Van SD-WAN naar SD-Branch: de volgende stap in netwerkvirtualisatie

SD-WAN bewijst niet alleen de voordelen van software-defined networking op vlak van prestaties en beheer, maar ook wat beveiliging betreft. Waarom zou je die voordelen beperken tot het WAN-netwerk en niet doortrekken naar het filiaal? De transitie naar SD-Branch dringt zich op, meent Geoffrey Van Beylen, Director of Systems Engineering bij Fortinet Belux.

SD-WAN is voortgekomen uit een nieuwe noodzaak als gevolg van digitale transformatie. “Bedrijven zijn sinds enkele jaren hun oude technologieën aan het digitaliseren, het aantal verbonden toestellen en sensoren neemt elk jaar toe en steeds meer taken worden uitbesteed naar de cloud”, legt Van Beylen uit. “Dat vraagt om meer bandbreedte, maar ook een lagere latency en betere security.”

De traditionele hub-and-spoke WAN-architectuur schiet in dat geval tekort. SD-WAN, kort voor, Software-Defined Wide Area Network, is een relatief recente benadering om individuele bedrijfslocaties via het open internet op het bedrijfsnetwerk aan te sluiten, als alternatief voor of aanvulling op MPLS (Multiprotocol Label Switching). De term is sinds vier à vijf jaar in zwang geraakt, maar de achterliggende technologieën, zoals VPN-tunneling, zijn niet nieuw.

De voordelen van SD-WAN worden in toenemende mate erkend en de adoptie neemt in snel tempo toe. Analisten verwachten dat de markt tussen 2017 en 2022 jaarlijks met zo’n 40 procent groeit. IDC voorspelt dat de SD-WAN-markt tegen 2020 een waarde van 4,5 miljard dollar zal bereiken.

Voordelen SD-WAN

Een belangrijk voordeel is dat SD-WAN de control layer van het netwerk lostrekt van de data transport layer. Zo kan voor elke applicatie het geschikte netwerkpad worden gekozen op basis van de behoeften. Toepassingen die gevoelig zijn aan problemen op de lijn, zoals VoIP, kunnen dan telkens over het pad met de beste kwaliteit worden gestuurd.

“De data transport layer kan eender wat zijn: LTE, 3G, VPN over internet, MPLS… De control layer maakt intelligente beslissingen waar het verkeer naartoe wordt gestuurd”, vertelt Van Beylen. Omdat applicaties op het netwerk worden herkend en geclassificeerd, kunnen kritische toepassingen de juiste SLA’s krijgen.

 

De beweging naar de cloud betekent dat de directe verbinding tussen branch office en cloud belangrijker wordt.

 

De beweging naar de cloud betekent bovendien dat de directe verbinding tussen branch office en cloud belangrijker wordt. Traditioneel wordt het verkeer eerst in een datacenter geconsolideerd voordat het naar het internet wordt verzonden. Dat brengt latency met zich mee en beperkt de prestaties van cloudtoepassingen.

Een rechtstreekse verbinding betekent evenwel dat je hetzelfde securitybeleid dat centraal geldt ook op andere bedrijfslocaties moet kunnen afdwingen. SD-WAN biedt de flexibiliteit om cloudverkeer op een veilige manier rechtstreeks over een lokale internetverbinding te sturen. “Dat is een element waar we heel sterk in zijn”, slaat Van Beylen zichzelf op de borst. “We zijn één van de enige pure player security-vendoren die een paar jaar geleden in SD-WAN is ingestapt. Bij Fortinet spreken we daarom over Secure SD-WAN.”

Prestaties én security

Zo neemt de FortiGate-firewall zowel de securitycomponent als de connectiviteit voor rekening (waaronder latency checks, jitter checks en load balancing). Dat gebeurt vanaf één en hetzelfde centraal beheerplatform.

“Onze hardware is altijd gestoeld op security”, zegt Van Beylen. “Een VPN-verbinding vraagt bijvoorbeeld veel middelen om het verkeer te versleutelen. We gebruiken nu security processing units (ASIC-chips) om die encryptie te versnellen.”

Volgens Van Beylen wil Fortinet performance uit de vergelijking halen, zodat de klant daar niet meer over hoeft na te denken. Vanzelfsprekend beschouwt hij security in verhouding als een belangrijkere component dan prestaties, maar hij heeft daarbij ook een punt. Door de inwerkingtreding van GDPR en andere recente legislatuur, kan een datalek een bedrijf bijzonder zuur opbreken. “We zien een duidelijke verschuiving bij klanten. GDPR heeft security top of mind gemaakt”, weet Van Beylen.

