Netwerksegmentatie blijft een cruciale beveiligingsvereiste, maar organisaties worstelen met traditionele benaderingen die omvangrijke hardware-investeringen, complex beleidsbeheer en ontwrichtende netwerkveranderingen vereisen. De gezondheidszorg- en productiesectoren worden geconfronteerd met bijzondere uitdagingen als ze diverse eindpunten – van oudere medische apparaten tot IoT-sensoren – in hun productienetwerken integreren. Deze apparaten ontberen vaak een robuuste beveiliging, waardoor aanzienlijke kwetsbaarheden ontstaan die traditionele segmentatieoplossingen moeilijk kunnen aanpakken.
Elisity wil deze uitdagingen oplossen door middel van een innovatieve aanpak die gebruik maakt van de bestaande netwerkinfrastructuur en tegelijkertijd op identiteit gebaseerde microsegmentatie aan de netwerkrand biedt. In plaats van nieuwe hardware, agents of complexe netwerkherontwerpen nodig te hebben, gebruiken Elisity-klanten een paar lichtgewicht virtuele connectoren (Elisity Virtual Edge genoemd) om beveiligingsbeleid af te dwingen via de huidige schakelinfrastructuur van organisaties.
In deze praktijkgerichte beoordeling onderzoeken we de technische mogelijkheden en toepasbaarheid van Elisity in de echte wereld op basis van tests in een gesimuleerde gezondheidszorgomgeving die veelgebruikte bedrijfsimplementatiescenario’s weerspiegelt. Bezoek de Elisity-website hier voor een gepersonaliseerde demo.
Identiteitsgerichte architectuur
De kern van het Elisity-platform wordt gevormd door het Cloud Control Center, dat gecentraliseerd beleidsbeheer en zichtbaarheid biedt. Tijdens het testen hebben we gezien hoe de componenten van “Elisity’s Virtual Edge” rechtstreeks op ondersteunde switches (Cisco Catalyst 9K-serie) kunnen worden ingezet of als VM’s of containers in privéclouds of op netwerken. Ze integreren met bestaande netwerkswitches, waaronder Cisco, Juniper en Arista . De testomgeving laat zien dat Elisity de segmentatie kan beheren in zowel een reeks klinieken die verbinding maken met het netwerk met Cisco 9300- en 3850-switches, als in ziekenhuislocaties met een Cisco 9300 waarop de Elisity Virtual Edge draait.
De Elisity IdentityGraph-engine blijkt in de praktijk bijzonder indrukwekkend. Naast het alleen ontdekken van apparaten, correleert het identiteitsgegevens uit meerdere bronnen tot wat Elisity ‘effectieve kernkenmerken’ noemt: een geconsolideerd overzicht van de meest geldige en vertrouwde gegevens over elk bedrijfsmiddel. Tijdens het testen zagen we dat het tegelijkertijd gegevens uit Active Directory, ServiceNow, CrowdStrike en andere bronnen haalde, waardoor rijke contextuele profielen ontstonden die beleidsbeslissingen ondersteunen.
Omdat Elistiy’s Virtual Edge “connectors” verbonden bedrijfsnetwerken zijn, ontdekken en zien ze meer dan alleen de apparaatdetails. Ze sturen ook netwerkstroomgegevens naar Elisity’s Cloud Control Center. Dankzij dit integratieniveau kan het platform correleren “wie met wie praat”.
Beleidscreatie en -beheer
Al deze gecorreleerde metadata voor gebruikers, workloads en apparaten worden waardevol met de mogelijkheden van Elisity-toegangsbeleid. De beleidsinterface maakt gebruik van een intuïtieve matrixvisualisatie die de relaties tussen activagroepen duidelijk laat zien. Een belangrijk kenmerk dat werd gedemonstreerd, was de mogelijkheid om activa dynamisch te classificeren op basis van meerdere criteria. We hebben bijvoorbeeld gezien hoe een ongeautoriseerde laptop automatisch opnieuw werd geclassificeerd in een geautoriseerde radiologiegroep op basis van overeenkomende ServiceNow-itemtags, apparaattype en CrowdStrike EDR-status.
Het platform bevat krachtige functies voor beleidsverfijning:
· Leermodus om werkelijke verkeerspatronen te begrijpen
· Beleidssimulatie vóór handhaving
· Verkeersstroomanalyses als overlay op de beleidsmatrix
· De mogelijkheid om assets in specifieke groepen te vergrendelen (vooral waardevol voor OT-omgevingen)
Een bijzonder nuttige functie is de verkeersstroomanalyseweergave, die feitelijke communicatiepatronen over de beleidsmatrix legt. Dit helpt beheerders ongebruikte paden te identificeren die veilig kunnen worden geblokkeerd en beleidswijzigingen te valideren voordat ze worden afgedwongen.
Gebruikscasus voor de gezondheidszorg Diepgaande duik
Om de toepasbaarheid in de praktijk te evalueren, hebben we een algemeen scenario voor de gezondheidszorg getest: het beveiligen van oudere medische apparaten met verouderde besturingssystemen. Het platform ontdekte automatisch onze gesimuleerde medische apparatuur en gaf gedetailleerd inzicht in hun communicatiepatronen.
