze deel van uitmaakt. Hoewel deze identificatie op zich relatief weinig waarde biedt, kunnen beheerders deze combineren met toepassingsbewuste functionaliteit om gedifferentieerde toegang tot bepaalde toepassingen mogelijk te maken. Verkoop- en marketingmedewerkers hebben bijvoorbeeld mogelijk een goede zakelijke reden om toegang te verkrijgen tot sociale media, maar werknemers van de financiële afdeling hebben die niet. Naast passieve verificatie ondersteunen sommige next-generation firewalls tevens actieve verificatie voor bedrijfsdoeleinden die krachtigere beveiligingsmaatregelen vereisen. Passieve verificatie steunt op een eenvoudige opzoekactie in de adreslijstservice, waarbij erop wordt vertrouwd dat de gebruiker correct wordt geïdentificeerd aan de hand van de toewijzing ‘gebruikersnaam/IP-adres’. Bij actieve verificatie is een extra beveiligingslaag vereist, gebruikmakend van mechanismen zoals Kerberos en NT LAN Manager (NTLM). Hierbij wordt een verzoek verzonden naar de browser, die vervolgens een naadloze respons stuurt op basis van de aanmeldingsgegevens van de gebruiker, of de gebruiker wordt geconfronteerd met een autorisatieverzoek. In beide gevallen verifieert de beveiligingsbeheerder de gebruiker in plaats van uitsluitend te vertrouwen op de toewijzing ‘gebruikersnaam/IP-adres’. Dit is van belang voor organisaties die toegang moeten bieden tot vertrouwelijke informatie, zoals creditcardgegevens of een database met gezondheidsinformatie.
Apparaatbewustzijn Organisaties die BYOD in hun bedrijfsvoering hebben geïntegreerd, moeten een balans zien te vinden tussen productiviteit en beveiliging. Dit vereist gedetailleerd inzicht in de specifieke apparaten die toegang trachten te verkrijgen tot het netwerk, zodat beheerders gedifferentieerde beleidsregels kunnen toepassen op basis van elk gebruikt apparaat. Een organisatie kan bijvoorbeeld besluiten iPhone 4-apparaten toegang te bieden tot de meeste netwerkbronnen, maar geen, of slechts beperkte, toegang aan eerdere versies van iPhone. Of men kan besluiten toegang te bieden aan een iPhone 4, maar niet aan een iPhone 4S. De organisatie kan bijvoorbeeld ook toegang bieden aan Windows-pc’s maar niet aan Macs. Als de firewall locatiebewustzijn ondersteunt, kunnen verschillende beleidsregels worden toegepast op basis van het feit of het apparaat zich binnen het LAN bevindt of dat de gebruiker zich met het apparaat op afstand aanmeldt. © 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 4 van 6
Webbeveiliging URL- en webfiltering maken toegang mogelijk tot geschikte toepassingen en content, terwijl tegelijkertijd wordt voorkomen dat het gebruik daarvan de risico’s vergroot, de productiviteit verlaagt of tot het verlies van vertrouwelijke informatie leidt. De meeste webbeveiligingsapparaten bieden webfiltering op basis van brede categorieën, alsmede de mogelijkheid specifieke websites op een witte en een zwarte lijst te zetten. Vele leveranciers zullen op het apparaat zelf ook een database opnemen van bekende ‘schadelijke’ URL’s. Gezien de dynamische aard van internet zijn deze opties echter onvoldoende. Volgens de non-profit organisatie stopbadware.org leveren meer dan één miljoen websites momenteel malware en andere software die activiteiten uitvoeren zonder toestemming van de gebruiker (ook wel greyware genoemd). Aangezien wekelijks duizenden nieuwe URL’s aan de lijst worden toegevoegd, kan webbeveiliging op basis van een statische lijst nooit alle veranderingen bijhouden. Naast deze mogelijkheden vereisen organisaties URL-filtering die continu wordt bijgewerkt voor near real-time bescherming tegen de almaar evoluerende bedreigingen. De firewall moet bovendien malware kunnen identificeren en stoppen die zich voordoet als een bekende toepassing die wordt uitgevoerd via open poorten, zonder dat de zakelijke waarde van legitieme bedrijfstools die van die poorten gebruikmaken wordt beperkt. Deze mogelijkheid kan verder worden versterkt door gebruik te maken van werldwijd data- en toepassingsverkeer voor het verkrijgen van near real-time informatie, inclusief reputatie-analyse gebaseerd op het gedrag van een specifieke site of webtoepassing. Wanneer een provider verkeer ontvangt van een groot aantal bronnen wereldwijd en frequent genoeg updates biedt, kunnen de wereldwijde gegevens de organisatie ook helpen beschermen tegen zero-day bedreigingen. Om dit mogelijk te maken zonder de beveiliging in gevaar te brengen, hebben sommige IT-organisaties hun stateful-firewallproducten vervangen door producten die extra niveaus van zichtbaarheid toevoegen, waardoor superieur beheer mogelijk wordt. Hoewel extra zichtbaarheid zelden als iets negatiefs wordt beschouwd, brengen de meeste next-generation firewalls compromissen met zich mee die beheerders en leidinggevenden moeten onderkennen voordat zij tot aankoop overgaan.
