Door het vele telewerk migreerden we massaal naar de cloud. Maar die snellere cloudmigratie resulteert in een verschuiving van de vereisten voor netwerkbeveiliging. Hoog tijd om SD-WAN, SASE en SSE eens nader te bekijken.
Sinds de begindagen van de wereldwijde COVID-19 pandemie hebben IT-medewerkers van ondernemingen hard gewerkt om bedrijfsnetwerken gelijke tred te laten houden met de veranderende eisen van het bedrijf. De meeste toepassingsresources stonden namelijk niet langer ten dienste van gecentraliseerde groepen. Hierdoor moest men de cloud-, netwerk- en beveiligingsinfrastructuur bijwerken en aanpassen aan de nieuwe realiteit van hybride werk. En dus namen IT-teams de technologiepijlers die beginnen met de letter “S” opnieuw onder de loep: SD-WAN, SASE, en nu Security Service Edge (SSE), om deze cloud-first digitale transformaties waar ondernemingen om vragen te ondersteunen.
De oudere “S”-technologiepijler, SD-WAN, ontstond in 2015 als een disruptieve netwerktechnologie die ondernemingen in staat stelde het WAN te moderniseren. Na verloop van tijd ontstonden geavanceerde SD-WAN platformen die de complexiteit van netwerken verder verminderden, de prestaties van applicaties verbeterden en efficiëntere connectiviteit tussen gebruikers en applicaties mogelijk maakten, ongeacht of deze applicaties zich in de cloud of het datacenter bevonden.
Naarmate cloud en multi-cloud echter aan belang wonnen, hadden enterprise IT-teams behoefte aan een nieuwe manier van denken over netwerkbeveiliging. En volgens Gartner betekent de term Secure Access Service Edge (SASE) een combinatie van netwerkbeveiligingsfuncties (zoals Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), firewall-as-a-service (FWaaS) en Zero Trust Network Access (ZTNA)), met WAN-mogelijkheden (d.w.z. SDWAN) om de dynamische beveiligde toegangsbehoeften van organisaties te ondersteunen. Dit raamwerk definieert de convergentie van WAN- en netwerkbeveiligingsfuncties in één enkel in de cloud geleverd model dat digitale transformatie-initiatieven beter ondersteunt dan legacy-modellen.
De derde en jongste “S”-pijler SSE (Security Service Edge) wordt gedefinieerd als “een set beveiligingsdiensten die een succesvolle SASE-architectuur mogelijk maken, waarbij mensen en gegevens in de cloud worden beveiligd zonder de gebruikerservaring te verslechteren”. Wij zien SSE binnen SASE als dé sleutel tot het verenigen van alle beveiligingsdiensten, waaronder SWG, CASB, en ZTNA, om de toegang tot web, clouddiensten en privé-applicaties beter te beveiligen. SSE-functies bieden zowel gegevensbescherming als bescherming tegen bedreigingen.
Of dit betekent dat ondernemingsorganisaties eenvoudigweg SASE kunnen omarmen om hun alomvattende beveiligings- en netwerkkader voor hun digitale transformatie te realiseren?
Helaas is het niet zo eenvoudig. In realiteit hebben IT-managers van bedrijven de taak om veilige network-layer connectiviteit te bieden voor alle apparaten en locaties met alle vereiste en relevante bedrijfsapplicaties. Om dat te bereiken, moeten leidinggevenden zich eerst twee vragen stellen:
1. Hoe beveilig je de toegang tot applicaties die verspreid zijn over meerdere clouds, datacenters en software-as-a-service applicaties?
2. Hoe beveilig je ook het groeiende aantal IoT-apparaten waarop geen endpoint agent kan draaien?
Het antwoord op de eerste vraag: SSE-functionaliteit die wordt geleverd door leveranciers van cloudbeveiliging, zoals Zscaler, Netskope en Check Point, met de API of service orkestratie-integraties met SD-WAN-platforms, voorziet in deze behoefte. Het kan zorgen voor de veilige connectiviteit van applicaties, ook tussen cloudproviders, datacenters en filialen.
Voor de tweede vraag schiet het huidige SASE-framework echter tekort. Voor veel geïmplementeerde IoT-apparaten is het niet praktisch of onmogelijk om een SSE ZTNA agent op het apparaat te draaien. Dit ondanks het feit dat IoT-apparaten vaak belangrijke punten van kwetsbaarheid zijn. Voor organisaties die vaak honderden, zo niet duizenden IoT-apparaten per locatie inzetten van veel verschillende leveranciers, zal uiteindelijk een van deze apparaten een beveiligingslek ondervinden. Om de kwetsbaarheid van het IoT te verhelpen, hebben ondernemingen geavanceerde SD-WAN nodig. IT kan gebruikmaken van oplossingen voor toegangscontrole op basis van identiteit.
Kortom, SSE-oplossingen én een geavanceerd SD-WAN-platform kunnen inspelen op de dubbele beveiligings- en netwerkvereisten van veilige toegang en IoT-connectiviteit, waarmee het SASE-framework dat nodig is om te voorzien in alle apparaten en locaties, wordt voltooid.
Multi-vendor of single-vendor SASE?
Nu de routekaart voor veilige connectiviteit voor de hele organisatie is vastgesteld, moeten leidinggevenden beslissen of ze een multivendor- of een single-vendorplatform voor SASE willen inzetten.
Als uitgangspunt biedt het Gartner-rapport “How to Align SD-WAN Projects with SASE Initiatives” de volgende aanbevelingen:
“Het kiezen van een single-vendor SASE-oplossing wordt bemoeilijkt door het gebrek aan oplossingen die best-of-breed bieden, en voor veel ondernemingen, niet eens goed genoeg functionaliteit over alle functionele domeinen van SASE. Nadat je hebt beoordeeld welke SD-WAN-aanbieders het meest geschikt zijn voor de organisatie, beoordeel je de beschikbare opties voor SSE die operationeel kunnen integreren met de SD-WAN van je voorkeur. Beoordeel met name het niveau van console- en API-integratie.”
Voor ondernemingen is de keuze duidelijk: een multivendor best-of-breed SSE en best-of-breed SD-WAN biedt de flexibiliteit om de beste beschikbare technologieën te kiezen voor SASE-migratie die is gebaseerd op zakelijke vereisten, niet op gemak.
Neem een overname-omgeving. Een onderneming koopt mogelijk een andere organisatie die onhandig een andere oplossing van een cloudbeveiligingsleverancier gebruikt. De volgende vraag die ze zich moeten stellen, is hoe het overnemende bedrijf het bestaande SD-WAN-platform zal integreren met de twee verschillende oplossingen van de beveiligingsleverancier. En verder, ondersteunt het heersende SD-WAN-platform API, service orkestratie en automatiseringen om een soepelere integratie van zowel SD-WAN als cloudbeveiliging mogelijk te maken?
Indien niet, verwacht dan een omslachtigere en duurdere integratie. Gelukkig kan voor degenen met geavanceerde SD-WAN-mogelijkheden dit best-of-breed SD-WAN-platform worden geïntegreerd met de toonaangevende leveranciers van netwerk-cloudbeveiliging. Met dit platform kunnen ondernemingen een SASE-framework configureren, implementeren en ontwikkelen met de flexibiliteit van cloud-leverde beveiligingsopties zonder concessies te doen aan best-of-breed technologieën. Deze robuustere aanpak voor SASE helpt het risico te verminderen dat gepaard gaat met de afhankelijkheid van één technologieleverancier om alle benodigde componenten te leveren, terwijl een veilige cloud-first digitale transformatie mogelijk wordt gemaakt.