8 min Security

Cisco Hypershield: nieuwe security-architectuur voor nieuwe (en oude) problemen

Cisco Hypershield: nieuwe security-architectuur voor nieuwe (en oude) problemen

Volgens Cisco hebben we niet zozeer nieuwe securityproducten nodig, maar een compleet nieuwe architectuur om organisaties en dan met name hun workloads beter te kunnen beschermen. Dat is wat Hypershield moet bewerkstelligen.

Hypershield is een grote aankondiging voor Cisco. Een erg grote zelfs, als we CEO Chuck Robbins en EVP en GM Security & Collaboration Jeetu Patel zo eens aanhoren. Robbins noemt het “een van de meest significante security-innovaties in onze [Cisco’s, red.] geschiedenis”. Patel heeft het in gesprek met ons over “het beste verhaal tot nu toe”.

Op zich horen we natuurlijk wel vaker superlatieven van leveranciers over nieuwe producten en diensten. Maar dit komt toch echt anders over. Hypershield is dan ook een architectuur waarvoor Cisco meerdere componenten bij elkaar heeft gepakt en daar een geheel van heeft gesmeed. De technologie die het gebruikt voor Hypershield is origineel gemaakt voor gebruik in de public clouds van de hyperscalers, vandaar de naam. Cisco brengt dit nu naar enterprise-omgevingen en dan met name de datacenters, de cloudomgevingen, maar ook de OT-omgevingen.

Security daar waar het nodig is

Deze herontwikkeling van de security-architectuur is het antwoord van Cisco op de steeds grotere security-uitdagingen die de gedistribueerde omgevingen van organisaties krijgen. De fysieke infrastructuur verandert momenteel op een significante manier. Denk alleen maar aan de steeds belangrijkere rol voor GPU’s in plaats van CPU’s, of de opkomst van DPU’s om werkzaamheden te offloaden. Hetzelfde geldt voor de applicaties. Die zijn van een relatief overzichtelijke opbouw in drie lagen (web, logica, data) veranderd in verzamelingen van microservices in Kubernetes-clusters, die ook weer moeten weten met welke andere clusters ze kunnen en mogen praten.

Het dreigingslandschap wordt daarnaast ook steeds complexer en verfijnder. Dit maakt het steeds lastiger om security daar te krijgen waar het nodig is. Met Hypershield moet dat weer mogelijk worden. Cisco is zo overtuigd van de kwaliteiten van de nieuwe architectuur dat het zelfs stelt dat de balans met deze aankondiging weer door zal slaan naar de verdedigers, weg van de aanvallers.

Dit soort claims doen zelfs bedrijven zoals Cisco niet zo heel vaak. Vandaar dat we er graag over in gesprek gingen met Patel. Wat is Cisco Hypershield nu precies en wat maakt het zo bijzonder?

Drie problemen op zoek naar een oplossing

Volgens Patel zijn er drie problemen die niet of heel lastig op te lossen zijn met gebruik van bestaande security-architecturen. Dat zijn achtereenvolgens segmentatie, patching en upgrades.

Kijken we naar segmentatie, dan moeten we dat nu toepassen op zaken zoals applicaties en clusters die met elkaar verbonden zijn middels API’s. Voorheen deden we dit op en tussen fysieke servers. Patching is anno 2024 nog altijd een groot probleem. Hoe vaak lezen we niet over kwetsbaarheden die gepatcht moeten worden, waarna dit maar voor een deel gebeurt door organisaties? Dat is niet allemaal onwil, maar soms ook onmacht of een gebrek aan inzicht en overzicht. Upgrades zijn volgens Patel tot slot ook erg lastig, voor een deel omdat dit handmatig moet gebeuren. Als je een grote omgeving hebt, kan dit simpelweg te veel worden.

Opvallend is wat ons betreft dat de drie problemen waar Patel het over heeft, eigenlijk helemaal niet zo enorm spannend zijn. Dat wil zeggen, ze zijn alle drie onderdeel van de basishygiëne op het gebied van cybersecurity. Dat is echter waar het bij veel organisaties juist aan schort. Voor een deel is dat dus omdat de omgevingen waarin de acties plaats moeten vinden te complex zijn geworden. Het mag duidelijk zijn dat het dichten van deze gaten potentieel een grote impact heeft op de cyberweerbaarheid van organisaties.

Onderdelen voor de oplossing zijn beschikbaar

Bovenstaande problemen kunnen volgens Patel “niet opgelost worden door een volgende versie van iets wat al bestaat, het moet de eerste versie zijn van iets nieuws”. Bedoelt hij hiermee dat Cisco iets volledig nieuws uit de grond heeft gestampt? Op zich niet, want “de technologische bouwblokken zijn beschikbaar”. Dat wil zeggen, na de nodige eigen ontwikkeling en een overname hier en daar heeft Cisco deze onderdelen nu in het eigen portfolio.

De drie onderdelen waaruit Cisco Hypershield is opgebouwd zijn eBPF (extended Berkeley Packet Filter), accelerated compute en – uiteraard – AI. “Deze drie onderdelen lossen de drie grote problemen op die we hierboven hebben vastgesteld”, geeft Patel aan. De laatste twee liggen redelijk voor de hand. Zonder een autonoom opererende AI op de achtergrond kun je de problemen niet oplossen. Zonder hardware-acceleratie is het verder ook lastig om de vereiste prestaties te leveren. Hypershield zet dan ook componenten zoals DPU’s in om afwijkingen in het gedrag van applicaties en het netwerk te analyseren en erop te reageren. Hiermee komt security dichter tegen de workloads aan die beschermd moeten worden.

