Een SASE-platform kan iedereen aanbieden, maar hoe zit het met de PoP’s die je wereldwijd met alles connecteren? Waarom zijn die zo interessant en waar moet je op letten?
Sinds de hypeterm SASE werd gelanceerd, introduceren netwerk- en securityfabrikanten massaal nieuwe SASE-platformen en andere zaken om SD-WAN naar een hoger niveau te tillen. Kort door de bocht is SASE een doorgedreven evolutie van SD-WAN, gecombineerd met nieuwe technologieën. Fris gerust je kennis rond SD-WAN even op aan de hand van ons stuk, indien dat nodig is.
SASE is als oplossing ideaal voor organisaties die vandaag vooral in de cloud werken. Wanneer werknemers toch meestal met SaaS-toepassingen verbinden, wordt een lokaal netwerkzwaartepunt overbodig. Dat alle beveiliging mee naar de cloud verhuist, is mooi meegenomen.
SASE is minder interessant wanneer je onderneming wel op on-premises-datacenters vertrouwt en het zwaartepunt meer daar ligt. De voordelen van ontzorging blijven, maar nu stuur je trafiek van werknemers en satellietkantoren naar de cloud in de plaats van rechtstreeks naar het eigen datacenter. In dat geval blijft een klassieke SD-WAN-architectuur toch aangewezen. Lees onze uitgebreide analyse rond wat SASE nu echt is hier.
Helemaal mee met SASE? Tijd om in de wondere wereld van PoP’s te duiken.
PoP als locale cloudinfrastructuur
Omdat het zwaartepunt bij de SASE-provider in de cloud komt te liggen, worden organisaties flink ontzorgd. Firewalls, sandboxing, webfiltering, DNS-beveiliging, netwerkdetectie…: het gebeurt allemaal buiten de onderneming. Als bedrijf moet je daarom slechts heel beperkt netwerk- en beveiligingsoplossingen managen. In kantoren plaats je nog steeds SD-WAN-oplossingen, maar die verbinden met zogenaamde SASE PoP’s, kort voor Point of Presence.
Hoe meer PoP’s een SASE-provider heeft, hoe beter de connectiviteit en hoe lager de latency.
Sylvain Chareyre, EMEA Technical Director bij Cato Networks
Een PoP is de lokale cloudinfrastructuur van de SASE-provider. PoP’s zijn geografisch verspreid. Het is dus niet zo dat je met SASE al je trafiek naar een éénzaam datacenter in de VS stuurt: de trafiek gaat naar het dichtstbijzijnde PoP. Werknemers die niet op kantoor zitten, kunnen met SASE rechtstreeks met een PoP verbinden via een agent op hun toestel. Dat gebeurt naar analogie met een zero trust-architectuur voor een lokaal netwerk.
Latency is het belangrijkste
Hoe meer PoP’s een SASE-provider heeft, hoe beter de connectiviteit en hoe lager de latency. Hiermee zou je denken dat de kous af is, maar Sylvain Chareyre, EMEA Technical Director bij Cato Networks duikt graag nog iets dieper in de materie omdat niet elke PoP een echte PoP is.
“Sommige fabrikanten goochelen met cijfers en claimen dat ze honderden PoP-locaties hebben dankzij bijvoorbeeld samenwerkingen met AWS, Azure of Google Cloud. In theorie hebben ze gelijk, maar een connectiepunt heeft vaak niet de compute aan boord om alles te beheren.” Als resultaat wordt het verkeer doorverwezen naar een ander punt binnen de hyperscaler waar er wel rekenkracht is gereserveerd door de fabrikant.
“Bij Cato Networks maken we geen gebruik van een hyperscaler”, benadrukt Chareyre. “We hebben een eigen netwerk van PoP’s uitgerold met allemaal compute aan boord. Die worden allemaal verbonden met een Tier 1-netwerk van bijvoorbeeld GTT of Orange. Elk punt heeft een capaciteit die drie tot vier keer hoger ligt dan momenteel nodig voor extra marge.”
