Steeds meer organisaties beseffen dat hun klassieke infrastructuur voor het beveiligen van data en applicaties niet meer voldoet. Om zich aan te passen aan de vereisten van een moderne IT-omgeving, kijken ze meestal naar SASE, of Secure Access Service Edge. Het biedt de beste beveiliging voor een complex IT-landschap waarin zowel gebruikers als applicaties wijdverspreid zitten. Maar zoals bij elk snelgroeiend concept bestaan er wel wat hardnekkige mythes die het voor bedrijven moeilijk maken om te begrijpen wat SASE voor hen precies kan betekenen.
SASE is in de meeste organisaties geen onbekende term meer, maar slechts een minderheid heeft de eerste stap in de richting van de architectuur al gezet. Vaak weten ze niet waar ze moeten beginnen en wat ze moeten doen om hun huidige IT-omgeving te transformeren. Alles begint bij de juiste kennis en daarom ontkrachten we alvast vier vaak voorkomende SASE-mythes waar bedrijven over struikelen.
1. SASE is uitsluitend voor de grote multinationals
Nogal wat kleinere bedrijven associëren SASE met grote, internationale organisaties. In principe is dat een logische misvatting, want SASE heeft als cloud-native oplossing het ultieme doel om gebruikers overal ter wereld van dezelfde consistente gebruikerservaring te laten genieten. Een bedrijf waarvan de werknemers uitsluitend in België gelokaliseerd zijn, heeft daar op het eerste gezicht weinig baat bij. Maar eigenlijk komt die conclusie voort uit een verkeerde interpretatie van SASE. Ook voor kleine lokaal georiënteerde bedrijven geldt dat gebruikers zich buiten het kantoor kunnen bevinden, en ook daar wil je een consistente, directe verbinding met je applicaties kunnen garanderen.
Veel bedrijven zijn zich niet bewust van de locatie van die applicaties. Omdat ze voornamelijk in de cloud draaien, kan je data weliswaar vrijwel overal gehost worden. Zo werken de meeste organisaties bijvoorbeeld met Microsoft Office 365. Om een naadloze toegang tot applicaties te garanderen, zal Microsoft gebruikers bij netwerkproblemen onmiddellijk naar een andere component in dat netwerk doorsturen. Dat is vaak een andere locatie dan voorheen, waardoor de data-gerelateerde activiteiten van lokale bedrijven plots tot ver over de landsgrenzen heen kunnen reiken.
Dankzij SASE hoef je je geen zorgen te maken over de locatie van applicaties. Je organisatie behoudt op elk moment de controle over het verkeer van de data. Het maakt voor SASE dus niet uit waar gebruikers zich bevinden of hoe globaal je organisatie vertegenwoordigd is. Wel moet je bedenken waar je data staat. Daardoor is SASE voor bedrijven van om het even welke omvang een interessante oplossing.
2. De basis van SASE is Zero Trust Network Access (ZTNA)
Zero Trust Network Access, of ZTNA, vormt slechts 1 van de kritische mogelijkheden van het SASE framework. De term werd benoemd door Netskope-medewerker Steve Riley, toen hij nog actief was bij onderzoeks- en adviesbureau Gartner. Vandaag zou hij voor een andere terminologie kiezen: ZTAA, ofwel Zero Trust Application Access.
ZTNA wordt vaak aangehaald als de vervanger van VPN-technologie. VPN betekent dat een werkstation een verbinding moet aanleggen met een ander werkstation waarop een applicatie staat. Zodra je beide systemen met elkaar hebt verbonden, zijn er eigenlijk al te veel privileges toegekend. Zo ontsluit een VPN-connectie meestal ook applicaties die verborgen zitten achter de firewall van het bedrijf – de lokale perimeter die de belangrijkste assets moet beschermen. ZTAA beperkt die privileges tot het absolute minimum. Het verleent een gevalideerde identiteit toegang tot de gevraagde applicatie in het systeem, maar zonder applicaties bereikbaar te maken van buitenaf.
De blootstelling die een VPN-oplossing met zich meebrengt, is hierdoor dus verdwenen. Maar in een modern IT-landschap is dat niet genoeg. ZTNA beperkt zich immers tot applicaties achter de perimeter van het netwerk en heeft geen oog voor de SaaS-applicaties (Microsoft 365, Salesforce, …) waarvoor gebruikers geen VPN nodig hebben. Aangezien een SASE-architectuur is aangepast aan een cloud-gericht applicatielandschap, kan je ook voor deze toepassingen toegang verlenen zonder meer privileges toe te kennen dan nodig. Het verklaart meteen waarom Steve Riley vandaag eerder de benaming Zero Trust Application Access (ZTAA) zou kiezen.
3. SASE is gebouwd op een fundatie van SD-WAN
SD-WAN staat voor Software-Defined Wide Area Networking, en dat is maar een onderdeel van SASE. SD-WAN geeft bedrijven de mogelijkheid om verschillende locaties of kantoren aan elkaar te koppelen met behulp van internetconnectiviteit. SASE begint met “Secure Access”, wat over het beschikbaar maken van een resource gaat. De kracht van SASE bestaat erin dat net te ontkoppelen van dat netwerk – of dat nu SD-WAN, 4G/5G, of publieke netwerken zijn. SD-WAN zorgt voor een pad naar de applicatie of data die je wil bereiken, maar SASE gaat over het veilig, betrouwbaar en snel beschikbaar maken van alle resources voor alle gebruikers, op een manier die voor de gebruiker consistent is en zodat je op elke moment het risico van de transactie kunt beperken.
4. SASE uitrollen vereist een moeizame implementatie
Tot slot zien bedrijven het implementatieproces als een belangrijk obstakel om te transformeren naar een SASE architectuur. Uiteindelijk is het een nieuwe manier van beveiliging die ze moeten koppelen aan hun bestaande infrastructuur, waardoor ze verwachten dat de adoptie het begin is van een lang en moeizaam traject. Toch is niets minder waar en hoeft het helemaal niet moeilijk te zijn om SASE uit te rollen…
Dit is een ingezonden bijdrage van Andy Quaeyhaegens van Netskope. Meer weten over dit onderwerp? Kom dan op 19 of 20 april naar Cybersec 2023 in Brussel. Netskope-expert geeft tijdens een sessie graag concrete inzichten die nog meer mythes rond SASE uit de wereld helpen en toont je dat een SASE transformatie helemaal niet moeilijk is, en net zorgt voor vereenvoudiging.