BLOG – Nu bedrijven meer dan ooit afhankelijk zijn van cloud- en saas-toepassingen, en mensen letterlijk van overal werken, moet ook de security- en netwerkarchitectuur mee evolueren. Het is de afgelopen jaren zo snel gegaan dat het updaten van oude systemen niet meer volstaat. Om data en toepassingen te beschermen, is een ander framework nodig dat de securityperimeter vanuit de klassieke IT-omgeving naar de cloud verschuift: sase.
Sase, ofwel secure access service edge, is een omkadering van oplossingen en technologieën die transacties veilig en efficiënt laat verlopen. Het biedt een architectuur die meer schaalbaar is dan het aan elkaar knopen van firewalls die al vijftien jaar oud zijn. In de basis bestaat sase uit twee bouwstenen: wan edge services (sd-wan), software-gebaseerd netwerkbeheer; en security services edge (sse), de component binnen sase die zich specifiek op security richt.
Aan de ene kant voorzien die bouwstenen een consistent netwerk- en securitybeleid met inbegrip van context. Op die manier krijgen securityteams een bijzonder granulair inzicht in het profiel van gebruikers, het toestel en het netwerk dat ze gebruiken, maar ook in de acties die ze ondernemen en de data waarmee ze interageren. Aan de andere kant maakt sase dat gebruikers om het even waar en wanneer van een consistente gebruikservaring genieten.
Uiteindelijk moet dit de mogelijkheid bieden om een zero-trust-beleid af te dwingen, iets waar veel organisaties nog altijd meer worstelen omdat ze niet weten hoe ze dat securityconcept (never trust, always verify) in de praktijk kunnen brengen.
Gereedschap
Sase beperkt de risico’s en vereenvoudigt het beheer voor securityteams. Dat is ook nodig als je naar het hedendaagse securitygereedschap kijkt. Van een secure web gateway of een cloud access security broker, tot een next-gen firewall en een vpn; stuk voor stuk onderdelen die maar een fractie van je securitybeleid opvangen, maar die allemaal wel een eigen beheermodule hebben die je niet consistent kan overdragen naar andere componenten. Het risico op lekken is dus niet gering, vooral om het beheer van al die tools gewoon te complex is.
Het as-a-service-model biedt daarnaast de flexibiliteit waar organisaties naar op zoek zijn. Stel: je moet perimeterverdediging na een overname plots opschalen, omdat er dubbel zoveel verkeer doorstroomt… In veel gevallen dringt zich een nieuwe investering op, maar met een sase-platform is schalen geen probleem en is de continuïteit voor de business verzekerd.
Tot slot zorgt een sase-aanpak voor een ongeziene visibiliteit in je saas- en iaas-transacties. Het brengt datastromen in kaart die je nog niet kende. Wie met url-categorisatie werkt, geeft zonder het te beseffen toegang tot een heleboel applicaties en – erger – activiteiten binnen die applicaties. Die toegangen zijn schaduw-it-toepassingen die de business gebruikt, maar niet bekend zijn bij het it-beheer. Volledige visibiliteit is cruciaal om controle te krijgen en de risico’s te beperken. In het kader van NIS2 zullen veel organisaties hieraan moeten voldoen.
Oorzaak
Toch zijn er organisaties die niet voor een sase-architectuur kiezen. De voornaamste oorzaak is de impact van een transformatie op hun netwerkarchitectuur. Om die reden is begeleiding door de juiste partners erg belangrijk. Uiteindelijk zijn bedrijven wel vaker sceptisch geweest over transformaties. Denk aan de overgang van gecentraliseerde naar gedistribueerde computing. Ook virtualisatietechnieken waren niet overal meteen populair, maar vandaag zijn ze niet meer weg te denken. Misschien kan je over de adoptie van sase wel hetzelfde zeggen als over generatieve ai: wie het nu niet omarmt, zal straks worden voorbijgestreefd door bedrijven die wel op de kar springen.
Dankzij sase heeft it de mogelijkheid de business te beveiligen zonder de gebruikservaring af te remmen
We leven in een tijd waarin alles met alles wil connecteren. De opkomst van AI geeft dit nog een extra boost. Bovendien komt 50% van alle dreigingen uit de cloud, maar kunnen veel organisaties het belangrijkste verkeer van applicaties zoals Microsoft 365 niet inspecteren. Daardoor zit hun technologie vol blinde vlekken en is de data in het bedrijf dus onvoldoende afgeschermd. Een organisatie die haar cyberweerbaarheid wil verhogen, moet zich daarom focussen op data.
Securityteams mogen dus niet toestaan dat er data op onbetrouwbare of onbekende plaatsen liggen opgeslagen. Sase geeft hen inzicht in datastromen, terwijl het beheer eenvoudiger wordt en de gebruikservaring verbetert. Bovendien maakt sase je gebruikers meer bewust van de risico’s van hun activiteiten, zonder hen te beperken in hun mogelijkheden.
Sase is in geen geval een vervanger van een bestaande securityaanpak. Wel is het een onderdeel van een communicerend ecosysteem. Het moet ook naadloos integreren met tools die in gebruik zijn (siem, edr, iam, pam…). Met minder risico’s, complexiteit en kosten tot gevolg. Dankzij sase heeft it de mogelijkheid de business te beveiligen zonder de gebruikservaring af te remmen. Dat maakt het de architectuur van de toekomst.
Andy Quaeyhaegens is senior channel solutions engineer bij Netskope
