Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Licht uit, spot aan!

 

Expert

E D
Iets met ICT, nvt. Expert van voor het topic .

Veiligheid is nog abstracter dan de cloud, het is meer een gevoel dan iets tastbaars. Dat maakt het niet alleen moeilijk om het te definiëren maar vooral lastig om over te praten omdat gevoel door iedereen anders ervaren wordt. Zo zullen de meesten zich minder snel veilig voelen als ze in het donker door het bos moeten. Niemand wil tenslotte zijn neus stoten of een tak in zijn ogen krijgen, zicht op de route bepaalt de snelheid van verplaatsing.

Eerste uitdaging in de discussie over cyber security gaat om de pijn. Vaak wordt deze niet gevoeld als beslissers zich teveel op afstand hebben geplaatst met contractuele kaartenhuizen. Een conclusie die ook door de onderzoeksraad werd getrokken na het DigiNotar debacle. Nu worden niet alleen externe waarschuwingen in de wind geslagen maar ook vanuit het operationele niveau. En dat terwijl de continuïteit van een bedrijf niet bepaald wordt door de strategie om van mach 0 naar 1 te gaan, maar juist omgekeerd.

Wie doet het licht uit?

Wie niet weet waar de Observe, Orient, Decide, and Act (OODA)-loop om gaat heeft waarschijnlijk de opvoedkundige lessen van de militaire dienstplicht gemist. Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen. Dat zorgt dat aanvallen ontwrichtend zijn, want de aanvaller is tactisch in het voordeel door organisatorische inertie om te reageren. Het staat al direct 1-0 voor de thuisspelende ploeg, want het zal duidelijk zijn dat een aanvaller zich ook niet aan de voorschriften houdt. Deze heeft dus niet alleen alle tijd om de omgeving te observeren en zich op de zwakke plekken te oriënteren maar kan ook tegenacties voorspellen omdat veelal de budget-cycles bepalend zijn bij verdedigers. 'Talent and genius operate outside the rules, and theory conflicts with practice' - Von Clausewitz.

Om van de achterstand nog een gelijkspel te kunnen maken zal de OODA-loop van de verdedigers goedkoper moeten worden dan van de aanvallers. En een manier om dit te doen is door het netwerk te verduisteren voor de aanvaller zodat deze gedesoriënteerd raakt. Strategie van een ‘internet kill-switch’ is wat onorthodox, maar dat is precies één van de dingen die Stealth doet. Het zet het licht uit voor de tegenpartij en geeft daarmee de verdediging een tactisch voordeel. Want terwijl de aanvaller geen mogelijkheid meer heeft voor exfiltratie - het proces waarbij data heimelijk vanuit de organisatie onttrokken wordt - wordt de verdediging niet beperkt in de communicatie en kan eventuele services ongezien uit de gevarenzone verhuizen.

Do you feel lucky?

Terugkerende opmerking dat je hiermee alleen maar tijd koopt kan ik beamen. OODA-loop is namelijk het idee van John ‘40-seconds’ Boyd, een straaljager piloot die begreep dat tijd in het beslissingsproces het verschil maakt tussen winnen en verliezen. Het is een scenario-based strategie die ‘exposure’ risico van problemen in de beheercapaciteit oplost nu perimeter-based verdediging steeds vaker ontoereikend is. Want laat ik zeggen dat strategie van patchen binnen kantoorprocessen op papier aanwezig is, bij veel industriële processen is hier nog niet eens sprake van. Het gaat dus om een continuiteïtsplanning omdat kosten van een verandering vaak te hoog zijn. Daar maken aanvallers gebruik van want 50 procent van de aanvallen worden door een opportunistische motivatie gedreven. Activiteiten zoals patchen en migreren komen namelijk meestal ten laste van het it-budget dat  al zo onder druk staat. 'The winner is he who has one more round in his magazine.' - Erwin Rommel.

Misvatting van lezers dat ik me in voorgaande opinie niet bewust was van alle spanningen in de ‘inner-circle’ hoop ik met uiteenzetten van deze strategie weggenomen te hebben. Gelijk hoop ik aandacht te hebben voor de risico’s van ‘outer-circle’, want de kosten van verandering zitten niet in de installatie van software, maar implementatie hiervan binnen ketens. En deze stoppen door alle samenwerkingen allang niet meer bij de perimeter-based verdediging van de firewall. Het is nog moeilijker om de business van internet af te sluiten dan alle zwakheden in één keer op te lossen om zo weer in controle te komen.

