Security service edge (sse) is de evolutie van het sase-framework van Gartner. Door de letter ‘A’ (voor ’access) te verwijderen, wordt duidelijk dat het netwerk niet langer wordt beschouwd als onderdeel van een beveiligingsoplossing. Het is slechts het mechanisme dat de datastromen naar het security- en controleplatform transporteert.
Hiermee wordt erkend dat beveiliging een rol moet spelen, ongeacht de netwerkcomponent, om toekomstgerichte opkomende applicatiescenario’s op het gebied van de cloud, edge computing, iot, operationele technologie (ot) of 5G te kunnen dekken.
Sse-oplossingen zijn ontworpen om de fundamentele beveiligingsuitdagingen aan te pakken waarmee organisaties worden geconfronteerd in deze tijd van hybride werken, multi-cloud-omgevingen, edge computing en digitalisering van ot. Naarmate organisaties software en infrastructure-as-a-service (saas, iaas)-aanbiedingen adopteren, worden hun gegevens en applicaties in toenemende mate gedistribueerd buiten on-premises datacenters. Bovendien zijn steeds meer gebruikers mobiel en maken ze overal verbinding met hun cloud-apps en -gegevens.
Verankerd
Het beveiligen van cloud-apps en mobiele gebruikers wordt steeds moeilijker met traditionele netwerkbeveiligingsbenaderingen, omdat legacy-technologieën zijn verankerd in het datacenter en het pad van gebruiker, apparaat of workload naar service complex maken. Traditionele datacenter-beveiligingstacks zijn complexe, moeilijk te integreren verzamelingen van point-solutions geworden. Ze vergroten de kloof in een cloudgebaseerde wereld en daarmee het risico op geavanceerde dreigingen of ransomwareaanvallen.
Benaderingen op basis van Gartners sse-framework zorgen ervoor dat cyberbeveiliging is in te zetten zonder gebonden te zijn aan een netwerk. Beveiliging wordt idealiter geleverd via de cloud, die de gebruiker-naar-app-verbinding kan volgen, ongeacht de locatie. Door alle beveiligingsdiensten op een consistente manier aan te bieden, verkleint u het risico op aanvalsoppervlakken. Via een sse-model profiteert de it-afdeling van inzicht in alle datastromen. Met behulp van een cloudgebaseerde aanpak worden beveiligingsupdates automatisch uitgevoerd voor alle gebruikers zonder de vertraging door handmatig it-beheer.
Juiste oplossing
Maar er zijn veel verschillende oplossingen op basis van de sse-aanpak. Onderstaande punten laten de belangrijkste overwegingen zien bij het selecteren van de juiste sse-oplossing.
- Wereldwijde beschikbaarheid en veerkracht
Wanneer bedrijven hun volledige beveiligingsinfrastructuur uitbesteden aan een cloudprovider hebben ze een wereldwijd beschikbare, fail-safe en schaalbare oplossing nodig. Factoren van aantoonbare veerkracht dienen daarom een rol te spelen bij de keuze. Service level agreements (sla’s) dragen hieraan bij en geven de klant informatie over gegarandeerde service zoals stabiliteit en beschikbaarheid. Zo zorgt de aanbieder ervoor dat hij het dataverkeer van zijn klanten op grote schaal en met de vereiste performance op mondiaal niveau kan beveiligen en dat beveiliging geen bottleneck wordt.
- Beveiliging gebaseerd op zero-trust
Zero-trust is de sleutel tot het leveren van de juiste sse-functionaliteit voor elke service. Een van de belangrijkste overwegingen bij het identificeren van een geschikte oplossing zou moeten zijn of zero-trust wordt aangeboden voor de inspectie van al het verkeer. Met een zero-trust-mechanisme wordt elke persoon en elk apparaat afzonderlijk behandeld en krijgt deze alleen toegang voor wat geautoriseerd is.
De sse-oplossing moet de toegang reguleren op basis van het least privilege-principe, dat elke individuele gebruiker of elk apparaat toegang geeft tot applicaties op basis van hun toegangsrechten. Deze microsegmentatie voorkomt de laterale verspreiding van aanvallen in de it-omgeving. Omdat applicaties en services op deze manier niet langer worden blootgesteld aan internet, wordt de attack-service van cybercriminelen verkleind en wordt het bedrijfsrisico geminimaliseerd.
- Schaalbare en uitgebreide tls-inspectie
Het onderzoeken van al het verkeer op schadelijke code, vormt de basis voor verdere beveiligingsfunctionaliteit van een sse-aanpak. Bedrijven dienen wederom belang te hechten aan de performance van de oplossing zodat de securityscan niet de bottleneck wordt voor het dataverkeer. Een proxy-service regelt het verkeer in alle richtingen inline en in realtime. Door de locatie in de cloud kan een volledige transport layer security (tls)-controle worden uitgevoerd en kunnen ongecontroleerde data niet passeren. Dit resulteert in een hoger beveiligingsniveau dan conventionele passthrough-firewalls. Er moet een sse-platform worden gekozen dat tls/ssl-inspectie op wereldwijde schaal kan bieden.
