Serverius levert vanuit meerdere locaties datacenter-colocatie, connectiviteit en cybersecuritydiensten. Het bedrijf investeert veel in het ontwikkelen van de diensten. Daartoe worden de medewerkers aangemoedigd nieuwe kennis te vergaren en de bestaande kennis op peil te houden. Dat Serverius serieus is, blijkt uit het feit dat jaarlijks veertig procent van de omzet gereserveerd wordt voor Research & Development.
Deze ongekend grote reservering werpt zijn vruchten af, want het bedrijf kent een goede groei voor elk van de diensten. Waar Serverius zich ook door onderscheid van de rest van de markt is dat het diensten gratis aanbiedt. Voor zowel het peeringplatform Speed-IX als het securityplatform Sercurius geldt dat de gebruikers na registratie de diensten kunnen gebruiken zonder dat er een factuur wordt gestuurd. Serverius doet dit om positief te kunnen bijdragen aan beter en veiliger internet voor de hele BV Nederland.
Sercurius
Sercurius is de naam van het gratis te gebruiken securityplatform van Serverius. Patrick Cress: “Sercurius is de gratis variant van ons securityportfolio. Het gebruikt de API van Serverius om diensten aan te bieden voor iedereen met een eigen website zodat zij die een stuk veiliger kunnen maken. Exact dezelfde API die wij gebruiken voor Sercurius kan ook door andere bedrijven worden gebruikt. Vanuit Serverius bekeken is Sercurius een klant die de API gebruikt om een eigen dienstenportfolio op te bouwen.”
Gratis en geanonimiseerd
Iedereen met een eigen website, of websites in beheer, kan gratis gebruikmaken van Sercurius. De gebruiker meldt zich op de website aan en geeft daarbij zijn toestemming dat zijn geanonimiseerde data wordt gebruikt om de diensten verder te ontwikkelen. Cress geeft aan dat die geanonimiseerde data ook echt belangrijk is. “We zien real-time een hoop aanvallen voorbij komen waarbij de aanvalsdata op een hoop wordt gegooid en doormiddel van AI wordt geanalyseerd. De hieruit voortvloeiende patronen worden daarna ingezet om de beveiliging van Serverius- en Sercurius-klanten te verbeteren. Wij zijn ervan overtuigd dat deze methodiek, inclusief de inzet van AI, de enige manier is om succesvol te blijven in de strijd met de cybercriminelen.”
Uitgebreid
Met het registeren op Sercurius krijgt de gebruiker toegang tot een overzichtelijke cockpit – waar de diensten staan genoemd en uitgelegd – waaraan wekelijks dingen worden toegevoegd. “We werken met sprints van twee weken, waardoor deze bestaande diensten steeds verbeteren en er structureel diensten bijkomen”, zegt Cress. Daarmee geeft hij expliciet aan dat Sercurius nooit af zal zijn; dat kan ook niet voor een securitydienst.
Jaarlijks wordt veertig procent van de omzet gereserveerd voor R&D
De eerste indruk van de cockpit is dat het een uitgebreid aanbod is. Het zal iedereen die niet over eigen infrastructuur beschikt, aanspreken dat met een paar klikken zoveel security kan worden toegevoegd. Die security wordt ook zo goed als real-time actief. Activeren, aanpassen of tussentijds uitzetten, het is voor iedereen te begrijpen. Diepgaande technische kennis is niet vereist. “Dat is een van onze uitgangspunten voor deze dienst”, vertelt Cress. “Iedereen met een website moet dit direct, zonder lange studie vooraf, begrijpen.”
Nederlands
Sercurius is ook het antwoord op vragen over meer security van bedrijven die voor backoffice-activiteiten een webinterface nodig hebben. In plaats van betaalde oplossingen van deels niet-Nederlandse aanbieders kunnen zij zich gratis aanmelden bij Sercurius. Als Cress die doelgroep benoemt, komt een bijzondere USP van Sercurius ter sprake. Alle data die nodig is om de dienst te kunnen laten draaien blijft in Nederland in datacenters van het Nederlandse bedrijf Serverius. “We zien 100% Nederlands steeds meer als eis voorbijkomen en het is voor ons dan ook heel logisch om daaraan te voldoen.”
Componenten
Sercurius bestaat op dit moment uit de volgende diensten: load balancing, source rate limiting, IP reputation, gratis SSL, Captchas en een rule based filter engine. Logging en Metrics wordt daar binnenkort aan toegevoegd. De werking van een load balancer spreekt voor zich. Source Rate limiting betekent dat de websitehouder het maximum aantal requests kan instellen om zo ongewenst verkeer af te weren. De functie staat standaard aan voor alle Sercurius-gebruikers, omdat zo ook het achterliggende Serverius-platform wordt beschermd. IP-reputatie staat ook standaard aan. De gebruiker kan zelf whitelists en blacklists toevoegen.