Situational awareness

Hoewel iedereen begrijpt dat als de fabrikant een terugroepactie doet omdat de remmen van de auto het niet doen er onderhoud nodig is, wordt de noodzaak hiervan telkens weggewuifd als het om it gaat. Tijdens de uiteenzetting van de hier geschetste scenario-based strategie kwam vanuit de zaal een leuke metafoor. Zo verzamelde iemand uit zuinigheid de mest van grote grazers uit het bos voor zijn tuin. Nadeel hiervan kwam later aan het licht, toen bleek dat er dus ook allerlei onkruid meegenomen was, wat nu zijn tuin overwoekert. Realiteit aangaande het mandaat van de afdeling it betreffende digitale beveiliging is dat deze theoretisch is. Een meldplicht zonder informatieplicht is als de cafeïnevrije koffie, het stimuleert eerder de aanvaller dan de verdediger als ondanks de ‘notice to airmen’ gewoon over dezelfde route doorgevlogen wordt. 'If you spend more on coffee than on IT security, you will be hacked.' - Richard Clarke.

De observatie en oriëntatie van verdedigers aangaande alle koppelvlakken wordt ook nog eens bemoeilijkt door alle contractuele beheermodellen. De shortcuts die in de loop van de tijd binnen het netwerk zijn aangebracht staan meestal niet op papier. Architectuur representaties geven de fysieke connecties meestal aan met een wolk. Tussen logische informatiestromen en werkelijke communicatie zit ook nog weleens een lek met een toenemend ‘exposure risk’ als gevolg.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5248088). © Jaarbeurs IT Media.

6,3


Lees meer over


 

Reacties

Een goed en duidelijk verhaal - ook door de white board sessie van een dag of 10 terug!

Will, ik denk *vooral* door de white board sessie van een dag of tien terug, want zonder voorkennis is het lastig dit stuk te plaatsen.

Wat mij betreft mag het echt wel wat duidelijker en explicieter dat dit stuk in feite over Unisys Stealth gaat. Het wordt pas een wc-eend verhaal als je van de opinie een reclame folder maakt en dat is iets wat Ewout niet doet. Ik zou ook met liefde een opinie lezen die nog duidelijker beschrijft wat stealth nu doet. Stealth lijkt iets voor de enterprise, want Unisys levert voor Amazon Webservices, maar ik kan de optie niet vinden via AWS console zelf. Ook het zoeken naar prijzen van Stealth zijn Stealth :-) Het lijkt daarmee vooral iets te zijn voor de enterprise met dito pricing.

Ik vind deze opinie heel knap geschreven met mooie quotes en verwijzingen naar oorlogsvoering. Het maakt me ook nieuwsgierig naar het gebruik en de implementatie.

Maar iemand die zonder voorkennis dit stuk leest zal dit niet makkelijk consumeren.

Wat ik overigens een erg krachtige quote van Ewout vind is deze : "Probleem met digitale beveiliging is dat we het onvoorspelbare met een contractueel kaartenhuis proberen te bedwingen"

Wat ik van Stealth zo'n beetje begrijp en correct me if I am wrong : Software op het eind gebruikers device kan praten met een server in de cloud en doet dit met een bepaalde versleuteling die vooraf geconfigureerd is. Je kan alleen met die software praten met die cloud server omdat hij weet hoe hij te bereiken is en de juiste taal spreekt. De server met stealth zal alleen terug praten als je in de juiste taal met hem spreekt en anders communiceert die niet terug. Je zal zo'n server dus nooit kunnen vinden als je via een andere weg op het netwerk waar de server staat terecht komt. Wat een aanvaller van een netwerk niet kan zien, kan hij ook niet aanvallen. Een Stealth bommenwerker absorbeert radar signalen en is daarmee onzichtbaar en daar is waar de naam vandaan komt.

Klopt dit zo'n beetje? En wie helpt mij verder?

@Ewout Dekkinga, 27-03-2015 16:50:

Een aardig alternatief in de security voor de Observe, Orient, Decide, and Act (OODA)-loop is de koele blijk op waarheid met wiskundige redenatie en bewijsvoering. Een wiskundig bewijs kan natuurlijk ook toegepast worden in de ODDA-loop.

