Onze manier van werken is de laatste jaren sterk veranderd, net als de technologie die we gebruiken. Het betekent ook dat traditionele infrastructuur voor het beveiligen van data en applicaties niet meer voldoet. De oplossing voor een moderne it-omgeving is sase, ofwel secure access service edge. Wat houdt sase in en waarom moet het hoog op de agenda van elk bedrijf staan?
De behoefte voor sase werd pijnlijk duidelijk in 2020, toen we plots massaal van thuis moesten werken en bedrijven genoodzaakt waren om in sneltempo aanpassingen aan hun infrastructuur door te voeren. Intussen is duidelijk dat dit op lange termijn niet schaalbaar is. Steeds meer organisaties zullen daarom stappen zetten om het sase-framework te implementeren. Gartner, dat het concept als eerste beschreef en benoemde, verwacht in 2023 bijna veertig procent meer investeringen in sase in vergelijking met vorig jaar.
Tafel in een restaurant
Eigenlijk begon de evolutie al zo’n tien jaar geleden toen de eerste cloudapplicaties hun opwachting maakten. De vroegste toepassingen gaven ons bijvoorbeeld de mogelijkheid om online een tafel in een restaurant te reserveren. Vandaag zijn cloudapplicaties verantwoordelijk voor zowat negentig procent van al het internetverkeer. Door die ontwikkeling en het feit dat applicaties veel data uitwisselen, hebben we een framework nodig dat organisaties de tools biedt om terug controle te krijgen over die verkeersstromen.
In een klassieke it-omgeving werkten bedrijven met een perimeter die ze rond hun applicatieservers bouwden. Gebruikers moesten elke keer langs de firewall passeren voor ze toegang kregen tot de data en de toepassingen die ze nodig hadden. Vandaag zitten de meeste applicaties in de cloud. Om de beste gebruikerservaring te bieden tijdens de interactie met cloud-applicaties, moet de perimeter zo dicht mogelijk bij die applicaties zelf staan. Het framework van alle securitycomponenten die hiervoor mee naar de cloud moeten verhuizen, is wat we sase noemen.
Het ultieme doel van sase is elke gebruiker overal op een snelle en veilige manier toegang te geven tot data en applicaties. En dat zonder dat de organisatie voortdurend in extra resources moet investeren. Door de data en applicaties in de cloud zelf te beveiligen, hoeven we niks af te schermen en genieten alle gebruikers altijd van een optimale ervaring.
Implementatie
In de meeste organisaties is sase geen onbekende term meer, maar de meerderheid van de markt moet wel nog z’n eerste stappen in de richting van zo’n model zetten. De grootste moeilijkheid voor bedrijven zit in de implementatie. Ze weten niet hoe ze eraan moeten beginnen of wat ze moeten doen om hun huidige omgeving naar een sase-model te transformeren. Businessprocessen zijn vaak zodanig geënt op de bestaande infrastructuur dat ze bang zijn voor ingrijpende aanpassingen. En dat terwijl sase net voor een aanzienlijke vereenvoudiging zal zorgen.
Sase bestaat uit verschillende componenten, maar de kern van het concept is overal hetzelfde. Het komt erop neer dat de gebruikte technologie niet louter de toegang tot de applicatie regelt, maar ook de context van elke transactie moet kunnen begrijpen. Anders gesteld: je moet op elk ogenblik in een transactie kunnen beslissen of deze al dan niet nog kan worden toegelaten, en de gebruiker laten weten waarom je de transactie wel of niet tegenhoudt. Of de gebruiker de mogelijkheid bieden om extra argumentatie te vragen.
Overal waar connectiviteit een centrale rol speelt, heeft een sase-model potentieel. Maar het spreekt voor zich dat veel bedrijven het concept op een andere manier invullen. Terwijl identiteit en gevoelige informatie bijvoorbeeld een sleutelrol spelen om transacties in een bank te valideren, werken andere industrieën met iot-systemen waarbij geen interactieve gebruiker is aangemeld en de identiteit op een andere manier moet worden geëvalueerd. Daarnaast moeten we ook zeker zijn dat die iot enkel communiceert met hetgeen het hoort te communiceren.
Hoewel de aanpak in beide organisaties grondig verschilt en andere technologieën nodig zijn, zullen ze uiteindelijk wel allemaal evolueren naar een gelijkaardig sase-framework waarin elke transactie continu op vertrouwen moet worden beoordeeld.
Ultieme visibiliteit
De voordelen van sase zijn duidelijk. Het biedt bedrijven de schaalbaarheid die ze nodig hebben in het kader van connectiviteit. Als de securitystack er staat en het beleid vanuit één centraal punt beheerd wordt, hoeven ze geen extra infrastructuur aan te schaffen. Daarnaast zorgt deze manier van werken voor een eenvoudiger beheer van de it-omgeving en krijg je ultieme visibiliteit in de transacties die in een applicatie gebeuren, ongeacht de locatie van de gebruiker en het device dat gebruikt wordt.