De demo liet zien hoe gemakkelijk beleid kon worden gemaakt voor diverse medische apparatuur, waaronder röntgenapparatuur, CT-scanners en EPD-systemen. Een bijzonder waardevol voorbeeld demonstreerde het blokkeren van specifieke poorten (zoals SSH-poort 22) voor oudere medische apparaten met verouderde besturingssystemen, terwijl de noodzakelijke klinische toegang behouden bleef.
Prestaties en schaal
Uit tests is gebleken dat de prestatie-impact van Elisity’s handhavingsmechanismen minimaal is. Door gebruik te maken van switch-ASIC’s voor beleidshandhaving handhaafde de oplossing een latentie van minder dan een milliseconde zonder merkbare doorvoerreductie. De gedistribueerde architectuur verwerkte onze testbelasting efficiënt, wat een goede schaalbaarheid voor bedrijfsimplementaties suggereert.
Het implementatieproces bleek opmerkelijk eenvoudig: het duurde minder dan 30 minuten per locatie zonder netwerkuitval. Deze efficiëntie komt voort uit de containergebaseerde aanpak van Elisity en het vermogen om met bestaande infrastructuur te werken.
Gebieden voor verbetering
Hoewel Elisity haar kernbelofte waarmaakt, kunnen sommige gebieden worden verbeterd. De draadloze integratiemogelijkheden zijn onlangs uitgebreid met Cisco Catalyst 9800 draadloze controllers die inter- en intra SSID-segmentatie ondersteunen of als alternatief op de switch waar het AP of de controller verbinding maakt met het netwerk, wat van belang kan zijn voor gezondheidszorgomgevingen met een toenemende adoptie van draadloze apparaten. Hoewel de beleidsinterface intuïtief is, zouden meer vooraf gedefinieerde sjablonen de initiële implementatie helpen versnellen.
We merkten ook op dat er enige handmatige beleidsafstemming nodig was om de regels voor specifieke gebruiksscenario’s te optimaliseren. Hoewel het platform deze afstemming goed inzichtelijk maakt, zou aanvullende automatisering dit proces kunnen stroomlijnen. We merken op dat Elisity ons heeft laten weten dat ze begin 2025 Elisity Intelligence lanceren, waarvan ze zeggen dat het een sterkere geautomatiseerde beleidsaanbevelingsmotor zal bieden.
Voorbeeld van openbare casestudy
Elisity deelt dat een toonaangevend Amerikaans gezondheidszorgsysteem met meer dan 800 ziekenhuizen en gezondheidszorgklinieken opmerkelijke efficiëntiewinsten en kostenbesparingen heeft bereikt door de implementatie van Elisity, waardoor de totale kosten zijn teruggebracht van $38 miljoen naar $9 miljoen – een reductie van de TCO van 76%. Voor de implementatie waren slechts twee personeelsleden per locatie nodig in plaats van veertien, waarbij de implementatie slechts 4 tot 10 uur per locatie in beslag nam, terwijl downtime en verstoring van de patiëntenzorg werden vermeden. Het platform van Elisity ontdekte en classificeerde 99% van de apparaten binnen 4 uur en elimineerde de noodzaak van dure her-IP-processen voor IoT-apparaten, en voorzag in geautomatiseerde, continue updates van de apparaatinventaris voor hun CMDB met uitgebreide netwerkzichtbaarheid op alle locaties. Lees meer over de succesvolle implementaties van Elisity in de gezondheidszorg, de farmaceutische industrie en de productie op hun website.
Conclusie
Elisity pakt met succes de belangrijkste uitdagingen van traditionele microsegmentatiebenaderingen aan en biedt tegelijkertijd een praktisch traject naar implementatie. Het vermogen van de oplossing om gebruik te maken van de bestaande infrastructuur en tegelijkertijd op identiteit gebaseerde controles te bieden, maakt deze bijzonder waardevol voor organisaties met diverse eindpunttypen en complexe segmentatievereisten.
Tijdens het testen waren we vooral onder de indruk van de incidentresponsmogelijkheden van Elisity. Met het platform kunnen organisaties meerdere beleidssets onderhouden, inclusief vooraf geconfigureerd ‘vergrendeld’ beleid dat snel kan worden geïmplementeerd via hun SOAR-playbooks of API-integraties, als ransomware of andere bedreigingen worden gedetecteerd.
De snelle implementatiemogelijkheden en de minimale prestatie-impact van het platform maken het een aantrekkelijke optie voor bedrijven die hun beveiligingspositie willen verbeteren zonder enorme investeringen in de infrastructuur. Hoewel sommige aspecten, zoals draadloze integratie, verbeterd kunnen worden, biedt Elisity een pragmatische aanpak voor het implementeren van microsegmentatie binnen de hele onderneming.
Voor organisaties die worstelen met traditionele segmentatiebenaderingen, vooral die in de gezondheidszorg en de productiesector, biedt Elisity een duidelijk pad voorwaarts dat beveiligingsvereisten in evenwicht brengt met de operationele realiteit. Bezoek de oplossingspagina hier voor meer informatie over Elisity IdentityGraph.