Beperkte zichtbaarheid: een halve oplossing van het probleem Er is geen twijfel aan dat extra zichtbaarheid in het netwerkverkeer enorme beveiligingsvoordelen biedt. Dankzij verbeterde zichtbaarheid van het netwerkgebruik kunnen beheerders gedetailleerdere beleidsregels ontwikkelen en implementeren voor superieure beveiliging van bedrijfsmiddelen. Daarom vormen de mogelijkheid voor toepassingsbewustzijn en gebruikers-ID-bewustzijn de kern van next-generation firewalls. Bij vele next-generation firewalls ligt de focus van de gehele oplossing uitsluitend op die twee elementen, met uitsluiting van alle andere. Natuurlijk is enig inzicht beter dan helemaal geen, maar zoals eerder aangegeven gebeurt er zoveel in een typisch bedrijfsnetwerk dat alleen toepassingsbewustzijn en gebruikers-ID-bewustzijn onvoldoende zijn om voldoende inzicht te bieden in het netwerkverkeer om gefundeerde beveiligingsbeslissingen te kunnen nemen. Naast deze mogelijkheden moeten beheerders met een uitgebreide beveiligingsoplossing specifiek gedrag binnen toegestane microtoepassingen kunnen beheren, het gebruik van internet en van webtoepassingen kunnen beperken op basis van de reputatie van een website, proactief kunnen beschermen tegen internetbedreigingen en gedifferentieerde beleidsregels kunnen implementeren op basis van gebruiker, apparaat, rol en type toepassing.
Het beste van twee werelden Ondanks de vele voordelen van een next-generation firewall zijn er ook enkele nadelen die moeten worden overwogen. Leiders van ondernemingen moeten hun opties dan ook grondig evalueren voordat zij tot aankoop overgaan. Vele leveranciers van next- generation firewalls dwingen klanten om hun bestaande firewalls en het bijbehorende beveiligingsbeleid achter zich te laten, zodat zij ‘een nieuwe start’ kunnen maken met nieuwe beleidsregels ten aanzien van beveiliging die speciaal zijn opgesteld voor het next-generation firewallplatform. Deze vervanging is noodzakelijk omdat de meeste next-generation firewalls fundamenteel verschillen van bestaande klassieke of stateful firewalls en op een geheel andere computinglaag werken. © 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
Pagina 5 van 6
Stateful firewalls werken op de netwerk- en transportlagen van de computingarchitectuur; next-generation firewalls werken op het niveau van de toepassingslaag. De bestaande firewallbeleidsregels van de organisatie zijn nutteloos in het nieuwe paradigma en moeten dan ook volledig worden herschreven. Dat is geen eenvoudige taak die snel kan worden geklaard, de meeste organisaties hebben duizenden beleidsregels en grote organisaties kunnen er wel tienduizenden hebben. Het herschrijven kan maanden in beslag nemen en een aanzienlijk deel van het budget verbruiken. Bovendien vereist beveiliging op toepassingsniveau een diepgaandere inspectie, waardoor de prestaties van het netwerk kunnen afnemen. Wanneer een Stateful Inspection Firewall wordt vervangen door een firewall die exclusief is ontwikkeld voor de toepassingslaag, kan de naleving door het bedrijf van branchevoorschriften in gevaar komen: vele regelgevende instanties benadrukken specifiek de noodzaak van stateful inspection. Aangezien firewall-beleid op basis van toepassing en gebruikers-ID niet-deterministisch is, loopt een organisatie die uitsluitend vertrouwt op een nextgeneration firewall het gevaar van een negatieve audit. Sommige leveranciers van firewalls bieden echter een hybride aanpak, waarbij de mogelijkheden van stateful en next-generation firewalls worden gecombineerd. Aangezien deze firewalls zowel stateful als next-generation mogelijkheden ondersteunen, kunnen organisaties hun bestaande beleidsregels blijven gebruiken terwijl ze nextgeneration regels opstellen. Zij hoeven niet de oude firewall op te geven en kunnen oude beleidsregels geleidelijk vervangen, overeenkomstig hun beveiligingsbehoeften. Bovendien is niet voor alle verkeer de diepgaande inspectie nodig die door next-generation firewalls wordt uitgevoerd. Het hybride model stelt organisaties dan ook in staat hun netwerkprestaties op hoog niveau te houden door alleen diepgaande inspectie uit te voeren op verkeer en gebruik waar dat nodig is. Op die manier bewerkstelligen organisaties een superieur beveiligingsniveau, gecombineerd met maximale bedrijfsflexibiliteit.
Conclusie Trends zoals BYOD en het gebruik van sociale media en andere greyware als legitieme bedrijfstools hebben een enorme impact gehad op zowel grote als kleine bedrijven. Next-generation firewalls die echter alleen toepassingsbewustzijn en gebruikers-ID-bewustzijn bieden, leveren niet het vereiste niveau van netwerkzichtbaarheid om veilig gebruik te garanderen. Door in plaats daarvan te kijken naar de volledige context van het netwerkverkeer, kunnen beheerders beveiliging toepassen op basis van een hoog niveau van netwerkzichtbaarheid en -intelligentie. Door een firewall te gebruiken die stateful mogelijkheden combineert met volledig contextbewustzijn, wordt een balans bereikt tussen het hoge netwerkbeveiligingsniveau dat deze nieuwe business cases vereisen, en de flexibiliteit die nodig is om de zakelijke slagvaardigheid te optimaliseren.
Gedrukt in de Verenigde Staten
© 2013 Cisco en/of haar dochterondernemingen. Alle rechten voorbehouden. Dit document bevat openbare informatie van Cisco.
C11-726002-00
02/13
Pagina 6 van 6