Bedrijven die moeite hebben om de transitie naar een sase-model in te zetten, kunnen zich hiervoor zeker laten bijstaan. Een gespecialiseerde partner kan helpen om het beleid op een naadloze manier over te hevelen en fricties bij het uitrollen van het sase-framework tot een minimum te beperken.
Afsluiten doen we met nog een laatste voorspelling van Gartner: een derde van de bedrijven zal tegen 2025 opteren voor een single vendor-aanpak bij de implementatie van sase. In plaats van voor de diverse securitycomponenten met verschillende vendoren samen te werken, kiezen ze dus voor één vendor voor hun volledige platform.
Lang leve wikipedia want de term SASE schijnt de gebruikelijke marketing van Gartner te zijn waardoor behoefte hieraan me opeens veel minder relevant lijkt. Want Forrester heeft het over Zero Trust Edge (ZTE) terwijl anderen soortgelijke oplossingen hebben met andere namen. Want wat betreft elke gebruiker overal op een snelle en veilige manier toegang te geven tot data en applicatie gaat niet alleen om de cloud, alles behalve zelfs nu het steeds meer de andere kant op beweegt door een verlies aan vertrouwen in cloudproviders.
Show me the money zal de komende jaren fors geïnvesteerd worden in beveiliging, te goed van vertrouwen geldt dit niet alleen techniek want om controle terug te krijgen op alle verkeersstromen zal eerst naar de business processen gekeken moeten worden. En hierin spelen nog wat maatschappelijke aspecten doordat we in Europa niet zo houden van Big Brother, het vertrouwen van de waard aangaande de gasten is dan ook meer juridisch van aard dan technisch. Want het kan wel maar het mag niet hebben we strikte privacy regels.
SASE is soort ZTE++ ? Wie begrijpt het nog.
Tja, dat pleidooi van Henri Koppen al 10 jaar trug dat het slecht idee is om zaken zelf te beheren als anderen er beter in zijn wordt lastig als het vertrouwen ontbreekt. Aan wie of wat wil je uitbesteden ? De protocollen snappen we niet maar de experts vertrouwen we niet. Zo krijgt zero trust ook een filosofisch aspect. Gartner, Forrester, GCS, AWS, Azure en dan die cloudbrokers.. Wie o wat o wie.
Explainable security misschien 😉 ? Met influencers die we kunnen volgen. Vroeger was het beter, toen een wit pak en een bril voldoende vertrouwen bood.
Wel mooi hoor dat zero trust. Zoveel mogelijk microservices bouwen die overal vanaf allerlei opensource protocollen benaderbaar moeten zijn (de-perimeterisation, mooi woord he) met gedefinieerde publieke APIs, maar wel weer Principle of least privilege en “need to know” principle en zelfsturende teams met t-shapes en dienend leiderschap en devsecops en wie weet wat nog meer.
En nu zelfs het vertrouwen in de politiek afneemt. Ik zie een paar tegenstrijdigheden en uitdagingen.
Vertrouwen is goed, controle is beter. Welke boodschap geef je daar nou mee af ? Mijn huisarts en de lieverds in de zorg die mijn demente moeder verzorgen hebben het maar wat druk met gecontroleerd worden.
Wellicht biedt de wijsbegeerte hier antwoorden maar de computable filosoof is boos.
Misschien dat een link helpt: https://www.microsoft.com/nl-nl/security/business/security-101/what-is-sase
Aangaande een implementatie, van eerste stapjes tot volwassenheid lijkt SASE net als SOA. Niks geen magische toverstokjes want wat betreft het principle of least privilege gaat security by design om een privacy regulering. Daarin moeten we de logfiles niet vergeten als het om controle gaat zoals de pijnlijke les bij de GGD leerde. Nu is er een grote kans dat logfiles tot op persoon herleidbare gegevens bevatten terwijl er nogal wat onduidelijkheid is over wie de zeggenschap hierover heeft bij een cloud oplossing.
De juridische kant is voor technici saai maar niet onbelangrijk want inzage in een PGO, zeker bij iemand die wilsonbekwaam is, gaat meer om de regie dan de controle. Want artikel 11 van de grondwet heeft het over recht op onaantastbaarheid van zijn/haar lichaam, behoudens bij of krachtens de wet te stellen beperkingen. Voorkomen is beter dan genezen zorgde het vraagstuk van wel of geen vaccinatieplicht voor nogal wat polarisatie met een minister die precies wist waar alle ongevaccineerden woonden maar die niet weet waar al die miljarden aan besteed zijn.
Uitleg is dus een mooie want de marketing van Gartner gaat vooral om een ‘show me the money’ aangaande investeringen welke uiteindelijk wel doelmatig en rechtmatig moeten zijn. Het kan wel maar het mag niet kun je SASE tenslotte ook misbruiken voor een profilering van gebruikers want wantrouwen als uitgangspunt gaat om de omgekeerde bewijslast met een hoog Kafka gehalte. Als de slager zijn eigen vlees gaat keuren in het tegenhouden van een transactie dan mist daarop de controle.