Door de digitale transformatie breiden netwerken zich tot ver buiten hun traditionele grenzen uit. Tegenwoordig zijn er verbindingen nodig van en naar diverse, voortdurend veranderende locaties. Dit vergroot het ‘risico-gebied’ ten aanzien van interne en externe bedreigingen voor applicaties en data. Beveiliging zou daarom leidend moeten zijn in elk netwerkontwerp. Dat is het uitgangspunt van een Secure Access Service Edge (SASE)-platform.
Een SASE-platform combineert de twee vereisten voor een gedistribueerd netwerk: verbinding en beveiliging, vertelt Tom. “Software Defined Wide Area Networking (SD-WAN) is het hart van een SASE-platform. SD-WAN herkent automatisch wat de beste route is om applicaties optimaal te laten functioneren, of deze nu via MPLS-, 4G/5G-, of internetverbindingen verlopen. Dat geeft organisaties de gewenste snelheid, schaalbaarheid en flexibiliteit in de verbindingen tussen gebruikers, processen, apparaten of applicaties en het netwerk, ongeacht waar zij zich bevinden.”
‘Het momentum van SASE bevestigt wat we al jaren doen’
Een kritische succesfactor van SD-WAN en cloud connectiviteit is de volledig geïntegreerde beveiliging. “Met de Forti Gate next-generation firewall, die voorziet in intrusion prevention, web filtering, secure sockets layer (SSL)-inspectie en anti-malware, biedt Fortinet een Secure SD WAN”, aldus Tom.
Puzzelstukjes
Voor Fortinet is het principe van een SASE-platform dus niets nieuws? Tom: “Het momentum van SASE bevestigt wat we al jaren doen. Om van onze Secure SD-WAN-oplossing een volwaardige SASE-oplossing te maken, moesten we echter twee ontbrekende puzzelstukjes toevoegen. Die hebben we verkregen dankzij de overname van OPAQ Networks. Zodoende voegen we nieuwe gebruiksmodellen toe aan ons Security Fabric-portfolio.”
Het eerste puzzelstukje is de mogelijkheid om beveiligingsfuncties vanuit de cloud uit te voeren. “OPAQ beschikt hiervoor over een Firewall-as-a-Service (FWaaS)”, zegt Tom. “Dit is een cloudgebaseerde next-generation firewall die voorziet in netwerkbeveiliging overal waar dit nodig is. Het tweede puzzelstukje dat nog ontbrak, was een oplossing om netwerkverkeer van endpoints te inspecteren met de cloudgebaseerde firewall-dienst, ongeacht waar deze zich bevinden.”
OPAQ had ook hiervoor de juiste oplossing: Zero-trust Network Access (ZTNA). De primaire taak van ZTNA is om gebruikers te authenticeren voor applicaties. “ZTNA definieert de beleidsregels voor de beveiliging in de kern van het netwerk”, aldus Tom. “Deze zijn vervolgens op alle toegangspunten toepasbaar.”
Hoge performance, flexibel aan-bod
Fortinet levert voornamelijk de infrastructuur voor het SASE-platform vanuit eigen Points of Presence (PoPs) in datacenters die direct verbonden zijn met internet exchanges overal ter wereld. “Een PoP is een knooppunt in een netwerk waar zich apparatuur zoals servers en onze FortiGates zich bevinden. We maken geen gebruik maken van virtualisatie, maar van onze eigen hardware. Die beschikt over FortiASIC’s, oftewel speciale processors die de analyse en het verwerken van netwerkverkeer versnellen. Dat zorgt voor bijzonder snelle verbindingen, momenteel tot wel 15 Gbps. Dit is uniek in de SASE-markt.”
‘Voor een aantal resellers kan SASE een nieuwe markt zijn’
Het SASE-platform van Fortinet is gebaseerd op de FortiGate-hardware voor beveiligingsinspectie, maar kan als een clouddienst worden afgenomen. Tom: “Dat betekent dat onze klanten kunnen kiezen voor een volledig cloudgebaseerd SASE-platform, waarbij alles vanuit de cloud geconfigureerd en geïnspecteerd wordt, voor een Secure SD-WAN met security-inspectie op locatie, of voor een hybride variant hiervan.”
Een partnervriendelijk aanbod
Door de overname van OPAQ verwerft Fortinet naar eigen zeggen een bijzonder partnervriendelijk SASE-platform. Hoe kunnen resellers, MSSP’s en andere partners in het verkoopkanaal met SASE aan de slag gaan? Tom: “Onze partners kunnen hun dienstenaanbod uitbreiden en wij ondersteunen hen door kennis te delen. Ons SASE-platform heeft dezelfde multi-tenancy als al onze security-diensten. Op die manier kunnen onze partners zelf nieuwe diensten ontwikkelen.”
Het Secure Access Service Edge (SASE)-platform
Steeds meer gebruikers, apparaten en applicaties bevinden zich zowel binnen als buiten het netwerk. Daarom moet de beveiliging niet langer geconcentreerd zijn in de kern van netwerk, maar op de vele toegangspunten. Een SASE-platform doet dit door SD-WAN en beveiligingsoplossingen te combineren tot één geïntegreerd geheel. SD-WAN zorgt er op een intelligente manier voor dat applicaties altijd de beste route kiezen, zowel in publieke als private clouds. Het SASE-platform voegt hier allerlei beveiligingsoplossingen aan toe, zoals zero trust toegangsbeheer, FWaaS (firewall-as-a-service), sandboxing, end-point-beveiliging, identiteitsbeheer, een cloud application security broker (CASB), browserisolatie en een web application firewall (WAF). Daarmee beschermt het netwerken, data en taken en processen in multi-cloudomgevingen.
[Dit artikel is eerder gepubliceerd in ChannelConnect 6 – 2020]