Ontdek SASE: een clouddienst die SD-WAN aan beveiliging koppelt

Security Access Service Edge, dat is waar SASE voor staat. De term werd vorig jaar voor het eerst gebruikt door consultingbedrijf Gartner in een van hun whitepapers. Het model zou netwerktoegang moeten stroomlijnen, beveiliging verbeteren en netwerkprestaties boosten. Dat alles terwijl IT-medewerkers met minder verschillende leveranciers en apparaten te maken krijgen dan voorheen. 

SASE is een netwerkarchitectuur die SD-WAN beveiliging samenvoegt in een clouddienst. Het resultaat belooft een simpele WAN-toepassing, betere efficiëntie en beveiliging en de juiste bandbreedte voor elke applicatie. 

Hoewel Gartner als eerste met de term kwam, merkt het bedrijf ook op dat we nog niet al te hard van stapel moeten lopen als het om SASE gaat.

Doordat het een clouddienst is, kan SASE gemakkelijk op- en afgeschaald worden. Dit maakt het een aantrekkelijke optie in een tijd waarin dingen snel veranderen. Hoewel Gartner als eerste met de term kwam, merkt het bedrijf ook op dat we nog niet al te hard van stapel moeten lopen als het om SASE gaat. De technologie is nog volop in ontwikkeling, waardoor nog niet alle functies goed en wel beschikbaar zijn. 

Wat is SASE nu precies?

Heel simpel gezegd, combineert SASE SD-WAN mogelijkheden met beveiliging en brengt het deze combinatie als een service. Het beveiligingsbeleid dat wordt gehandhaafd, is op maat gemaakt, gebaseerd op vier factoren:

  • De identiteit van de entiteit die verbindt
  • De context (gezondheid en gedrag van het apparaat, gevoeligheid van de middelen waartoe iemand toegang probeert te krijgen)
  • Het beveiligings- en compliance beleid
  • Een doorlopende beoordeling van risico gedurende elke sessie

Heel simpel gezegd, combineert SASE SD-WAN mogelijkheden met beveiliging en brengt deze combinatie als een service.

De WAN-kant van SASE is afhankelijk van de mogelijkheden die geleverd worden door SD-WAN providers, vervoerders, content delivery networks, network-as-a-service leveranciers, uitgevers van bandbreedte en verkopers van netwerkapparatuur. 

De beveiligingskant is afhankelijk van cloud access security brokers, veilige web gateways, zero-trust netwerktoegang, firewall-as-a-service, web-API-protection-as-a-service, DNS en externe browserisolatie. 

Volgens Gartner zou het ideaal zijn als al deze mogelijkheden worden aangeboden als SASE-dienst door een enkele instantie die alles samenvoegt. 

Wat zijn de voordelen van SASE?

Doordat SASE een enkele dienst is, zorgt het voor minder complexheid en kosten. Bedrijven krijgen te maken met minder leveranciers en ook de hoeveelheid hardware die nodig is in externe vestigingen vermindert. 

IT-beheerders kunnen een centraal beleid opstellen via cloud-based management platforms. Dit beleid wordt vervolgens gehandhaafd in verspreidde PoP’s dicht bij de eindgebruikers. De ervaring voor eindgebruikers blijft hetzelfde. 

Nog een voordeel is dat SASE het authenticatieproces eenvoudiger maakt. Dat komt doordat het de automatisch passende beleidslijnen toepast voor de middelen waar een gebruiker toegang toe zoekt. 

SASE zorgt voor een sterkere beveiliging, doordat beleidslijnen automatisch worden toegepast, ongeacht waar gebruikers zich bevinden. Wanneer er zich nieuwe dreigingen voordoen, beschermt de SASE-dienstverlener klanten hiertegen, zonder dat er nieuwe hardware nodig is. 

Met SASE zijn het niet de locatie en het IP-adres die gebruikers toegang geven tot een zero-trust netwerk, maar het apparaat en de specifieke applicaties. Meer verschillende soorten gebruikers (zoals medewerkers, partners en klanten) kunnen toegang krijgen, zonder het risico te lopen dat de beveiliging wordt aangetast. 

Al met al zorgt SASE ervoor dat IT-medewerkers minder klusjes hebben gerelateerd aan toepassingen, monitoren en onderhoud, waardoor ze meer tijd hebben voor taken op een hoger niveau. 

Welke uitdagingen brengt SASE met zich mee?