@Henri
Organisatorische inertie om te reageren op toenemende bedreigingen in het netwerk beperkt zich volgens mij niet tot de Enterprise. Sterker nog, ik denk dat een beperkte beheercapaciteit bij kleine organisaties een nog grotere beperkende werking heeft om adequaat te reageren.

Betreffende AWS moet je eerlijk zijn want jij weet dus ook dat er nog exportrestricties gelden betreffende encryptie. Hoop dat ik niet in hoef te gaan op knellende problemen met informatiebeveiliging in combinatie met 'creditcard IT' idee van de cloud. Want zoals je aangeeft maakt een Stealth bommenwerper gebruikelijke verdedigingsmiddelen minder efficiënt, doeltreffendheid wordt sterk beperkt door verstoorde observatie en oriëntatie van de verdediger.

Verder neem ik aan dat je weet waar OODA-loop omgaat, in intro stelde ik dat het bij informatiebeveiliging dus niet om je versnellingsfactor gaat maar juist de vertragingsfactor. Met mach 1 een haakse bocht nemen legt namelijk een enorm druk op de mens, tot op heden kent support proces weinig automatisering omdat hier nog zoveel onverspelbare activiteiten in zitten.

@Henri
Technisch niet 100% juist maar de essentie zou je kunnen samenvatten als een combinatie van een firewall en een multipoint VPN die opereert op het koppelvlak tussen de MAC-laag en de routing-laag.

Vrij vertaalt: alleen als twee of meer stations over dezelfde configuratie beschikken zijn ze in staat versleuteld informatie uit te wisselen over de vrijgegeven TCP poorten. Dus ja, zoals je het nu omschrijft heb je het goed begrepen.

Komt er toevallig iemand langs uit de boze buitenwereld met een juist IP adres en TCP poort, dan komt er niet eens een antwoord. En zelfs als er een antwoord zou komen, dan is niet snel te herleiden wat voor systeem en applicatie erachter zit.
Daarmee koop je wat tijd bij een server 2003 en XP migratie. Of je koopt een beetje gevoel-van-veiligheid.

Waar het niet tegen beschermd is iemand uit diezelfde boze buitenwereld die draait onder het motto “de aanhouder wint”. Als zo iemand gedurende een lange periode inhakt op dat ene IP adres met verschillende TCP poorten en verschillende aanvalstechnieken, dan zou die uiteindelijk te weten kunnen komen welke taal er (ongeveer?) gesproken wordt. In ieder geval genoeg om van daaruit verder te gaan totdat het systeem gekraakt is.

In hoeverre het geheel functioneert in een cloud omgeving weet ik niet precies. Maar ik verwacht dat het in ieder geval functioneert als je cloud omgeving het toestaat om software op servers te installeren.

Voldoende duidelijk zo?

Ewout,
"Organisatorische inertie om te reageren op toenemende bedreigingen in het netwerk beperkt zich volgens mij niet tot de Enterprise."

Helemaal mee eens en mede daarom vraag ik het ook hoe we aan dat moois kunnen komen en wat het kost. Begin 2000 was er volgens mij een restrictie van 128 bits en meer, maar zover ik weet zijn die beperkingen opgeheven. Nu weet ik wel dat versleutelingstechnieken gevoeliger liggen (Grappige context in dit Computable artikel uit 1999 : http://www.computable.nl/artikel/achtergrond/security/1372874/1276896/hof-vs-wil-export-encryptie-toestaan.html )

Maar zover ik weet werken er ook Nederlandse bedrijven met Unisys Stealth, dus dit lijkt mij niet op te gaan. De interface van AWS zou altijd nog kunnen zeggen "Not available in your country" en ik zie het ook niet in de Amerikaanse regios ergens terug.

Stealth is dus wel heel letterlijk genomen :-)

Will : Als ik een server in een datacenter zou binnendringen is zo'n beetje het eerste wat je wilt een packetsniffer, ik neem aan dat de verbinding van en naar een met Stealth beveiligde server hiermee nog steeds te detecteren valt.

Maar dank voor je toelichting.

Nogmaals, mijn reactie is positief en ik wil graag leren en begrijpen, zeker het beveiligen van gevoelige data en toch gebruik maken van cloud computing maken dit toch iets wat bij mijn portfolio hoort en juist goed is om te kunnen vertellen bij mijn volgende lezing of inspiratiesessie.

Ik laat me graag voorlichten.

@Henri
Misschien dat je het beste even contact op kan nemen met sales, weet dat we Stealth niet mogen leveren aan Noord-Korea.

