HashiConf 2022 Los Angeles

Tijdens de eerste week van oktober vond de HashiConf plaats in Los Angeles. ICT/Magazine was daar van de partij en zag gedurende de tweedaagse conferentie een bedrijf dat blaakt van zelfvertrouwen. Niet verwonderlijk misschien als we bedenken hoe snel de cloud tijdens de afgelopen twee jaar de teugels van het digitale werken heeft overgenomen. Tijd om eens nader kennis te maken met HashiCorp, een aanbieder van hedendaagse cloud infrastructuuroplossingen.

CTO en medeoprichter Armon Dadgar vertelt over de laatste ontwikkelingen. In deze samenvatting van zijn keynote gaan we in op HashiCorps beveiligings- en netwerkoplossingen. “De uitdagingen om ons heen zijn de laatste jaren flink geëvolueerd”, begint Dadgar. “In het traditionele datacenter hanteerden we een soort van kasteel- en grachtbenadering. We hadden vier dikke, ondoordringbare muren om ons datacentrum en beschermden het verkeer dat via de voordeur binnenkwam en naar buitenging. Deze benadering met firewalls ging uit van duidelijke grenzen, waarbij de buitenkant van het netwerk niet kon worden vertrouwd en de binnenkant wel. Tegenwoordig zien onze netwerken er niet meer zo uit. De toegenomen complexiteit komt voort uit diverse ontwikkelingen.”

Nieuw paradigma

De eerste ontwikkeling is natuurlijk de cloud met diverse cloud-providers en de verschillende regio’s waarin we actief zijn. Een tweede ontwikkeling is dat COVD de boel dramatisch heeft versneld. Het hele BYOD en thuiswerken was natuurlijk al wel gaande, maar was alsof dat nooit boven de experimentele fase uit zou groeien. De mensen die nu overal werken, zijn geen uitzondering op de regel meer. “Dus,” legt Dadgar uit, “dat hele idee van die vier muren en die statische infrastructuur moest overboord. Daarom is onze benadering van security niet een kleine aanpassing van het oude, nee, het is een compleet nieuw paradigma. Daarmee komen we op onze kijk op ‘zero trust’. Nu is dat een term waar mensen verschillende dingen onder verstaan. Net als de term DevOps een jaar of zes geleden voor iedereen iets anders betekende.”

Identiteit

Wat verstaat HashiCorp dan onder zero trust? “In wezen gaat het erom dat we afstand nemen van die gedachte dat de buitenkant niet te vertrouwen is en de binnenkant wél. Wie op mijn netwerk zit is niet automatisch geauthentiseerd. In plaats daarvan zeggen we dat je elke gebruiker, applicatie en apparaat expliciet moet authenticeren. De basis voor die authenticatie is identiteit. En dat is dat andere paradigma: de identiteit bepaalt het soort toegang dat iets of iemand krijgt. Dat is een heel ander soort van controle waardoor we de bestaande controlemechanismen over identiteitsbeheer fundamenteel moeten herzien. Om te laten zien hoe dat in de praktijk werkt, maak ik de stap naar onze portfolio.”

Vier pijlers

De zero trust multi-cloud security van HashiCorps gaat uit van vier pijlers. Over deze vier pijlers heen zijn identiteitscontroles een consistente vereiste. Om een machine of gebruiker iets te laten doen, moet worden geverifieerd wie of wat ze zijn. Hun identiteit in combinatie met het beleid bepalen wat ze mogen doen.

  1. Machine authenticatie en autorisatie. HCP Vault maakt het mogelijk om dynamische geheimen zoals tokens, wachtwoorden, certificaten en encryptiesleutels centraal te beveiligen, op te slaan, te openen en te distribueren in elke publieke of private cloud.
  2. Toegang van machine tot machine. HashiCorp Consul maakt toegang van machine tot machine mogelijk door authenticatie af te dwingen tussen applicaties en ervoor te zorgen dat uitsluitend de juiste machines met elkaar in gesprek zijn. Consul codificeert autorisatie en verkeersregels met versleuteld verkeer terwijl de identiteit-gebaseerde toegang wordt geautomatiseerd voor maximale schaal, efficiëntie en veiligheid.
  3. Toegang en autorisatie door mensen. Bedrijven gebruiken verschillende identiteitsplatforms voor registratiesystemen die met elkaar samenwerken. HashiCorps producten hebben een diepe integratie met de toonaangevende identiteitsproviders.
  4. Toegang van mens tot machine. Traditionele oplossingen voor het beveiligen van gebruikerstoegang moesten onder meer SSH-sleutels en VPN-inloggegevens beheren. Deze wildgroei aan inloggegevens en gebruikers die toegang kregen tot volledige netwerken en systemen bracht de nodige risico’s met zich mee. HashiCorp Boundary biedt eenvoudige en veilige toegang op afstand en tot dynamische hosts en services zonder dat inloggegevens of IP’s hoeven te worden beheerd en zonder het netwerk bloot te stellen.
Groter geheel

Alle genoemde producten zijn onafhankelijk van elkaar inzetbaar, maar ze maken deel uit van een groter geheel: We willen het daadwerkelijk verschuiven van onze benadering naar een zero trust strategie naar een hoger niveau tillen. Dat geldt ook voor ons denken over identiteit als de basis van onze controles. “Al deze ogenschijnlijk aparte security issues overlappen elkaar”, vertelt Dadgar. “Daarom is het cruciaal dat alle onafhankelijke producten naadloos op elkaar aansluiten. Om die reden zijn al onze oplossingen op een logische manier met elkaar verbonden.”