Van SD-WAN naar SD-Branch

De verschuiving van SD-WAN naar SD-Branch is een logische evolutie in het hele verhaal. SD-WAN heeft zijn voordelen ondertussen bewezen. Waarom zou je die voordelen niet doortrekken van de WAN-verbinding naar het lokale netwerk van je branch offices?

Van Beylen neemt het voorbeeld van een supermarktketen. De verschillende winkels staan niet alleen in verbinding met het centrale datacenter van de keten, maar hebben elk ook hun eigen lokale netwerk (servers, kassasystemen, handscanners…) en directe internetverbindingen die moeten worden beheerd en beveiligd. Terwijl SD-WAN een oplossing biedt voor het WAN-netwerk, neemt SD-Branch ook de LAN-netwerken van de filialen op in het geheel, zodat alles vanuit één centraal punt kan worden beheerd.

 

“De vernieuwing zit hem in de integratie. Daar zijn we al enkele jaren mee bezig.”

 

Fortinet biedt daartoe zijn eigen switches en access points, die met de FortiGate-firewall integreren. “De vernieuwing zit hem in die integratie. Daar zijn we al enkele jaren mee bezig, dat doe je niet in één-twee-drie”, legt Van Beylen uit. Fortinet kiest er bewust voor om alle technologieën zelf in huis te ontwikkelen of over te kopen, zodat het eigenaar is en de integratie ten volle kan realiseren. Zo kocht het in 2015 bijvoorbeeld Meru Networks voor zijn wifi-technologie.

Het grote voordeel van die geïntegreerde aanpak is dat bij een nieuwe installatie alles reeds centraal kan worden geconfigureerd en klaargestoomd. De hardware wordt in het branch office neergezet en aangesloten, waarna de configuratie via de cloud wordt opgehaald en geïnstalleerd. Er hoeft in principe geen technisch personeel ter plaatse te komen en het netwerk is snel up and running.

Centraal beheer

“Als in een winkel reeds een FortiGate staat als SD-WAN-oplossing, kunnen daar eenvoudig onze FortiSwitches op worden aangesloten om het aantal poorten van de firewall uit te breiden”, gaat Van Beylen verder. “Dat wil zeggen dat je op het hele netwerk accuraat kan compartimenteren. PoS-terminals en kassa’s moeten niet onderling met elkaar praten, maar met een gecentraliseerde service. We kunnen dat op poort- en applicatieniveau afsluiten en beveiligen.”

Ook draadloze SSID’s worden als virtuele interfaces op de firewall gezien, waardoor het volledige beheer van de netwerken kan worden gecentraliseerd. “Dat centraal beheer is een belangrijke factor, want het betekent ook centrale monitoring”, weet Van Beylen. “Met SD-Branch hebben we alle netwerkinformatie vanuit de branch offices, maar ook centraal uit het datacenter. Alles zit in die ene console, waardoor de veiligheid verhoogt en de reactietijd verlaagt. Dat heb je veel minder wanneer je met veel verschillende componenten werkt.”

 

“Een groot deel van het SD-WAN-debat gaat over connectiviteit, maar security is superbelangrijk.”

 

Natuurlijk werkt de firewall van Fortinet ook samen met switches en access points van andere leveranciers, maar dan is de integratie niet zo verregaand. “We kunnen hetzelfde doen met bestaande hardware, maar dan heb je extra configuratiewerk en moet je twee of meer verschillende beheersystemen naast elkaar gebruiken. Heb je 500 switches en 30 firewalls, dan begint zoiets door te wegen”, verduidelijkt Van Beylen.

Dankzij de diepe integratie kan Fortinet bovendien extra features aanbieden in zijn eigen producten, die niet mogelijk zijn in combinatie met hardware van externe partijen. “Is er ergens een PoS-terminal geïnfecteerd, dan kunnen we onmiddellijk die poort afsluiten”, weet Van Beylen.

Van Beylen verwacht dat steeds meer bedrijven de komende jaren de stap zullen zetten naar SD-WAN en SD-Branch. Voor Fortinet ziet hij daar een grote opportuniteit: “Een groot deel van het SD-WAN-debat gaat over connectiviteit, maar security is superbelangrijk. Daar hebben we een goed verhaal.”