Snelle groei van het PoP-netwerk
Vandaag heeft Cato Networks meer dan 70 PoP’s en er komen er vier tot zes bij per trimester, volgens Chareyre. “We draaien onze eigen code die schaalbaar is. Heeft een bepaalde PoP meer rekenkracht nodig? Dan kunnen we daar direct een extra server aan toevoegen om maximale prestaties te garanderen. Daarnaast zit de volledige stack aan security-oplossingen geïntegreerd in elke PoP. Elk veiligheidsprotocol wordt zo handig toegepast op elke PoP tot de finale bestemming.”
Vandaag heeft Cato Networks meer dan 70 PoP’s wereldwijd en er komen er vier tot zes bij per trimester.
Sylvain Chareyre, EMEA Technical Director bij Cato Networks
Volgens hem is een grote troef van een eigen PoP-netwerk als SASE-provider de manier van consumptie. Organisaties kunnen vandaag in de cloud met één druk op de knop extra instances activeren in de cloud. Hetzelfde is mogelijk met een eigen netwerk en een eigen platform dat vanaf het begin cloud-native is ontwikkeld. “Heb je meer capaciteit nodig? Eén druk op de knop en je bent klaar. Je moet bij ons als native SASE-provider niet rekenen of het netwerk dat wel kan.”
Traditionele hardware on-premises
Edge-locaties binnen organisaties hebben bij Cato Networks geen extra hardware nodig. Grotere sites of het hoofdkantoor kunnen wel bij het bedrijf terecht voor een lokale firewall. “We hebben maar twee ‘bakjes’ en onze hardware gaat nooit EOL (end-of-life). Wij draaien alles in de cloud, de lokale toestellen voeren enkel SD-WAN-activiteiten uit. Dan hoef je niet zoals bij andere fabrikanten elke drie jaar upgraden met nieuwe CPU’s, RAM en andere zaken.”
Hij geeft ook een ecologische draai aan het verhaal. “Een firewall kopen is bij ons doe je voor de lange termijn. We dumpen niet graag perfect goede toestellen omdat ze EOL zijn of omdat ze niet meer performant genoeg zijn. Dat gebeurt niet bij ons.” We kunnen dat beamen aangezien in de krachtigste versie een zeven jaar oude 4de generatie Intel Core-chip in zit. Bekijk de twee toestellen en hun specificaties hieronder:
Even terug naar de PoP’s: Elke locatie is onderdeel van een mesh zodat elke verbinding efficiënt van punt A naar punt B geraakt. “Als dat betekent dat we door meerdere PoP’s moeten gaan, dan is dat zo. Ons hoofddoel is om de latency maximaal te verlagen en toch maximale prestaties te leveren.” Door die flexibiliteit worden lokale installaties ontlast en kunnen ze daardoor veel langer mee gaan dan traditionele firewall-installaties met SD-WAN. Er is namelijk geen orchestrator nodig, geen controller. “We willen niet richting een datacenter evolueren op locatie. De infrastructuur met net vereenvoudigd worden”, aldus Chareyre.
Naadloos en veilig updaten
PoP’s en lokale punten bij grote sites is genoeg om elke connectie veilig te behandelen. Op het niveau van elke PoP, lokaal of in de cloud, wordt elke vijftien dagen een nieuwe update gepusht. Die kan soms nieuwe diensten met zich meebrengen, patches, extra functionaliteit of andere zaken. “De klant moet daar helemaal niets voor doen, dat gebeurt allemaal automatisch en naadloos.”
Voor Chareyre is het belangrijk dat klanten zeker zijn dat ze continu de hoogste veiligheid krijgen binnen het netwerk. “Omdat het bij ons naadloos is, merk je er weinig van. Er zijn nog altijd teveel fabrikanten die niet regelmatig genoeg updates aanbieden of een lastig updateproces hebben. IT-teams stellen dan vaak updates uit, wat de veiligheid van het netwerk in het gedrang brengt. Dat willen we voorkomen door continu en naadloos te patchen.”
Dit is een redactionele bijdrage in samenwerking met Cato Networks. Voor meer informatie rond hun SASE-oplossingen, kan je hier terecht.