Deze inline-check vereist niet alleen geavanceerde bescherming tegen dreigingen, maar vormt ook de basis voor andere beveiligingsfuncties, zoals preventie van gegevensverlies. Door de belangrijkste technologieën voor gegevensbescherming te verenigen, biedt een sse-platform beter inzicht en meer eenvoud over alle data channels. Cloud-dlp maakt het gemakkelijk om gevoelige gegevens (inclusief persoonlijke gegevens of intellectueel eigendom) te vinden, te classificeren en te beveiligen.
- Flexibiliteit voor toekomstige applicatiescenario’s
Sse-oplossingen die de ‘one-size-fits-all’-benadering volgen, moeten worden vermeden, omdat dit bedrijven de mogelijkheid ontneemt om het sse-model uit te breiden naar veelbelovende applicatiescenario’s. Met opkomende trends op het gebied van edge computing en 5G speelt de mogelijkheid om applicaties en de communicatie van datastromen te monitoren een belangrijke rol.
Bedrijven willen de beveiligingsfuncties inzetten op plekken die niet altijd in de buurt van internet zijn. Met de beschikbaarheid van 5G zullen er applicaties ontstaan die hun data verzamelen via sensoren aan de edge. Overeenkomstig moet de sse-aanpak onafhankelijk van het netwerk functioneren en de edge computing-functionaliteit ondersteunen die al zijn weg vindt naar operationele technologie of iot-omgevingen. Bedrijven moeten daarom antwoorden krijgen op de universele toepasbaarheid van beveiliging, rekening houdend met toekomstige applicatiescenario’s.
- Focus op gebruikerservaring
Op het gebied van beveiliging moet de gebruikerservaring van beveiligingsoplossingen altijd centraal staan om brede acceptatie te bereiken. Idealiter merkt de gebruiker niets van de beveiligingsoplossing die zijn/haar datastromen beveiligt, zodat hij niet gehinderd wordt in zijn werk of handmatig moet ingrijpen, zoals bij een vpn-oplossing het geval is.
Gebruiksgemak betekent ervoor zorgen dat de gebruiker een naadloze ervaring heeft bij het gebruik van de sse-oplossing. De beveiligingsdienst opereert onzichtbaar op de achtergrond zonder dat de eindgebruiker weet hoe deze wordt beveiligd. Als het beleid niet voldoet aan de eisen van de gebruiker, kunnen deze door de it-afdeling worden aangepast. Integratie met partners kan ook de gebruiksvriendelijkheid verbeteren, bijvoorbeeld door digitale ervaring te monitoren op basis van datastromen met collaboration-tools zoals Microsoft Teams of Zoom videoconferencing, zodat knelpunten snel worden opgelost.
- Integratie met een partner ecosysteem
Het ecosysteem van samenwerkingsverbanden met derden is een belangrijk punt bij de keuze voor een sse-oplossing. Geen enkele provider in het securitylandschap is zo goed dat hij zonder technologiepartners kan die bijvoorbeeld zorgen voor cloud-integratie, AWS/Azure of endpoint-detectie en sd-wan. Partner-integraties moeten plaatsvinden in een robuust, api-gestuurd best-of-breed ecosysteem, waar partners hun kennis en ervaring op specifieke gebieden inbrengen. Zo stuurt de sd-wan-partner het dataverkeer door naar het beveiligingsplatform en is hij verantwoordelijk voor de verbinding in het traditionele sase-framework.
- Geen sse-aankoop zonder uitgebreid testen
Elke organisatie die een sse-service wil testen, moet deze onderwerpen aan een uitgebreide proof of concept in de productieomgeving. Een dergelijk concept met een beperkt aantal gebruikers of locaties geeft geen inzicht in de performance van het totale systeem. Het verdoezelt ook eventuele beperkingen of beperkingen die anders alleen in het spel kunnen komen tijdens de implementatie in de backend. Een test van het tls-onderzoek is een bijzonder belangrijk proces dat de prestaties van het systeem onthult. Het beheer van de dienst moet relatief eenvoudig zijn voor de it-afdeling op een centrale gebruikersinterface. Het wordt aanbevolen om een controlelijst voor prestaties en schaalbaarheid te bekijken om de volledige benadering van sse te beoordelen.
Vertrouwen
Degenen die deze zeven factoren in overweging nemen bij het kiezen van een sse-oplossing, zijn zeker dat ze vertrouwen op een toekomstbestendige en draagbare aanpak die de vereisten van een cloud-first-werkomgeving ondersteunen.