Is het einde van de firewall nabij?

Heeft de firewall binnenkort afgedaan? De laatste jaren duikt een nieuwe visie over beveiliging op. In die visie is het niet meer de bedoeling om een computer of netwerk af te schermen van de boze buitenwereld. De voorstanders van deze nieuwe aanpak hebben zich gegroepeerd onder de veelzeggende naam The Jericho Forum. Zoals in de bijbelse stad, waarvan de muren instortten.

Weg met de muur
Leveranciers van beveiligingsproducten en diensten vinden elk jaar wel een nieuwe technologie die aan uw huidige arsenaal moet worden toegevoegd. Enkele jaren geleden volstonden een firewall en een antiviruspakket nog. Maar ondertussen behoren ook IDS/IPS-systemen, antispyware en allerlei vormen van harde authenticatie tot de basisuitrusting voor een bedrijfsnetwerk.

Wat The Jericho Forum vraagt, is echter van een andere orde. Het gaat dan ook niet voor niets om een organisatie die is opgericht door gebruikers, en dan met name een aantal grote Britse ondernemingen zoals BP en ICI. De motivatie van de leden is puur zakelijk: zoals veel grote ondernemingen, willen zij steeds meer samenwerken met partners buiten de bedrijfsmuren, en willen zij dus de veilige zone voorbij de firewall uitbreiden.

Het Jericho Forum, dat begin 2004 officieel van start ging binnen het consortium Open Group, vraagt van IT-leveranciers dat ze systemen ontwikkelen die inherent veilig zijn. Zó veilig, dat ze in een vijandige omgeving - het publieke internet - kunnen overleven. Ze vertrouwen dus niet meer op een buitenmuur. Het Jericho Forum gebruikt daar een bijzonder moeilijk uit te spreken term voor: deperimeterization, het weghalen van de buitenmuur.

Deperimeterization vergt heel wat technologie, waarvan een deel al bestaat. De Jericho-leden vragen van de IT-industrie om voor de ontbrekende schakels te zorgen.

Overbodig
Stijn Bijnens, directeur van de Belgische netwerkbeveiliger Ubizen, weidde dit voorjaar tijdens een studiedag uit over het idee. "De firewall is uitgevonden omdat niemand erin slaagt al zijn servers voldoende te beveiligen", zei hij. Bijnens acht het mogelijk dat firewall en antivirus over tien jaar overbodig zijn. Volgens hem vereist dat twee zaken. Allereerst: een focus op het beschermen van de informatie, in plaats van de infrastructuur. En ten tweede: aandacht voor identiteit.

Naar die twee punten zullen de toekomstige investeringen in IT-beveiliging gaan, voorspelt Bijnens. Het Jericho Forum formuleert dit als data-level security: individuele gegevens zijn beveiligd, en dan met name via encryptie. Zij kunnen alleen worden gelezen door personen die daarvoor de nodige rechten hebben.

De grotere rol van identiteit in het beveiligen van informatie maakt dat traditionele wachtwoorden niet meer voldoen. Sterke authenticatie, bijvoorbeeld middels digitale paspoorten in een public key infrastructure (PKI), is dan noodzakelijk. Zéker in een omgeving met meerdere partners. Zo'n omgeving vereist immers het delen en uitwisselen van identiteitsgegevens. Bedrijven gaan op elkaar en op externe partijen - zoals de overheid - vertrouwen om de identiteit van een gebruiker te garanderen.

Zo vormen ze een netwerk van verschillende organisaties waar dezelfde identiteit wordt erkend. Zo'n netwerk noemt Bijnens een identity cloud. Tussenpersonen - zogenaamde identiteitsmakelaars - zullen relaties opzetten tussen verschillende identity clouds. "PKI zal hopelijk onzichtbaar zijn voor u, maar zal wel de sleuteltechnologie zijn in identiteits- en toegangsmanagement van de toekomst", voorspelt Bijnens.

In een interview met IT Professional relativeert Simon Perry, vicepresident beveiligingsmanagement bij softwarebedrijf CA, het idee van deperimeterization een beetje. "Of de industrie in haar geheel ooit dat ideaal zal bereiken waar het Jericho Forum het over heeft, dat is een andere kwestie. Sommige leden van Jericho hebben misschien een commerciële noodzaak om dat extreme punt te bereiken, maar dat betekent niet dat alle anderen dat ook en in hetzelfde tempo moeten doen."