Gratis
SSL maakt gebruik van Let’s Encrypt. Dit onderdeel van Sercurius onderschrijft perfect het innovatieve karakter van het securityplatform. Ten eerste laat het zien dat de websites die bij Sercurius worden aangemeld niet in de datacenters van Serverius hoeven te draaien. Ten tweede kijkt het systeem naar elke website, waar dan ook gehost, die is aangemeld. Zodra die website verkeer genereert en er is geen SSL actief, dan maakt Sercurius dat automatisch aan. Ook het verlengen van SSL (wat bij Let’s Encrypt complex kan zijn) gaat automatisch. Cress geeft aan dat een deel van de sector niet blij is met Sercurius en dat vooral de SSL-module sommigen een doorn in het oog is.
Iedereen met een eigen website, kan gratis gebruik maken van Sercurius
Serverius biedt meer opties met de captchas, waaronder individualisering, dan de alom bekende Google-uitvoering, stipt Cress kort aan. Waar hij langer bij stil staat is de rule based fi lter engine. “Dat is ons paradepaardje. We hebben bekende regels gegroepeerd, onder andere de OWASP top 10, per type toepassing. In het dashboard vink je aan of je een WordPress-, Joomla- of Drupal-omgeving hebt. Vervolgens ben je automatisch beschermd tegen de bekende specifi eke aanvallen gericht op die CMS-systemen. De gebruiker kan zelf aanvullende regels activeren.
Serverius maakt als enige dienst in Nederland ook gebruik van de database van het EOKM (Expertisebureau Online Kindermisbruik). Die database bevat miljoenen hashes van illegaal foto- en videomateriaal die door de politiediensten van Nederland en Canada zijn verzameld. Zodra een website of andere online omgeving Sercurius als beveiliging gebruikt, dan weet hij zeker dat er geen illegaal en strafbaar materiaal kan worden geüpload. Dit is weer één van de functies waar je kan zien dat de Serverius WAF perfect is in te zetten voor gebruikers zoals forums et cetera, waarbij men niet altijd vat heeft op de gehoste content. Cress: “We zijn de eerste in Nederland die dit mogelijk maken. We zeggen niet alleen dat we veilig en beter internet voor de BV Nederland belangrijk vinden, we leveren ook de oplossingen.” Hiermee laat Serverius duidelijk zien zijn verantwoordelijkheid te nemen ten behoeve van beter internet.
Compliant
Via de uitleg over de EOKM-database komt het gesprek uit bij de AVG. Veel bedrijven moeten sinds mei vorig jaar kunnen aantonen dat ze ‘in control’ zijn als het gaat om de veilige opslag en verwerking van persoonsgegevens. Cress: “Er is een duidelijke trend dat bedrijven, instellingen en ook overheden de processen zo moeten inrichten dat duidelijk is dat ze zich aan de wetten en regels houden. Compliant zijn is niet langer een certifi caat met stempel laten zien. Processen moeten permanent worden gemonitord omdat alleen zo snel en juist ingrijpen mogelijk is. Daarom biedt Serverius beveiliging met geautomatiseerd advies aan de website-eigenaar zodat ook deze zijn web-applicatie beter kan maken” Door deze trend neemt vraag naar tooling toe die veiligheid vergroot en dat combineert met een uitgebreide documentatie. Sercurius biedt dat allemaal en heeft, zoals al eerder door Cress is genoemd, als additioneel voordeel dat de data Nederland niet verlaat.
Uitrol
De performance-eisen waaraan web-omgevingen moeten voldoen kunnen slechts worden gerealiseerd als meer security niet gepaard gaat met hoge latency. Om die reden bestaat de Serverius WAF uit meerdere fi lterlocaties (PoP’s), die binnen en buiten de datacenters van Serverius worden gehost. In Nederland zijn er op dit moment al drie PoP’s. De uitrol binnen Europa is inmiddels gestart.
Serverius maakt als enige dienst in Nederland ook gebruik van de database van het EOKM
De roadmap wereldwijd spreekt van twintig operationele PoP’s voor Q3 2020 waarbij er voornamelijk op Amerika en Azië wordt gefocust. Cress en zijn collega’s zien die uitrol vol vertrouwen tegemoet. Sercurius is namelijk van scratch af aan opgebouwd, waarbij Golang – de programmeertaal van Google – een centrale rol speelt. Golang is een onvergelijkbare scripttaal die leidt tot zeer effi ciënt gebruik van de fysieke fi lterhardware. Sercurius kan dankzij Golang op een fractie van de hardware draaien die met een andere taal nodig zou zijn. “Op dit moment zitten we op een tiende van de hardware en de performance is minimaal tien keer hoger dan het gebruik van bijvoorbeeld bestaande software als NGiNX”, legt Cress lachend uit. “We kunnen daardoor, zonder veel extra latency, ons securityplatform aanbieden. En tevens biedt het ons veel voordeel om internationaal ons product uit te rollen.”
Deze manier van werken is niet uniek. Partijen zoals Google, Uber en Dropbox zijn hen al voorgegaan en hebben dankzij deze taal ook heel snel de footprint weten te vergroten. Als het aan Cress en zijn collega’s ligt mag Sercurius ook aan dat rijtje succesverhalen worden toegevoegd. Maar dan wel met de belangrijke randvoorwaarde dat Sercurius een gratis dienst is en blijft.
[Dit artikel is eerder gepubliceerd in het Security Dossier 2019]