14 jan Wat is een SASE-architectuur? CATO Networks heeft het antwoord
Een SASE-architectuur is een must voor elk bedrijf. Het controleert elk apparaat voordat het op uw netwerk wordt toegelaten. Zo hoef je je geen zorgen meer te maken over schaalbaarheidsproblemen of het inloggen op verschillende cloud portalen.
Welk probleem pakt SASE aan?
We hebben de afgelopen jaren verschillende beveiligings- en verbindingsoplossingen gebruikt, en voor elke technologie zijn we op zoek gegaan naar de allerbeste oplossing. Denk maar aan het volgende scenario: een bedrijf met 25 verschillende sites die met elkaar verbonden moeten worden. Dit gebeurt ofwel met traditionele (dure) MPLS-verbindingen of ze maken al gebruik van een SD-WAN-oplossing. Nu zijn alle sites met elkaar verbonden, maar er is geen beveiliging aanwezig. We gaan aan de slag en voegen een NextGen Firewall of UTM-firewall toe, afhankelijk van de vereisten van de site.
Ideaal, de verbinding en netwerkbeveiliging zijn nu geregeld. Dit was het dan? Niet echt. Er is nog meer… Aangezien er een behoorlijk aantal gebruikers is dat verbinding moet maken vanaf hun laptop of een mobiel apparaat wanneer ze onderweg zijn, heeft het bedrijf ook geïnvesteerd in een VPN Concentrator. Toen de pandemie toesloeg en iedereen van thuis uit moest werken, werd hun interne hardware-apparaat natuurlijk tot het uiterste van zijn mogelijkheden gebruikt. Al deze verschillende oplossingen leiden tot een grote hoeveelheid kosten voor de evaluatie van de leverancier, de aanschaf, het oplossen van problemen en het onderhoud van al deze verschillende oplossingen, wat leidt tot een enorme verborgen kostenpost.
Zeg hallo tegen SASE!
De term SASE zelf is in 2019 ‘uitgevonden’ door Gartner en is een afkorting voor ‘Secure Access Service Edge’. Om bovenstaande problemen aan te pakken, werd een architectuur ontworpen die bestaat uit deze belangrijke elementen:
- Het samenvoegen van WAN- en beveiligingsfuncties: minder apparaten om te beheren leidt tot een hogere efficiëntie, en dus lijkt het samenvoegen van WAN-connectiviteit en beveiliging een vanzelfsprekendheid.
- Een cloud-native architectuur: omdat interne apparaten gewoon niet kunnen worden aangepast aan onze uiteenlopende behoeften, is het niet meer dan logisch om een volledige cloud-native architectuur te creëren die kan worden aangepast aan je behoeften.
- Identiteitsgedreven diensten: identiteit is de kern van de huidige beveiligingsvereisten, of we het nu hebben over een fysiek persoon of een specifiek apparaat. Het beveiligingsbeleid moet worden opgesteld om alleen specifieke personen toegang te verlenen tot specifieke toepassingen.
- Ondersteun alle grenzen: omdat je er zeker van wilt zijn dat de beveiliging iedereen volgt die overal ter wereld verbinding maakt, of dat nu op de bedrijfscampus is of thuis (of waar dan ook daartussenin), wil je dat alle grenzen gelijk worden behandeld.
- Wereldwijd gedistribueerd netwerk van PoP’s (Point of Presence): het zo laag mogelijk houden van de wachttijd is belangrijk om ervoor te zorgen dat gebruikers de best mogelijke ervaring hebben. Daarom moeten er PoP’s over de hele wereld zijn, en in de buurt van waar de gebruikers en applicaties zich bevinden.
Wat zijn de voordelen van SASE?
Wel, omdat alle diensten nu geleverd worden vanuit de cloud zijn er een paar dingen minder waar je je zorgen over moet maken.
Allereerst hoef je niet meer in en uit te loggen op verschillende cloud portals om verschillende point solutions af te handelen. Een fatsoenlijke SASE-oplossing heeft één portaal om: de beveiliging te beheren, externe gebruikers in te stellen, ze toegang te geven tot bepaalde toepassingen, inzicht te krijgen in shadow IT, enzovoort. You get the picture.
Ten tweede, omdat beveiliging nu in de cloud wordt uitgevoerd met FWaaS of Firewall-as-a-service, hoef je je geen zorgen meer te maken over schaalbaarheidsproblemen in combinatie met bepaalde functies. Open maar eens de datasheet van uw favoriete firewall en kijk eens naar de prestatiecijfers. Je zal cijfers zien die variëren van meerdere gigabits per seconde (met pakketgroottes van 1500 bytes) tot slechts enkele megabits per seconde wanneer alle beveiligingsfuncties (IDP, Anti-malware, IPS, …) zijn ingeschakeld. Dat betekent dat als je één enkele functie inschakelt, je misschien een firewall-upgrade nodig hebt. Met SASE’s FWaaS is dit niet langer een probleem, omdat je direct kunt schalen als je dat nodig hebt.
Zelfs specifieke features worden als een service geleverd, denk bijvoorbeeld aan IPS. De recente Log4J-kwetsbaarheid is hier een goed voorbeeld van. In een typisch scenario, of je klassieke IPS nu op een firewall draait of op een dedicated appliance, bestaat de typische taak uit het updaten van je signatures, starten in detect mode, verifiëren of er geen performance problemen zijn, monitoren op false positives, en tenslotte overschakelen naar prevent mode. Dit alles terwijl er een kwetsbaarheid is die actief wordt misbruikt.
Met IPS-as-a-service wordt dit hele proces afgehandeld door de SASE leverancier, wat leidt tot veel snellere actieve bescherming. In het geval van de Log4J-kwetsbaarheid waren klanten al automatisch beschermd dagen voordat de klassieke beveiligingsleveranciers hun handtekening vrijgaven. Dit is dus echt game changing!
Dus, elke SASE oplossing zal aan mijn behoeften voldoen?
Wel, dit zou een perfect scenario zijn, maar helaas is de wereld nog niet perfect. Sommige oplossingen zijn speciaal op de markt gebracht met SASE in gedachten, andere zijn al lang geleden ontwikkeld en moeten ingrijpend worden gewijzigd om te voldoen aan de architectuurbehoeften voor SASE.
SASE brengt dus beveiliging en networking samen in één service. Met deze architectuur zeg je dag tegen het in- en uitloggen op verschillende cloud portalen en hoef je je geen zorgen meer te maken over schaalbaarheidsproblemen in combinatie met bepaalde features. Een logische ontwikkeling om je business te helpen als je het ons vraagt!
Een van onze favoriete SASE vendors is Cato Networks, omdat zij echt cloud native zijn. Vul je gegevens in en download het e-book ‘SASE for dummies’ om meer te weten te komen over hun kijk op SASE.
Geschreven door Nick Leman.
Geïnteresseerd? Vul je gegevens in en download hieronder het ‘SASE for dummies’ E-book van CATO Networks!
Geen reacties