@Will
Begreep dat verschillende pentesters aangaande door jouw genoemde scenario met opmerking terug kwamen dat dit als kloppend proberen een deur te vinden zonder dat je kunt horen of er een holle ruimte is.

@Q
Eenvoudige wiskundige redenantie die ik hier maak aangaande onderwerp gaat om de wet van Newton, actie is reactie.

Henri,
Mijn complimenten voor je 1e reactie waarmee je het onbegrijpelijke verhaal van Ewout hebt kunnen ontsleutelen. Het is zijn 2e artikel over dit onderwerp/product van Unisys en als je aan mij vraagt of dat voor me duidelijk was.......nee. Met je reactie hierboven begrijp ik eindelijk waar het over gaat maar ik heb nog geen compleet beeld.
Ik vraag me af wat de reactie van Will zou geweest zijn als hij die white board sessie niet gehad heeft.
Uiteraard ligt deels aan mijn kennis en beperkingen dat ik zijn verhaal niet begrijp.

Ewout,
Het lijkt me interessant om hier verder over te discussiëren. Ik heb zeker wat vragen hierover maar zolang ik geen toegankelijke informatie kan vinden/lezen lijkt me beter me hier niet mee te bemoeien.

We schrijven al een tijdje voor Computable. Ik heb nooit eerder een artikel of wat men eerder zei, wc-eend marketing van jou gezien.

Ik was benieuwd waarom je dit keer (in je artikelen en andere reacties) een iets van je werkgever a/h promoten bent.

@Ewout Dekkinga, 30-03-2015 10:36: 'Eenvoudige wiskundige redenantie die ik hier maak aangaande onderwerp gaat om de wet van Newton, actie is reactie.'

Een aardige wiskundige ondersteuning van Observe, Orient in OODA is statistiek, zie bijvoorbeeld wiskgenoot.nl/watbiedt/wintersymposium15

Volgende maand wordt de R-code behorende bij 'Inleiding in de Statistiek', zie epsilon-uitgaven.nl/E76.php openbaar gemaakt. Dan heb je behoorlijk wat voorbeelden met R-code.

Met de kennis van deze statistische methoden en de programmeertaal R kun je je eigen loslaten op de Observed data ter ondersteuning van Orient.

@Henri:
Het blijft uiteindelijk ethernet (MAC-laag) met iets van een TCP/UDP-stack – dus ja, zoiets valt te sniffen.
Ik weet alleen niet zeker wat je te zien gaat krijgen omdat de Stealth driver op dezelfde manier werkt als de packet-capture driver. Dus als de Stealth driver prioriteit heeft boven de packet-capture driver, dan is alles al versleuteld. Wat wil zeggen dat ook het opzetten van een verbinding (i.e. de 3-way handshake) tussen een client- en een server applicatie niet meer zichtbaar is.

In het verlengde daarvan: mijn verwachting is dan ook dat de doorlooptijd van incidenten rondom netwerk en/of applicatie problemen behoorlijk zal toenemen (aanname!). Zeker als er naast Stealth nog andere authenticatie en autorisatie mechanismes lopen die ook nog eens allemaal met een andere configuratie ge-Stealth zijn omdat het functioneel gezien om een ander beheer domein aangaat.

Dus ja, ik kan me voorstellen dat het Stealth-en bijdraagt aan een beter gevoel van “veilig zijn”. Maar kijkend naar de TCO en de alternatieven, dan zou het balletje best weleens een andere kant op kunnen rollen… :-)


@Reza:
Voor wat het waard is: mijn aanname was precies wat ik in mijn vorige reactie naar Henri beschreven heb – een firewall met een multipoint VPN.

Deze aanname was gebaseerd op de uitleg in een white paper (vanaf pagina 7): http://www.unisys.com/offerings/high-end-servers/forward-by-unisys/Whitepaper/forward-by-unisys-multi-layered-security-overview-whitepaper-id-1913.

De meerwaarde van de whiteboard sessie zat hem in:
(1) – een validatie van de aanname,
(2) – het antwoord op de vraag hoe e.e.a. ingevuld is en
(3) – een paar use cases uit de praktijk.


@Iedereen:
Ik merk regelmatig dat adviezen van mensen die voor een vendor werken niet gewaardeerd worden – tenminste niet als daarbij productnamen genoemd worden. Maar als je er over nadenkt, is het eigenlijk meten met twee maten.

