Wat is SASE en is het beter dan SD-WAN?

SASE is kort voor secure access service edge, maar wat betekent het precies en hoe verschilt het van SD-WAN?

Dit stuk is een onderdeel van onze IT uitgelegd‘-reeks, waarin we belangrijke begrippen en technologieën achter producten en innovaties vandaag op een begrijpelijke manier uitleggen.

SASE is de afkorting voor secure access service edge. Je spreekt het uit als sassy volgens Gartner, en de analisten daar weten het best. Zij hebben de term immers in 2019 uit hun hoed getoverd. Zowel de afkorting als de volledige naam zijn echter aan de cryptische kant. SASE zou de toekomst van netwerkinfrastructuur zijn, maar wat dan met SD-WAN? Hoe verhouden de twee zich tot elkaar?

SASE is eerst en vooral geen echt alternatief voor SD-WAN, maar eerder een doorgedreven evolutie van het concept, gecombineerd met nieuwe technologieën. Fris gerust je kennis rond SD-WAN even op aan de hand van ons stuk, indien dat nodig is. De essentie is eenvoudig: SD-WAN is een software defined wide area network: een bedrijfsnetwerk dat verschillende bedrijfslocaties met elkaar verbindt via een virtueel netwerk. Organisaties hoeven zo geen dure bekabeling meer te leggen zoals bij een klassiek WAN-netwerk, maar kunnen het publieke internet gebruiken. Bovendien is SD-WAN slim genoeg om trafiek naar de cloud rechtstreeks door te sturen, zonder eerst langs de kern van het bedrijfsnetwerk te gaan.

SASE: technologie en spelers

SASE combineert SD-WAN-technologie met secure web gateways, zero trust, firewall-as-a-Service en een Cloud Access Security Broker (CASB). SD-WAN verbindt bedrijfstakken met elkaar via een gevirtualiseerd bedrijfsnetwerk, terwijl het zwaartepunt on-premises blijft. De technologie voorziet een veilige connectie naar de datacenters van een onderneming. Trafiek bestemd voor bijvoorbeeld SaaS-toepassingen in de cloud loopt niet via dat interne netwerk, maar mag rechtstreeks naar de cloud. SASE probeert dat zwaartepunt te verleggen: alle trafiek gaat eerst naar de cloud, waar een serviceprovider connectiviteits- en veiligheidsdiensten aanbiedt.

SASE combineert SD-WAN-technologie met secure web gateways, zero trust, firewall-as-a-Service en een CASB.

SASE is een dienst die wordt aangeboden door een SASE-provider. Omdat de technologie nog jong is, zijn er verschillende spelers met een diverse achtergrond actief in het veld. Sommigen hebben meer een beveiligingsachtergrond, terwijl andere van de networkingkant komen. Aangezien SASE de twee combineert, zijn beide achtergronden relevant. Hoewel SASE zoals gezegd verschillende technologieën combineert in één aanbod, zien we dat verschillende spelers in de praktijk slechts een gedeeltelijk aanbod hebben waarbij hier en daar een detail ontbreekt. Onder andere Fortinet en VMware bieden een volledige oplossing aan, net zoals Palo Alto dat samenwerkt met Google en AWS voor de onderliggende cloudinfrastructuur. Bedrijven zoals Cisco, Aruba en Barracuda bieden relatief complete oplossingen.

Beveiliging en netwerk in de cloud

Veiligheid en flexibiliteit staan centraal bij een SASE-architectuur. Met SASE kan iedereen van overal verbinden met het bedrijfsnetwerk, aangezien die verbinding in eerste instantie via een cloudprovider loopt. Een endpoint verbindt zo met de cloud, waar zero trust-technologie en virtuele firewalls instaan voor de veiligheid. Van daaruit krijgt een gebruiker toegang tot de bronnen die hij of zij nodig heeft. SASE-beveiliging berust erg op de identiteit van gebruikers en toestellen om zo de juiste beleidsregels toe te passen.

