Voor bedrijven is het niet langer de vraag of ze SASE inzetten, maar hoe ze dat moeten doen. De meeste organisaties zijn al begonnen aan de overstap naar secure access service edge (SASE) om hun gebruikers, applicaties en data te beschermen. Het probleem is alleen dat de architecturen en implementaties die leveranciers aanbieden vaak sterk van elkaar verschillen.
Sommige oplossingen beloven convergentie, maar bieden in werkelijkheid slechts een allegaartje van losjes geïntegreerde producten. Andere oplossingen ontbreekt het aan het overzicht, de schaalbaarheid of consistente beleidsregels die nodig zijn voor de ondersteuning van geografisch verspreide gebruikers en hybride infrastructuren. Het resultaat: operationele silo’s, inconsistente handhaving van het beveiligingsbeleid en misgelopen kansen voor prestatieverbetering en kostenefficiëntie.
De volgende vijf praktische stappen helpen bij het stroomlijnen van processen, het integreren van het overzicht en beheer, het integraal toepassen van beleidsregels en het mogelijk maken van veilige digitale transformatie op elke gewenste schaal.
Stap 1: Definieer de business case voor de inzet van SASE
Voor van start gegaan wordt met de implementatie van SASE, moeten de kernproblemen in kaart worden gebracht die deze technologie moet oplossen. De meest voorkomende beweegredenen voor de inzet van SASE zijn:
- Hybride medewerkers beschermen met consistent toegangsbeleid
- De applicatieprestaties verbeteren voor telewerkers en filiaalmedewerkers
- De complexiteit terugdringen die gepaard gaat met het beheer van allerhande losstaande oplossingen
- Voldoen aan de eisen van de wet- en regelgeving voor alle relevante geografische regio’s en sectoren
Als de doelstellingen van meet af aan duidelijk zijn, kunnen ze sturing geven aan de architectonische beslissingen en de volgorde van implementatiestappen, of je nu de architectuur van je WAN herziet, tools voor cloudbeveiliging consolideert of beide.
Stap 2: Consolideer netwerk- en beveiligingsfuncties
In de kern draait SASE om het vervangen van een gefragmenteerde architectuur voor een geconvergeerd model dat netwerk- en beveiligingsmogelijkheden in de vorm van een geïntegreerde dienst aanbiedt. Dat betekent dat SD-WAN, secure web gateway (SWG), cloud access security broker (CASB), zero-trust network access (ZTNA) en Firewall-as-a-Service (FWaaS) van meet af aan worden geïntegreerd in plaats van ze simpelweg te bundelen en ze onder één naam aan te bieden.
Organisaties implementeren maar al te vaak ‘SASE’-oplossingen die in werkelijkheid niets meer zijn dan een verzameling van standalone producten die losjes aan elkaar hangen. Deze aanpak resulteert in nieuwe silo’s, inconsistentie en prestatie-bottlenecks. Een unified SASE-architectuur zorgt er daarentegen voor dat netwerk- en security-functies via een gemeenschappelijke besturingslaag kunnen functioneren. Dit maakt het mogelijk om beleidsregels consistent toe te passen op alle gebruikers en locaties. Unified SASE reduceert latency door een einde te maken aan redundante gegevenspaden en verbetert de detectie van cyberbedreigingen door inzichten over alle verkeersstromen met elkaar in verband te brengen.
Stap 3: Ken prioriteit toe aan context- en identiteitsgebaseerde toegang
In moderne bedrijfsomgevingen zonder duidelijk afgebakende netwerkrand is identiteit het nieuwe anker van de beveiliging. Legacy modellen voor toegangsbeheer op basis van IP-adressen of statische rollen zijn niet langer toereikend. In plaats daarvan moeten SASE-architecturen voorzien in dynamische toegangsmechanismen die niet alleen de identiteit van gebruikers verifiëren, maar ook rekening houden met de context van toegangsverzoeken. Dan valt onder meer te denken aan de beveiligingsstatus van het apparaat, de locatie, het tijdstip van toegang en tekenen van riskant gedrag.
Dat betekent dat het SASE-platform naadloze integratie moet bieden met identity providers. Daarnaast moet het gedetailleerde beleidsregels toepassen op basis van real-time contextuele informatie. Multi-factorauthenticatie en single sign-on zijn onmisbaar, maar dat geldt ook voor de mogelijkheid om de toegang direct in te trekken of beleidsregels aan te passen als er wijzigingen in de risicosignalen optreden. ZTNA vervult hierbij een sleutelrol door nauwkeurige toegang op applicatieniveau mogelijk te maken in plaats van volledige netwerktoegang te bieden.
Stap 4: Kies het juiste gebruikmodel voor SASE
Niet elke organisatie is er klaar voor om volledig over te stappen op een cloud-native architectuur. Een gedegen SASE-strategie zou daarom ondersteuning moeten bieden voor zowel volledig cloudgebaseerde als hybride gebruiksmodellen. Op die manier kun je de implementatie afstemmen op de bestaande infrastructuur, geografische beperkingen en/of compliance-vereisten.
- Vanuit de cloud aangeboden SASE is ideaal voor het beveiligen van telewerkers en hybride gebruikers, zeker in snelgroeiende omgevingen of omgevingen die door een fusie of overname zijn ontstaan en waarin flexibiliteit een eerste vereiste is.
- Hybride SASE-implementaties combineren de toepassing van beleidsregels op locatie met clouddiensten. Dit biedt organisaties in sectoren als de gezondheidszorg, overheid of maakindustrie meer grip op zaken.
- Soevereine SASE wordt momenteel alleen door Fortinet aangeboden. Het helpt organisaties om te voldoen aan strikte regelgeving en eisen ten aanzien van de locatie waar data wordt opgeslagen. Dit gebeurt door het toepassen van regionale controlemechanismen die nergens ten koste gaan van de prestaties.
Stap 5: Verenig het beheer, het overzicht en de controle
Een unified SASE-architectuur die zijn naam waardig is zorgt niet alleen voor de consolidatie van tools, maar vereenvoudigt ook het beheer daarvan. Als je nog steeds meerdere beheerconsoles nodig hebt voor het toepassen van beleidsregels of het met elkaar in verband brengen van meldingen, valt SASE nauwelijks nog ‘unified’ te noemen.
Een geïntegreerd platform biedt de mogelijkheid om op consistente wijze wijzigingen door te voeren, sneller op nieuwe cyberbedreigingen te reageren en ervoor te zorgen dat beveiliging zich kan aanpassen aan de veranderende bedrijfsvoering.
