In augustus 2019 beschreef Gartner de transformatie in het hart van de beveiliging in een artikel met de titel “The Future of Network Security Is in the Cloud”. Hierin wordt uitgelegd, dat gebruikersbeveiligingsbehoeften niet langer worden gevonden in het datacenter, maar bij elke individuele gebruiker via hun endpoint.
Security-policy gebaseerd op cloud
Door de overstap naar werken op afstand moeten bedrijven meer dan ooit nadenken over het herinrichten van hun security. Ook de toename van datalekken en ransomware-incidenten is aanleiding voor een radicaal andere aanpak. De cloud moet integraal deel uitmaken van een nieuwe security-policy, waarbij het naar de cloud verplaatsen van bestaande, gecentraliseerde securityinfrastructuur niet effectief is. In dat geval immers, doe je niet meer dan het naar de cloud brengen van de bestaande on-premise lappendeken. De verandering leidt tot een nieuw paradigma, dat Gartner SASE (uitgesproken als “sassi”) of “Secure Access Service Edge” noemt.
Het kernwoord is ‘edge’. Zoals providers als KPN en Ziggo rekenkracht steeds dichter naar de gebruiker brengen, zo wordt bij SASE de gecombineerde kracht van security en networking naar lokale Points of Presence (PoP’s) gebracht. Die PoP’s zijn door middel van een private secure backbone met elkaar, met het publieke internet en met datacenters verbonden. Dit is mogelijk zonder dat een ‘groot’ traditioneel datacenter onderdeel uitmaakt van de backbone.
Minstens zo belangrijk is de tweede ‘S’ in het woord SASE, dat staat voor Service. SASE betreft een cloud native oplossing die als een service geleverd wordt.
De adoptie van SASE is door de COVID-19 pandemie aanzienlijk versneld
Hybride werken maakt SASE noodzakelijk
Hoewel SASE relatief nieuw is, heeft de COVID-19-pandemie, en vooral het thuiswerken dat ermee gepaard ging, de adoptie ervan aanzienlijk versneld. Dit, vanwege de dringende behoefte aan strategieën voor bedrijfscontinuïteit waarmee bedrijven het hoofd kunnen bieden aan de sterke toename van het aantal externe verbindingen. Nu het einde van de pandemie leidt tot verschillende vormen van hybride werken, is de noodzaak om serieus te kijken naar andere manieren van beveiligen alleen maar toegenomen.
SASE is een op de cloud gebaseerde aanpak die overal security biedt waar dit nodig is, of werknemers nu op kantoor zijn of thuis werken, in coworking ruimtes of lokale vestigingen. Of zelfs op publieke plekken zoals een café met public wifi. Hoewel traditionele, gecentraliseerde security-oplossingen goed werken voor specifieke locaties, zoals kantoren, is het daarmee moeilijk om ook medewerkers buiten de kantooromgeving te beschermen. Daardoor kunnen deze oplossingen ook niet zomaar naar de cloud worden verplaatst. Voor een gecentraliseerde benadering via de cloud waar al het dataverkeer doorheen moet, gelden veel van de beperkingen van on-premises security.
SASE zorgt er echter voor dat apparaten en netwerken overal beveiligd worden en biedt overal hetzelfde securityniveau, ongeacht de locatie waar de medewerker zich bevindt of het apparaat dat hij gebruikt.
SASE zorgt ervoor dat apparaten en netwerken overal beveiligd worden en biedt overal hetzelfde securityniveau
Minder complexiteit
SASE is een volledig geïntegreerde oplossing die meerdere securityprocessen consolideert en zo zorgt voor minder complexiteit. Het reduceert de eerdergenoemde lappendeken. Het gebruik van minder securityoplossingen betekent lagere kosten: een ander belangrijk voordeel van SASE. Het gaat ook verder dan de traditionele VPN-oplossingen die veel organisaties nog gebruiken om externe werknemers toegang tot het bedrijfsnetwerk te bieden. SASE is betrouwbaarder en gebruiksvriendelijker dan dit soort legacy-systemen.
Wie toegang heeft tot internet kan een Point of Presence in principe bereiken. In de praktijk maakt de gebruiker via een veilige tunnel verbinding met de PoP die zich het dichtst bij zijn locatie bevindt. Dat gaat automatisch en kan op verschillende manieren. In een kantooromgeving zal het bijvoorbeeld een klein SD-WAN-device zijn dat de verbinding vormt tussen het bedrijfsnetwerk, via de last mile tussen PoP en de bedrijfslocatie. Wie mobiel of vanuit huis werkt kan een VPN-client gebruiken voor de verbinding met de PoP. Doordat de PoP’s met elkaar zijn verbonden ontstaat een uniform, centraal te beheren cloudnetwerk dat wereldwijd beschikbaar is. En waarvan elk onderdeel in dezelfde ‘taal’ met elkaar communiceert.
Security moet overal worden ingericht, beheerd en gecontroleerd worden vanuit de cloud. En aangezien externe medewerkers SaaS-applicaties zoals Office 365 gebruiken en gevoelige gegevens in de cloud verwerken, is het daarbij essentieel dat bedrijven een oplossing kiezen die een veilige toegang tot services en applicaties garandeert. Gartner had in 2019 echter nog niet kunnen vermoeden hoe snel een oplossing als SASE noodzakelijk zou worden.
[Dit artikel is eerder gepubliceerd in Datacenter Cloud Dossier 2022]