Bedrijven hebben steeds meer behoefte aan een flexibele it-infrastructuur die snel kan inspelen op veranderende omstandigheden. Een dergelijke oplossing is alleen toekomstbestendig als het ook inherent veilig is. Sase, de secure access service edge, heeft het allemaal.
De term sase (zeg: sassy) is in 2019 bedacht door Gartner om aan te geven dat de overgang naar cloud en software defined networking (sd-wan) vraagt om een nieuw securitymodel. Een model waarin security- en netwerkoplossingen geïntegreerd zijn: niet geconcentreerd in het datacenter, maar juist direct beschikbaar aan de ‘edge’ – zo dicht mogelijk bij die plaatsen waar de behoefte het grootst is.
Sd-wan
Sd-wan is voor de meeste netwerkspecialisten niets nieuws meer. Door netwerksoftware los te trekken van dedicated hardware, ontstaat veel meer flexibiliteit en wordt management en beheer vele malen eenvoudiger. Daardoor kunnen bestaande bedrijfsnetwerken veel efficiënter worden benut. Sd-wan is vooral aantrekkelijk in hybride situaties waar cloud services en legacy-applicaties gezamenlijk functioneren.
Een van de voordelen van sd-wan is dat het controle en inzicht geeft. Dat is met name belangrijk nu bedrijfsnetwerken uit steeds meer verschillende (oude en nieuwe) technologieën bestaan, maar ook omdat de gehele it-infrastructuur van organisaties steeds complexer wordt. De behoefte om dat geheel te optimaliseren stijgt navenant, en software defined secure networking services maken dat mogelijk.
Integratie van cruciale netwerkoplossingen
Sd-wan is bezig met een stevige opmars, maar heeft oude netwerkoplossingen nog lang niet verdrongen. Toch weerhoudt dat experts er niet van alvast vooruit te blikken. Een van hun voornaamste aandachtspunten is security.
Van zichzelf wordt sd-wan al vaak met security geassocieerd. De aard van de technologie maakt het eenvoudiger securityoplossingen zoals encryptie in het wan te integreren. Maar dat is niet voldoende. In moderne hybride netwerken, waar gebruikers niet meer aan kantoor zijn gebonden, moet toegang overal beschikbaar zijn en verschuiven opslag en rekenkracht steeds meer naar de rand van het netwerk (de ‘edge’). Daarom is het zo belangrijk netwerk- en beveiligingsfuncties en sd-wan van begin af aan met elkaar te verbinden.
Het idee achter sase is een brede reeks functies te integreren, bij voorkeur als service vanuit de cloud. Denk daarbij aan firewalls, secure web gateways (swg), cloud access security brokers (casb), zero trust network access (ztna) en secure ddi (dvs, dhcp, ipam). In feite is sase een vorm van sd-wan, maar dan met ingebakken security features die het netwerk van de ‘edge’ tot het datacenter beschermen.
De grote winst van zo’n geïntegreerd model is niet alleen dat op deze manier overal in het netwerk optimale beveiliging gegarandeerd kan worden. Het karakter van het sase-model zorgt er bovendien voor dat de impact van die beveiligingsmaatregelen sterk gereduceerd wordt. In de huidige netwerken worden talloze tools van diverse leveranciers op en naast elkaar gebruikt, wat steeds vaker leidt tot vertragingen, compatibiliteitsproblemen en een complexiteit die het beheer ingewikkeld en tijdrovend maakt. De negatieve gevolgen voor de netwerkprestaties en de veiligheid worden steeds sterker voelbaar. Het sase-model moet een groot deel van die problematiek wegnemen.
Cloud is cruciaal
De cloudcomponent is daarin cruciaal. Sd-wan maakt nu veelal gebruik van virtual network functions (vnf): gevirtualiseerde varianten op klassieke netwerkcomponenten zoals routers en firewalls. Dat is een stap vooruit, maar heeft ook nog steeds nadelen. De belangrijkste is dat netwerkverkeer een voor een al die virtuele machines langs moet. Dat kan een stuk sneller door die functionaliteiten in containers te verwerken, waarmee het veel eenvoudiger wordt alle beleidsregels in één keer toe te passen. Dergelijke containergebaseerde cloud native functions (cnf) zijn een goed voorbeeld van wat sase moet bereiken: essentiële netwerkfunctionaliteit inclusief security, maar dan veel sneller en efficiënter.
Vooralsnog is sase nog volop in ontwikkeling. Gartner verwacht dat 40 procent van de ondernemingen in 2024 een duidelijke sase-strategie heeft ontwikkeld. Toch doet iedereen die nu bezig is met sd-wan er nu al goed aan zich in de basisgedachten achter sase te verdiepen.
Zoals dat met veel hypes gaat, gaan allerlei leveranciers aan de haal met de term en geven er een eigen draai aan. Maar het is niet voldoende een sase-sticker op een sd-wan met security features te plakken. Leveranciers die bijvoorbeeld geen containerized security services uit de cloud kunnen leveren, maken weinig kans om op termijn de voordelen van sase te realiseren. De juiste combinatie van sd-wan, cloud en security is altijd gericht op optimale flexibiliteit en fundamentele veiligheid tegen maximale prestaties.
Martin van Son, networking, security en automation consultant bij Infoblox