Hoewel Gartner SASE als iets veelbelovends ziet, zijn er zeker nog de nodige uitdagingen. Zo zouden vooral in het begin sommige diensten nog wat tekortkomingen hebben. Providers hebben ofwel een achtergrond in networking ofwel in security, maar nog niet in allebei. 

Een andere uitdaging is dat het SASE-aanbod van leveranciers mogelijk nog niet ontwikkeld worden met de gedachte cloud-native te worden, doordat leveranciers afhankelijk zijn van hun hardwareverkopen. Partijen die legacy hardware verkopen hebben mogelijk ook nog niet de nodige ervaring met in-line proxies die nodig is voor SASE. Dit kan zorgen voor problemen met kosten en prestaties. 

SASE providers hebben vaak ofwel een achtergrond in networking ofwel in security, maar nog niet in allebei.

Doordat SASE vrij ingewikkeld is, is het belangrijk dat leveranciers de verschillende functies goed met elkaar hebben geïntegreerd. Het mag niet zomaar aan elkaar geplakt zijn. Vooral in het begin kan het nog te duur zijn voor SASE-leveranciers om wereldwijd PoPs te bouwen. Dit kan zorgen voor ongelijke prestaties over verschillende locaties. 

Het overstappen naar SASE kan druk veroorzaken voor het personeel. Door naar een andere partij overstappen om SASE te gaan gebruiken, kan het zijn dat IT-medewerkers opnieuw moeten worden getraind om te leren omgaan met de nieuwe technologie.

Waarom zou je iets met SASE moeten doen?

Volgens Gartner worden tegenwoordig meer functies van traditionele datacenters buiten het datacenter van het bedrijf gehost dan erin. Steeds meer functies bevinden zich in de cloud van IaaS-aanbieders, SaaS-applicaties en in cloudopslag. De behoefte aan IoT en edge computing zal alleen nog maar zorgen voor meer afhankelijkheid van cloudbased middelen. Toch blijft de WAN-beveiliging architectuur afgestemd op on-premises enterprise datacenters. 

Externe gebruikers verbinden vaak via VPN’s en hebben op elke locatie of op elk individueel apparaat firewalls nodig. Met een traditioneel model moeten zij zich aanmelden bij een gezamenlijke beveiliging die dan toegang geeft en mogelijk ook het verkeer leidt via de centrale locatie. Deze legacy architectuur is uiterst complex en zorgt voor vertraging. We kunnen daarom stellen dat er zeker behoefte is aan een nieuwe oplossing. 

Met SASE kunnen gebruikers en apparaten zich aanmelden en veilige toegang krijgen tot alle middelen waartoe zij bevoegd zijn. Dit alles wordt beveiligd door een beveiliging die zich dicht bij hen bevindt. Nadat een gebruiker is geverifieerd, heeft hij meteen toegang tot de middelen en is er geen sprake van vertraging. 

Volgens Gartner analist Nat Smit is SASE meer een filosofie dan een checklist aan functies. Toch stelt hij dat de techniek in het algemeen bestaat uit vijf voornaamste technologieën: SD-WAN, firewall as a service (FWaaS), cloud access security broker (CASB), secure web gateway en zero-trust netwerktoegang. 

Hoe ziet de overstap naar SASE eruit?

Hoewel er dus wel degelijk behoefte is aan een oplossing als SASE, zijn we er nog niet. Voordat we massaal de overstap maken naar SASE, is het aannemelijker dat bedrijven eerst overgaan op een hybride aanpak. Bedrijven kunnen bijvoorbeeld traditionele netwerk- en beveiligingssystemen en reeds bestaande verbindingen tussen datacenters en branch officers gebruiken. Vervolgens kunnen ze SASE gebruiken om nieuwe verbindingen, apparaten, gebruikers en locaties in te voeren. 

SASE maakt het voor bedrijven mogelijk om sneller te reageren op interrupties of crisissituaties, waardoor de impact ervan minimaal is.

Het is belangrijk om je te realiseren dat SASE zeker niet alle netwerk en beveiligingsproblemen zal oplossen. Ook zal het niet alle toekomstige interrupties voorkomen. Wel maakt de technologie het voor bedrijven mogelijk om sneller te reageren op interrupties of crisissituaties, waardoor de impact minimaal is. Ook zal SASE organisaties beter in staat stellen om gebruik te maken van nieuwe technologieën, zoals edge computing, 5G en artificiële intelligentie.

Tip: Van SD-WAN naar SD-Branch: de volgende stap in netwerkvirtualisatie