Aan de ene kant wordt van iemand verwacht dat ie met praktijdvoorbeelden kan aantonen dat een bepaalde aanpak werkt (bewijslast!). Maar als die iemand daarbij productnamen noemt uit het portfolio van zijn werkgever, dan wordt dat afgeserveerd met een wij-van-WC-eend… En ja, ik betrap me daar zelf ook regelmatig op!

Waarbij ik me dan toch weleens afvraag – welke andere manieren zijn er om aan te tonen dat een bepaalde aanpak werkt als je geen productnamen mag noemen? Iemand enig idee?

:-)

@Reza
Grappig om te lezen dat wat ik schrijf te moeilijk is om in één keer te begrijpen maar dat er desondanks wel conclusies getrokken worden dat het om een WC-eend verhaal gaat, misschien dat een zekere mate van zelfingenomenheid de oriëntatie hier beperkt?

@Will
Als je beveiliging inricht op basis van een economische afschrijving (TCO) in plaats van een steeds sneller voortschrijdende technische veroudering dan denk ik dat je aannames in de basis al fout zijn. Een observatie die ik gedaan heb aangaande processen is dat deze meestal nog ergens uit het einde van de vorige eeuw stammen, aangaande je bezwaren over 'root cause analysis' kan ik melden dat organisaties door virtualisatie steeds meer moeite hiermee hebben.

@Q
Aangezien de OODA-loop grotendeels draait om patronen is gebruik van statistiek me niet vreemd. Let wel dat je niet in de valkuil valt van het exemption management. Kortom, je statistiek moet wel gebaseerd zijn op de gegevens vanuit de omgeving en niet de boekhouding.

Will, ik ben er absoluut voorstander van om man en paard en dus productnaam te noemen. Cryptisch blijven om geen eigen producten te noemen hoeft voor mij niet.

Het enige waar mensen denk ik over vallen is zo'n mooi weer praatje dat Product X zo geweldig is en dan bedrijven daar X % mee bespaard hebben. Maar gewoon technische informatie of iets over de toepassing wat ook relevantie heeft buiten het product alleen is prima. En als je over eigen producten plaatst en het is niet heel duidelijk dat jij dat als product voert (bijvoorbeeld integrator die leeft van SharePoint die praat over SharePount) , je dan een disclaimer plaatst zodat mensen wel snappen waar jouw belang ligt.

Uiteindelijk lezen we om vermaakt of verrijkt te worden met kennis.

@Henri Goede vraag, ik zit er ook al tegenaan te hikken, de technische informatie. Liefst in Jip en Janneke taal. Nog eens zitten googelen, en misschien is dit al eerder gepost maar vind het volgende artikel informatief over het Unisys Stealth product:

http://www.app3.unisys.com/common/about__unisys/Stealth/Documents/Stealth%20and%20SecureParser%20white%20paper.pdf

Geen eenvoudige materie zeg, dus ik zat ook al snel op deze pagina:

http://en.wikipedia.org/wiki/OSI_model

Hiermee zou je al een eind kunnen komen. Interessant! Nog maar een keer lezen.

@Ewout:
De afkorting TCO gaat over het geheel aan kosten die gemaakt moeten worden rondom aanschaf, installatie en gebruik – niet enkel over een vorm van afschrijving. Voor de liefhebbers – zie ook: http://en.wikipedia.org/wiki/Total_cost_of_ownership.

Als het tempo waarmee de technologie voortschrijdt een probleem is, dan heeft Unisys met zijn Stealth software een grotere uitdaging dan een klant met welke vorm van afschrijving en processen dan ook…

Bedrijven zijn immers gebonden aan allerhande regelgeving en daar is verder weinig aan te doen.

Van een security product mag je verwachten dat het ook over de jaren heen veilig blijft… hoe rapper er nieuwe technologieën in de markt gezet worden, hoe lastiger dat gaat worden.


:-)

@Iedereen:
Ik merk dat er nogal wat verwarring is rondom de 7 lagen van het OSI model en de 4 lagen van TCP/IP. Op deze site wordt e.e.a. redelijk eenvoudig uitgelegd: http://www.comptechdoc.org/independent/networking/protocol/protlayers.html.

Indien er behoefte is wil ik wel een whiteboard sessie doen om dit verder toe te lichten.

Bij voldoende belangstelling wil ik er een workshop van maken van (max.) een halve dag. In dat geval is een laptop met de mogelijkheid om zelf software te installeren wel een must. Dan kan ik je laten zien wat er allemaal over je netwerk aansluiting gebeurd.