lees ook

Fortinet voegt SASE-functionaliteit en zero trust-netwerktoegang toe aan FortiOS

Omdat het zwaartepunt bij de SASE-provider in de cloud komt te liggen, worden organisaties flink ontzorgd. Firewalls, sandboxing, webfiltering, DNS-beveiliging, netwerkdetectie…: het gebeurt allemaal buiten de onderneming. Als bedrijf moet je daarom slechts heel beperkt netwerk- en beveiligingsoplossingen managen. In kantoren plaats je nog steeds SD-WAN-oplossingen, maar die verbinden met zogenaamde SASE PoP’s, kort voor Point of Presence. Een PoP is de lokale cloudinfrastructuur van de SASE-provider. PoP’s zijn geografisch verspreid. Het is dus niet zo dat je met SASE al je trafiek naar een éénzaam datacenter in de VS stuurt: de trafiek gaat naar het dichtstbijzijnde PoP.

Werknemers die niet op kantoor zitten, kunnen met SASE rechtstreeks met een PoP verbinden via een agent op hun toestel. Dat gebeurt naar analogie met een zero trust-architectuur voor een lokaal netwerk. De gebruikservaring kan je vergelijken met een eenvoudige VPN-cliënt. In principe is het voor medewerkers zo veel eenvoudiger om toegang te krijgen tot het bedrijfsnetwerk, terwijl de aanpak voor organisaties veel veiliger is.

Waar ligt je zwaartepunt?

SASE is als oplossing ideaal voor organisaties die vandaag vooral in de cloud werken. Wanneer werknemers toch meestal met SaaS-toepassingen verbinden, wordt een lokaal netwerkzwaartepunt overbodig. Dat alle beveiliging mee naar de cloud verhuist, is mooi meegenomen.

SASE is minder interessant wanneer je onderneming wel op on-premises-datacenters vertrouwt en het zwaartepunt meer daar ligt. De voordelen van ontzorging blijven, maar nu stuur je trafiek van werknemers en satellietkantoren naar de cloud in de plaats van rechtstreeks naar het eigen datacenter. In dat geval blijft een klassieke SD-WAN-architectuur toch aangewezen. Gartner omschrijft SASE als de toekomst omdat steeds meer IT-infrastructuur van bedrijven vanuit het eigen datacenter naar de cloud migreert. De doorbraak van SASE staat of valt met de verdere evolutie van die trend.

Samengevat is SASE dus:

  • een dienst aangeboden door een provider
  • die een bedrijfsnetwerk virtueel aan elkaar lijmt (naar analogie met SD-WAN)
  • door al het netwerkverkeer via cloudinfrastructuur te sturen (in contrast met SD-WAN)
  • met een wereldwijd netwerk van datacenters
  • waar toegangsbeheer op basis van zero trust gebeurt
  • en diepgaande beveiliging als clouddienst zit ingebakken.

Hype

SASE is bovenal een hypeterm. Heb je SASE nodig om je organisatie klaar te maken voor de toekomst? Helemaal niet. Eigenlijk kan je SASE zien als de migratie van je netwerk naar de cloud. Geloof je met je onderneming in een cloud first-strategie, dan is SASE een logisch gevolg. Wanneer je toch je toepassingen en data naar de cloud gaat verhuizen, kan je netwerkbeveiliging, toegangsbeheer en uiteindelijk ook netwerkmanagement maar beter meesturen. Dat betekent wel dat je organisatie nu helemaal afhankelijk is van externe providers: loopt er iets mis bij je SASE-provider, dan heb je geen toegang meer tot de rest van de digitale bedrijfsinfrastructuur.

Bedrijven die minder staan te springen om alles naar de cloud te verhuizen, hoeven niet geïntimideerd te zijn door de SASE-hype. Wanneer het zwaartepunt van je IT-infrastructuur on-premises ligt omdat je de touwtjes liever zelf in handen houdt, dan is het een vreemd idee om beveiliging en netwerkbeheer wel richting de cloud te sturen. Een klassieke SD-WAN-aanpak waarin je zelf de beveiliging voorziet, leent zich dan beter.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home