Fragmentatie

Bij het beheren van identiteiten lopen we aan tegen het feit dat identiteit, evenals onze infrastructuur, sterk gefragmenteerd is. Het bestaat op verschillende applicatieplatforms. Apps die in Kubernetes worden uitgevoerd gaan anders met identiteit om dan apps in Cloud Foundry of apps die op een VM-basis draaien. Ook de cloud voegt fragmentatie toe aan deze mix, waarbij AWS een ander Identity Access Management (IAM) hanteert dan Azure of Google Cloud enzovoort. “Binnen deze context hebben wij HCP Vault aanvankelijk gebouwd,” vertelt Dadgar. “Dat was dus onze uitdaging vanaf het eerste begin: hoe beheren we die sterk gefragmenteerde identiteiten op een consistente manier? We wisten dat Vault moest integreren met alle mogelijke verschillende platforms, zodat we iedere identiteit in kaart konden brengen, ongeacht waar het draait. Op deze basis kun security management beleid formuleren.”

Ook naar Azure

HashiCorp heeft de afgelopen twee jaar een gerichte inspanning geleverd om Vault te ontwikkelen tot een managed cloud service via HCP, het HashiCorp Cloud Platform. HCP is als het ware het chassis waarop het bedrijf al haar producten als een managed service aanbiedt. “Wij zijn voortdurend bezig om het beheer van deze infrastructuur op schaal te vereenvoudigen”, aldus Dadgar. “Enkele van die verbeteringen omvatten het repliceren van performance over meerdere regio’s, het toevoegen van providers, protocollen en plug-ins, multi-factor authenticatie enzovoort. Daarnaast blijven wij ook gefocust op het ondersteunen van gebruikers, vanwaar ze ook werken. Een van de vernieuwingen is dat we HCP naast AWS nu ook naar Azure brengen.”

De platform-wirwar

Pratend over een ander product, Consul, komt Dadgar bij wat in zijn ogen de ware aard is van infrastructuur: “Verschillende platforms, van mainframe tot bare metal, tot VM, tot container, tot serverloos of web assembly. Het is niet langer meer zo dat alles op één platform draait. De voor de hand liggende uitdaging is dan natuurlijk: hoe zorg je ervoor dat al jouw applicaties in deze wirwar goed met elkaar blijven samenwerken? Dat is het eerste probleem dat Consul aanpakt, door één consistente manier van werken over al die netwerken heen. Het tweede probleem is: hoe beveilig je dit? Applicatieverkeer schiet over clouds en platforms heen. Hoe normaliseren we onze benadering van securitycontroles terwijl applicaties praten met databases uit de diverse clouds en on premise? Met Consul tillen we de security uit die netwerk-wirwar vandaan en plaatsen die op de applicatielaag.”

Dynamische aanpak

Omtrent Boundary adresseert Dadgar het initiële probleem dat ze met dit product wilden oplossen. “Zoals eerder gezegd, zijn onze moderne netwerken complexer dan ooit, onze applicaties zijn dynamisch, we verspreiden ons over verschillende clouds, publiek en privaat. Onze aanpak om mensen toegang te geven tot deze zaken was vooral gericht op technieken als VPN, SSH bastions, kortom traditionele geprivilegieerde access managementoplossingen.

Die waren gecentreerd rond het idee om de gebruiker met privileges toegang te geven tot dat vertrouwde netwerk. In onze zero trust filosofie voelt dat niet meer okay, en moeten we afstappen van het idee van netwerktoegang, statische IP-adressen. Dus met dit in ons achterhoofd nemen we het kale principe ter hand van die gebruiker die toegang wil tot een of ander systeem. Dus in plaats van deze gebruiker te overladen met gebruikersnamen, wachtwoorden, SSH-certificaten of VPN-certificaten, laten we hem gewoon een single sign on doen met de identiteit die hij al heeft. Dat is dus de menselijke identiteit.

Vervolgens willen we niet een reeks firewallregels of IP-niveau autorisaties, maar één logische autorisatie. Daarnaast wil ik al deze services op een soort van dynamische manier met elkaar verbinden. Ik wil niet langer te maken hebben met statische regels, statische hostnamen, statische referenties enzovoort. Ik wil kunnen integreren met systemen zoals Vault, zodat die verbindingen dynamisch en op tijd kunnen worden gelegd voor die applicaties. Dit is de achtergrond van onze focus met Boundary de afgelopen twee jaar.”

Lees ook:

Gerelateerde berichten...