TIP: Cisco XDR brengt Security Cloud-visie grote stap dichterbij

eBPF

Een van de bovenstaande drie componenten maakt nu ook meteen duidelijk waarom Cisco enige tijd geleden Isovalent heeft overgenomen. Dat is samen met Meta de bedenker van het Cilium-project. Dit project levert eBPF-functionaliteit aan ontwikkelaars en daarmee ook aan de programma’s die ze ontwikkelen.

eBPF is al tijden een van de populairste projecten in de open-source community. Dat is op zich niet zo gek, want het biedt behoorlijk wat meerwaarde. Je kunt dankzij eBPF namelijk programma’s draaien in de kernel en het OS. Hiermee kun je dus in runtime eBPF-programma’s toevoegen. Het feit dat het in de kernel zit, betekent dat het maximaal efficiënt is en dus ook maximaal presteert. Toepassingen van eBPF zijn er genoeg. Netwerkfunctionaliteit en load balancing leveren in veeleisende omgevingen bijvoorbeeld, maar ook fijnmazige observability met betrekking tot security leveren aan weinig overhead. De snelheid en efficiëntie gekoppeld aan de security- en observability-mogelijkheden maken het zo waardevol voor Cisco Hypershield.

Na de overname van Isovalent en Splunk is er trouwens best een bijzondere situatie ontstaan. Isovalent is vanzelfsprekend een van de voornaamste contributors aan Cilium, dat na Kubernetes en OpenTelemetry op plek drie staat van populaire projecten op Github. Splunk is de grootste contributor aan OpenTelemetry. Door de overnames van deze twee spelers is Cisco nu dus by proxy een van de grootste contributors aan open-source-projecten. Laten we hopen dat dit zo blijft.

Cisco lijkt het de laatste jaren serieus te menen op het gebied van open-source, voor zover dat mogelijk is voor een bedrijf zoals Cisco uiteraard. Maar het heeft inmiddels behoorlijk wat open-source componenten daarnaast zelf verder doorontwikkeld. Uiteraard zit er bij een speler zoals Cisco altijd een groter doel achter. Dat is met de overname van Isovalent ook duidelijk zichtbaar. eBPF is onderdeel gemaakt van een Cisco-propositie. Cilium blijft echter open-source. Dat zal gewoon verder worden ontwikkeld onder de auspiciën van de Cloud Native Computing Foundation.

Hoe werkt Cisco Hypershield?

Nu we duidelijk hebben uit welke bestaande technologieën Cisco Hypershield bestaat, kijken we ook nog even kort naar de mogelijkheden ervan. Functioneel bestaat het uit drie delen:

  • Distributed Exploit Protection: dit moet het patchingprobleem aanpakken. In principe wordt hiermee ieder apparaat of ieder endpoint in de datacenter- en cloudinfrastructuur een zogeheten enforcement point. Hypershield kan volgens Patel iedere nieuw kwetsbaarheid in minuten oplossen. Het test de oplossing (oftewel de patch) en rolt deze ook uit. Niet alleen voor een enkel apparaat of endpoint, maar voor alle exemplaren die onderdeel zijn van deze gedistribueerde omgeving, die je kunt zien als een fabric.
  • Autonomous Segmentation: de naam zegt het al, hiermee wil Hypershield het segmentatieprobleem oplossen. Hier zit een grote observability-component in, iets wat Cisco de afgelopen jaren door het hele portfolio heeft toegevoegd. Hypershield houdt de hele infrastructuur continu in de gaten en bepaalt autonoom of er veranderingen moeten komen in de policies van het netwerk. Op deze manier kan het snel inspringen op het eventueel binnendringen van een aanvaller.
  • Self-qualifying Upgrades: deze derde en laatste functionaliteit van Hypershield moet ervoor zorgen dat beheerders zelf nooit meer handmatig een upgrade uit moeten voeren. Patel vergelijkt de werking ervan met die van upgrades bij onze smartphones. Alles gebeurt automatisch op de achtergrond. Dit is mogelijk doordat Hypershield een tweede datalaag creëert en gebruikt hiervoor. Het draait de upgrade op een digital twin, waarbij het de software test met de workloads, policies en andere kenmerken die het tot een unieke omgeving maken. Als alles werkt, voert Hypershield de upgrade uit, zonder dat er sprake is van downtime.

Geen nieuwe technologie, wel nieuwe architectuur

Al met al is Cisco Hypershield zonder meer een interessant nieuw product wat ons betreft. Het is dan weliswaar geen nieuwe technologie die eraan ten grondslag ligt, Cisco heeft de verschillende componenten wel op een nieuwe manier bij elkaar gebracht. De onderliggende architectuur van Hypershield is dus wel degelijk nieuw.

Of Cisco Hypershield ook daadwerkelijk de architectuur van security als geheel verandert, zoals Patel claimt tegen het einde van ons gesprek, en de balans weer richting de verdedigers doet doorslaan, is wellicht wat te vroeg om te stellen. Het is in ieder geval wel een goed voorbeeld van het zeer diep integreren van verschillende technologieën om de gaten in de verdediging te minimaliseren. Dat is een ontwikkeling die overal op de securitymarkt zichtbaar is en ook nodig is. Wat dat betreft kunnen we de introductie van Cisco Hypershield alleen maar toejuichen.

Lees ook: Cisco bouwt gestaag aan geïntegreerd en open securityplatform; hoe ziet dat eruit?