In beide gevallen graag een berichtje naar will@moonen.me zodat we data kunnen prikken.

@Louis
Overwegende dat gemiddelde beslisser en/of beïnvloeder niet geïnteresseerd is in details van netwerk, Ton Elias kon geen antwoord geven op de vraag wat TCP/IP was, dan is werking van Internet uitleggen nogal lastig. En dat terwijl er mooie filmpjes te vinden zijn op Youtube, net als over Stealth:

https://www.youtube.com/playlist?list=PL2jZcHC2i7ApRv_MwEU-nLHp8MFr0DA8S

Observeren we echter Hollandse realiteit aangaande toegang tot Internet dan is er echter minder Noord-Koreaanse discipline. Oriënteren we ons op Data Loss Barometer van KPMG dan zien we dat de bedreiging meer omvat dan externe boze buitenwereld. En dat sectoren zoals overheid, onderwijs en technologie ranglijst van lekken aanvoeren zal vast niks te maken hebben met de mobiliteit van gebruikers.

Waar ik over schrijf is de verkeerstoren mentaliteit, zoals ik stel is meldplicht zonder informatieplicht nogal zinloos. Want zoals ik in 2011 al schreef in opinie 'Release of relatiemanagement' hebben steeds meer organisaties moeite om waardeketens te bepalen doordat deze niet meer stopt bij de firewall.

@Will
Wederom lijk je weer wat te vergeten, de kosten van onderhoud want zoals ik al stelde komt patchen meestal ten laste van het al flink onder druk staande budget van afdeling IT.

Ergens krijg ik de indruk dat je aan 'onthechtingsverschijnselen' leid als ik kijk naar de nieuwe financieringsmodellen van cloud computing. Aangezien Stealth een software oplossing is past deze dus beter bij het idee van een SDDC.

Beveiliging is trouwens nimmer een product geweest maar altijd een strategie waarbij je maatregelen niet alleen aanpast aan bedreigingen maar ook richting die business kiest. Aangaande regelgeving dus handig als je als organisatie zelf de toegang kan bepalen en niet afhankelijk bent van leveranciers want voor je het weet ben je dan WILLoos;-)

@Will
- Als ik de reacties lees dan valt me op dat jij de enige bent die inhoudelijk goede "aanvulling" geeft aan dit artikel (naar mijn mening Henri heeft een andere aanvliegroute)
Komt dit door de toelichting die je al gehad hebt? Zo ja kun je je afvragen tot hoeverre de inhoud van dit artikel voor andere mensen begrijpelijk en duidelijk is.

- Wat betreft de wc-eend label, Ewout en andere auteurs (ik ook dus) hebben eerder opmerkingen gemaakt over dit gedrag als iemand met zijn product/verhaal als opinie kwam. Computable heeft hiervoor een andere categorie als "Productnieuws"

Laten we "Opinies" zuiver houden.

@Ewout
Je mag het best grappig vinden maar als alleen hier 3 mensen aangeven dat je artikel niet begrijpelijk is dan zou je beter moeten nadenken wat je verbeteren kan ipv de bal bij andere neerleggen.

Alles begint met duidelijk communiceren dus zender en ontvanger. En als je met dit soort wollige taal en verhalen komt dan mis je gegarandeerd je doel en je doelgroep. Maar goed, je gaat dit ook zeker grappig vinden.

Terug naar @Will:
"Een firewall met een multipoint VPN" dan vraag ik me af wat deze configuratie wordt als je in een hybrid cloud-model van verschillende SaaS diensten gebruik maakt. Ga je een oerwoud creëren met veel point-to-point VPN connecties?
Hoe zit het dit model als je gebruik maakt van een IDaaS in de cloud?

En nog andere vragen die ik nog niet kan stellen omdat ik nog steeds geen duidelijk beeld heb van dit artikel.


@Ewout – van achter naar voren:

WILLoos – LoL… :-)

In één alinea met twee prachtige volzinnen switchen van techniek naar “de business” en weer terug… ;-)
Maar vooruit – ik beweeg mee en ben daarom zeer benieuwd naar het antwoord op de volgende vraag:
Welke business strategie, onderliggende organisatie strategie en financieringsmodel zie je als de sweet spot van het product genaamd Unisys-Stealth?

