Ooit brachten organisaties hun gegevens en applicaties onder in een centraal datacenter en vertrouwden ze op een ‘hub-and-spoke’-architectuur waarbij andere kantoorgebouwen waren verbonden met het centrale kantoor (datacenter). Tegenwoordig gaat het zakelijke verkeer via internet – en is het gedaan met de perimeter. Bedrijven hosten hun data en bedrijfsapplicaties in de cloud en gebruikers zijn steeds mobieler.
Internet heeft gevestigde industrieën en bedrijfsmodellen omver geworpen. De manier waarop wij leven en werken is daardoor fundamenteel veranderd. Ook de cloud heeft een golf van disruptie in gang gezet. Deze zorgt er samen met de snelle toename van het aantal mobiele devices voor dat traditionele best practices voor netwerken en beveiliging inmiddels zijn verouderd.
Steeds meer bedrijven omarmen initiatieven rondom digitale transformatie. Zij worden gedreven door de groeiende vraag naar flexibele toegang tot data en applicaties. McKinsey verwacht dat tegen 2020 cloud-gerelateerde uitgaven zes keer sneller groeien dan de algemene it-uitgaven. De opkomst van cloud computing als een rendabele en praktische manier om apps, servers, desktops en andere kerncomponenten van de it te leveren, heeft de potentie om alles binnen organisaties ten goede te veranderen. Dit vereist echter een andere inrichting van de netwerkarchitectuur.
Traditioneel gezien sloegen organisaties hun gegevens en applicaties op in een centraal datacenter, waarbij ook het meeste gebruikersverkeer bestemd was voor dat ene datacenter. Organisaties vertrouwden op een ‘hub-and-spoke’-architectuur waarbij andere kantoorgebouwen waren verbonden met het centrale kantoor (datacenter). Al het netwerkverkeer stroomde dan naar en vervolgens weer uit dat centrale kantoor. Tegenwoordig gaat het grootste deel van het zakelijke verkeer via internet. Bedrijven hosten hun data en bedrijfsapplicaties in de cloud en gebruikers zijn steeds mobieler. Het zou helemaal niet efficiënt zijn om al het netwerkverkeer eerst naar een centraal kantoor te leiden, het vervolgens door te sturen naar de cloud, om het uiteindelijk weer terug te laten keren naar de diverse kantoren en mobiele devices.
Netwerken: een korte geschiedenis
In de jaren negentig waren kantoorvestigingen (‘spokes’) via speciale aansluitingen zoals frame relay-circuits verbonden met het centrale kantoor (de ‘hub’). Met het frame relay-model had een externe vestiging geen mogelijkheden om netwerken buiten die van het centrale kantoor te bereiken. Deze aanpak gaf het centrale kantoor volledige controle over het monitoren, beveiligen en beheren van verkeer. Aan de andere kant beperkte frame relay de afstand die tussen een remote kantoor en het hoofdkantoor kon liggen – wat een aanzienlijke vertraging in de communicatie in de hand werkte.
Het zorgde ook voor een single point of failure. Dit houdt in dat wanneer de verbinding tussen hub en spoke verbroken werd, de externe vestiging nergens meer toegang tot had. De kosten voor het implementeren en onderhouden van deze infrastructuur waren aanzienlijk. Vanwege de kosten van dit model, het risico van een single point of failure en de ontwikkeling van nieuwe technologieën, zijn directe point-to-point-verbindingen (zoals frame-relays) inmiddels in de meeste organisaties vervangen.
Met de komst van internet en openbare netwerken maakte het frame relay-model plaats voor multiprotocol label switching (mpls). Mpls maakte ‘slimmer’ netwerkbeheer mogelijk en gaf remote-kantoren de mogelijkheid met anderen (buiten het hoofdkantoor) te communiceren. Mpls was in te zetten om point-to-point-connectiviteit te leveren over verschillende soorten netwerken. Het was flexibeler, redundanter en beter schaalbaar dan single point-to-point-protocollen.
Hoewel mpls voordelen bood, was het niet goedkoper dan enkel frame-relay, atm of andere protocollen die destijds werden gebruikt. Maar misschien nog wel belangrijker: het vermogen van externe vestigingen om zonder routing naar het hoofdkantoor te communiceren, bracht nieuwe problemen met zich mee vanwege een gebrek aan controle. Het werd een stuk ingewikkelder om alle kantoren en gebruikers te verzekeren van beveiliging en naleving van het bedrijfsbeleid.
Een andere innovatie voor het kunnen verbinden van remote-kantoren was vpn-technologie. Met ip-sec-vpn hadden externe kantoren directe internettoegang. Indien nodig kon het ook via ‘tunnel’ een versleutelde point-to-point-verbinding met het hoofdkantoor opzetten. VPN was minder duur en een stuk minder ingewikkeld dan mpls. Het bood echter wel uitdagingen voor quality-of-service en vereiste meer pk’s van het netwerk. Bovendien gaf het, net als bij mpls, externe kantoren de mogelijkheid om verbinding te maken met de buitenwereld zonder routing naar het hoofdkantoor. Dit had opnieuw security- en overzichtsproblemen als gevolg.
Hub-and-spoke-model werkt niet meer
Nu externe kantoren steeds verder weg staan en steeds meer werknemers mobiele apparaten gebruiken om toegang te krijgen tot bedrijfsgegevens van buiten het kantoor, is backhauling van verkeer naar het hoofdkantoor via mpls, vpn of directe connectiviteit te omslachtig en duur geworden. Latency is een groot obstakel in de zakenwereld. Bovendien moedigt een slechte gebruikerservaring werknemers juist aan om bedrijfsprocedures te omzeilen.
Aangezien mobility- en cloud-technologieën de norm worden, moet de netwerkarchitectuur gebruikers die op afstand en op mobiele devices werken, effectief ondersteunen zonder in te leveren op prestaties of security. De snelle transitie heeft cio’s en ciso’s de weinig benijdenswaardige taak gegeven om hun organisatie alle nieuwe mogelijkheden te laten omarmen en kostenverlaging door te voeren – met behoud van strikte controle over de security. Als gevolg hiervan zien we dat het traditionele hub-and-spoke-model plaatsmaakt voor een direct-to-cloud-benadering. Dit geeft gebruikers, op elk moment en via alle apparaten, vanaf elke locatie toegang tot internet en cloud-applicaties – terwijl security en naleving van het organisatiebeleid wordt gegarandeerd. It-beheerders hebben zo volledig inzicht en controle over het dataverkeer.
Netwerken zijn ontworpen om gebruikers te verbinden met applicaties in het datacenter. Er werden vervolgens perimeters rondom die netwerken gebouwd om gebruikers en apps tegen de buitenwereld te beveiligen. Maar met applicaties die naar de cloud gaan (zoals Office 365) en gebruikers die vanaf verschillende locaties verbinding maken, is het allang gedaan met de perimeter. Het is daarom tijd om security los te koppelen van het netwerk en beleid toe te passen dat altijd en overal van kracht is, ongeacht waar de apps en gebruikers zich bevinden. Simpel gezegd: als applicaties naar de cloud gaan, moet de beveiliging daar ook naartoe. Internet is het nieuwe bedrijfsnetwerk geworden. En als je dat netwerk niet bezit én niet kunt beheren, hoe kun je het dan beveiligen? Security in de cloud is dan de enige optie.
