Een kijkje achter de schermen bij Guardian360
Het Guardian360 Lighthouse platform wordt volledig herschreven en vrijwel opnieuw ontwikkeld. Zodoende ontstaat er een nieuw fundament dat veel robuuster en schaalbaarder is. En dat is hard nodig, want al die scanners, mapping op normen, het betrappen van criminelen en het genereren van rapporten vergen heel veel computerkracht. Daarbij gaan de Site Reliability Engineers (SRE’s) en Software Engineers (SWE’s) niet over één nacht ijs en moeten er vaak complexe keuzes worden gemaakt waar je als Guardian360 klant of partner nog helemaal niets van merkt. Zo vragen regelmatig mensen ‘wat gebeurt er op dit moment, waar zijn jullie mee bezig?’, en vooral: ‘wanneer is het klaar?’.
Deze blogserie geeft een kijkje onder de motorkap en achter de schermen bij Guardian360: de route naar ongelimiteerde schaalbaarheid.
We beginnen bij een hardnekkig probleem. Wanneer je hackers voor wilt zijn moet je op meerdere fronten strijden. Zo kan je hackers detecteren terwijl ze bezig zijn, of van tevoren de boel ‘dichttimmeren’. Maar dan moet je wel weten waar te beginnen. Om assets (servers, laptops, apparaten die aan het netwerk hangen) te kunnen scannen op meer dan alleen een open poortje moet je voorbij een firewall zien te komen. Daarvoor zijn de Guardian360 Lighthouse Probes ontwikkeld: compacte, ‘purpose built’ servertjes waarop specifieke scanners draaien die hun resultaten aan het centrale Lighthouse platform teruggeven. Die probes moeten natuurlijk heel regelmatig worden voorzien van de laatste updates en dat gebeurt vanuit het centrale platform. Maar die probes draaien ook in het netwerk van de klant en moeten dus buitengewoon goed beveiligd zijn. Een uitdaging!
VPN exit. Stabiele toegang met Teleport
We hebben hiervoor Remote access en beheer op afstand nodig. Voorheen vertrouwden we op VPN-verbindingen, maar omdat die niet altijd even stabiel waren, gingen we op zoek naar een alternatief. Dat hebben we gevonden en is voor onze partners ook nog eens minder complex. Sinds kort gebruiken we Teleport: van het ene netwerk (bijvoorbeeld van een klant) naar het andere (bijvoorbeeld de Guardian360 Lighthouse applicatie) kunnen komen zonder security issues. Teleport zorgt voor authenticatie en autorisatie, PAM (Privileged Accountmanagement, het beheer van accounts van beheerders), voor uitgebreide logging en het kan zelfs beheersessies opnemen en audit trails vastleggen. Je kunt het vergelijken met een commercieel product als CyberArk, maar dan open source. Geheel volgens het ‘Zero trust’ principe.
Het “Zero Trust”-principe is een cybersecuritystrategie en -raamwerk dat automatisch geen enkele entiteit binnen of buiten het netwerk van een organisatie vertrouwt. In plaats daarvan vereist het dat alles wat probeert verbinding te maken met een systeem—of het nu een persoon, een apparaat of een applicatie is—eerst moet worden geverifieerd voordat het enige vorm van toegang krijgt. Dit staat in contrast met oudere, “vertrouw maar verifieer” (Trust but Verify)-beveiligingsmodellen, waar het gebruikelijk was om interne bronnen meer te vertrouwen dan externe. De Zero Trust-aanpak gaat ervan uit dat bedreigingen van overal kunnen komen: zelfs van binnen de organisatie. Daarom is verificatie vereist van iedereen die probeert toegang te krijgen tot bronnen in het netwerk, elke keer dat ze toegang aanvragen. De belangrijkste kenmerken zijn ‘Nooit vertrouwen, altijd verifiëren’, een minimale bevoegdheidstoegang, het gebruik van micro-segmentatie, het inzetten van Multi-factor Authenticatie (MFA) en continue monitoring.
Bovendien zorgt RBAC (Role Based Access Control) ervoor dat op basis van rollen en rechten personen of geautomatiseerde processen slechts beperkt en gecontroleerd toegang krijgen tot resources voor het lezen, schrijven, bewerken of verwijderen van data en/of systemen.
Connecties altijd geïnitieerd vanuit de veilige probe
Hoe dat in z’n werk gaat? Een centrale Teleport Proxy draait in de cloudomgeving van Guardian360 en daar komen alle verbindingen binnen. Op de Guardian360 Lighthouse probes draait een agent die naar de cloud Proxy connect. Connecties worden dus altijd geïnitieerd vanuit de probe, niet van buitenaf naar binnen, want dat is inherent onveilig. De centrale Proxy server vervangt VPN, dat erg onstabiel kan zijn en lastig te configureren en beheren.
Meervoudige beveiliging van de probes
Vervolgens zijn alle Guardian360 Lighthouse Probes voorzien van zogenaamde ‘Client side certificates’ die continu geüpdatet worden (minimaal elk half uur). Mocht dus het certificaat gestolen worden, dan is deze al verlopen voordat er schade mee kan worden berokkend. Bovendien is al het verkeer ook nog eens end-to-end versleuteld. Alle accounts hebben vervolgens ook uiteraard MFA of in de nabije toekomst zogenaamde passkeys (‘passwordless’): de vervanger van wachtwoorden.
WAT IS PASSWORDLESS?
Passwordless werken is de toekomst van veilige toegang tot systemen en applicaties. Het veilig herkennen van geautoriseerde gebruikers gaat dan niet meer via een wachtwoord, maar door middel van vingerafdruk, gezichtsherkenning, het herkennen van een stem, het aanbieden van een hardwarematige herkenningsmethode. Je hoeft dan niet meer een complex wachtwoord te onthouden of ergens op te slaan. Het combineert ook vaak met MFA (meervoudige authenticatie zoals Google Authenticator) of Single Sign On (SSO).
Passwordless authenticeren is dus een combinatie van iets wat je HEBT (e-mailadres, gebruikersnaam, telefoonnummer) en iets wat je BENT (gezichtsherkenning bijvoorbeeld, of een magic link in je e-mail die eenmalig aan te klikken is).
Bij Guardian360 gebruiken we Teleport met name voor remote control. De Guardian360 partners rollen appliances uit die in het netwerk van de klant draaien. Maar deze appliances moeten worden geprovisioned en automatisch geüpdatet. De Guardian360 Scanners worden weer aangestuurd via die probes op de appliances.
Nu we dankzij Teleport veilig en snel appliances kunnen beheren ontstaat ook de mogelijkheid voor veel betere ‘Observability’ – de nieuwe vorm van monitoring. Maar daarover in de volgende blog meer.