Ik verwacht dat je deze vraag zonder moeite en to-the-point kan beantwoorden aangezien het antwoord een van de belangrijkste criteria is in het kwalificeren van een Stealth opportuniteit. Lukt- of wil je dat niet, dan ga ik er vanuit dat er in ieder geval weer een paar prachtige volzinnen volgen… ;-)

Ik kan me voorstellen dat mijn reacties lijken op “onthechtingsverschijnselen”. Maar wat veel cloud adepten schijnen te vergeten is dat alles zijn prijs heeft. Het feit dat financierings- en leverings-modellen veranderen wil niet zeggen dat zoiets als een TCO en een beheer proces niet meer relevant is.
Sterker nog – doordat “de business” de ruimte krijgt hun eigen “ding” te doen neemt de fragmentatie toe en zal de TCO uiteindelijk exponentieel toenemen.
Immers, er is niemand die, parallel aan die splinter-initiatieven, kijkt naar het grote geheel en in een vroeg stadium aan de bel trekt als (beheer?!)kosten en opbrengsten (bij elkaar: TCO) niet meer in de pas lopen.
In dat kader is patchen een onderdeel van die kosten en daarmee een onderdeel van de TCO – dat veranderd niet – nu niet en nooit niet!

Zolang de bedrijfsresultaten boven verwachting zijn is er niet zo heel veel aan de hand. Maar zodra die achterwege blijven ontstaat er een schimmig zwarte pieten spel en is de IT afdeling weliswaar de klos maar zelden de root-cause...

:-)

Will Moonen, dit is volgens mij al het derde verhaal van Wij van Unisys bevelen Unisys Stealth aan. En een compliment voor je uitleg; een software architect die het verhaal van een hardware architect duidelijk weet te maken.

@Will
Idee van TCO is gestorven, dat jij als zwarte piet bent blijven hangen in die schoorsteen gaat voorbij aan wat ik hier schrijf over onverspelbare kosten proberen te vangen met een contractueel kaartenhuis. Lijkt me handig dat jij onweerlegbaarheid van je aannames aantoont want uiteindelijk gaat het namelijk dus om de waarde van de informatie.

@Reza:
De reden dat ik het kan volgen is waarschijnlijk mijn achtergrond rondom datacommunicatie (7-lagen OSI model & 4-lagen TCP/IP model) en de werking van packet-capturing.
De pitch van Unisys is behoorlijk technisch; dus ja, ik kan me goed voorstellen dat het lastige materie is zonder deze kennis.

Als de Stealth software niet geïnstalleerd kan worden op de applicatie servers, dan is er altijd een mogelijkheid om uitzonderingen te maken in de Stealth configuratie. Mijn inschatting is dat dit altijd het geval zal zijn voor XaaS-achtigen en dus ook voor IDaaS.
Een uitzondering komt neer op een “regel” die het toestaat om voor een bepaalde applicatie buiten de Stealth software om een verbinding op te zetten – vergelijkbaar met wat je ook bij firewalls doet.
Dus nee, dat oerwoud aan VPN-achtige connecties gaat er niet komen. Worst-case is dat je met een oerwoud aan uitzonderingen te maken gaat krijgen voor de verschillende XaaS-achtigen.

@Reza
Bij sommigen is het licht al lang uit, reacties lijken zich toe te spitsen op een product (cheng) terwijl ik toch grotendeels over een strategie (chi) schrijf. Op welke grond jij tot de conclusie komt dat ik mijn doel niet bereikt heb is me een raadsel, ommekeer van Will tussen eerste reactie en bijna laatste waar hij mensen uitnodigt is alleen het observeren al waard. Nadat iedereen in goed vertrouwen software die Will ze geeft geïnstalleerd heeft wordt oriënteren hoe hazen lopen alleen maar makkelijker;-)

Vertel eens eerlijk, heb je nu een dagtaak aan die zelfingenomen sterrenfraude?

Mag ik toch even brommen op de persoonlijke irritaties, dit keer. Blijf inhoudelijk a.u.b.

@Ewout, 't zal vast zijn dat jouw stuk zijn basis vindt in software uit eigen fabriek. De achterliggende boodschap vind ik toch interessant.

@Brombeer
De strategie (chi) zit in de OODA-loop, het is trouwens niet alleen een product uit eigen fabriek maar ook één die we zelf gebruiken voor alle fabrieken in landen waar staatstoezicht op de communicatie iets verder gaat dan gebruikelijk in democratische landen;-)

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×