SASE is zonder twijfel een van de gevleugelde termen van het moment. Je hoort het overal en iedereen lijkt het tegenwoordig aan te bieden. Maar wat is het nu echt en kan iedereen zich tegenwoordig zomaar SASE-leverancier noemen?
Gartner is een behoorlijk machtig platform. Vrijwel alle organisaties kijken naar de ranking van potentiële leveranciers voor ze iets aanschaffen. Daarnaast bedenkt Gartner ook regelmatig nieuwe termen, die het dan vervolgens vaak ook in hun befaamde hype cycle presenteert. In 2019 bedacht men de term SASE, dat staat voor Secure Access Service Edge. SASE heeft de afgelopen jaren een enorme vlucht genomen. In de basis is het niet meer dan een netwerkmodel dat meerdere, bestaande componenten samenvoegt. Het gaat dan specifiek over het samenvoegen van het beheer van de WAN (SD-WAN) en het beveiligen ervan. Bij dat laatste kun je denken aan zaken zoals CASB, ZTNA en FWaaS. Het geheel moet vanuit de cloud geleverd worden. Dat wil zeggen, het opzetten, implementeren en het beheren ervan gebeurt in en vanuit de cloud.
Als Gartner met een dergelijke nieuwe term op de proppen komt, kun je ervan uitgaan dat het belangrijk wordt voor organisaties in de markt. Dat betekent vanzelf ook dat steeds meer leveranciers zich op SASE storten. Dat is ook goed te zien inmiddels, vertelt Boaz Avigad van Cato Networks ons. Er zijn meer dan 30 leveranciers die het in hun aanbod claimen te hebben. Daar zitten grote en al vrij oude spelers zoals Cisco en VMware tussen, maar ook kleinere en wat meer recente spelers zoals Netskope en Zscaler.
Verder is er ook een onderscheid in partijen die een cloud-native insteek hebben gehad vanaf het begin en partijen waarbij een on-prem appliance als basis fungeerde of nog steeds fungeert. Palo Alto Networks is een voorbeeld van een van origine on-prem benadering.
SASE is er een vele vormen
Bovenstaande vijf namen geven aan dat het SASE-landschap vrij divers is. Aan de ene kant heb je de infrastructuuraanbieders die richting SD-WAN zijn gegaan en zo bij SASE uitkomen. Aan de andere kant heb je de (cloud-native) security-spelers die er vanuit bijvoorbeeld CASB of ZTNA ingerold zijn.
Cato Networks (opgericht in 2015) is een uitzondering op de leveranciers zoals je die hierboven ziet staan. Het is namelijk van origine een SASE-bedrijf, geeft Avigad aan. Ze zijn er niet ‘ingerold’ zoals dat bij andere aanbieders het geval is. Dat maakt hen uniek in de markt. “Wij zijn de enige echte SASE-leverancier die alles kan leveren”, geeft hij aan. Dat zijn stellingen waar wij van houden en waar we meer over willen horen.
Cloud als basis
Een van de redenen waarom Avigad het aanbod van Cato Networks uniek noemt, is dat het SASE aanbiedt als een enkele cloud-native dienst. Dat is niet alleen een voorwaarde om te kunnen voldoen aan de definities die Gartner heeft bedacht voor SASE. Het zorgt er ook voor dat je verkeer optimaal kunt routeren.
Maak je nog gebruik van oude VPN-oplossingen of van SDP/ZTNA-oplossingen die nog niet vanuit de cloud geleverd worden, dan heb je niet wat een enkele cloud-native SASE-dienst kan bieden. Maak je dan als thuiswerker bijvoorbeeld gebruik van een SaaS-applicatie, dan moet je bij eerst via de cloud naar on-prem, om vervolgens naar de cloud geleid te worden. Dat is verre van efficiënt en ook qua prestaties niet wenselijk.
Maar ook als de cloud wel als basis dient voor toegang op afstand, wil dit nog niet zeggen dat alles goed geïntegreerd is. Avigad noemt hier het voorbeeld van Zscaler. Dat heeft met ZPA een cloud-gebaseerde ZTNA-dienst, maar die staat in principe los van hun cloud security-oplossing, ZIA. Dat maakt het totaalplaatje (waar we hieronder op terugkomen) minder eenduidig dan je van SASE mag verwachten.
Points-of-Presence
Om de dienst te kunnen bieden, maakt Cato Networks gebruik van zogeheten PoP’s, oftewel Points-of-Presence in de cloud. Op dit moment heeft het ongeveer 70 van deze PoP’s. Per kwartaal voegt Cato Networks zo’n 3 à 4 van deze ‘opstappunten’ voor de Cato Cloud voor klanten toe. Cato Networks zet overigens alleen publieke PoP’s in, je kunt er niet eentje in een private cloud of on-premises hebben. Wel kun je een SD-WAN-appliance in je omgeving zetten die vervolgens verbinding maakt met de dichtstbijzijnde PoP in de cloud.
De PoP’s zelf zijn onderling ook met elkaar verbonden. Dit vindt redundant plaats via Tier 1-netwerken. Dat wil zeggen dat iedere PoP verbinding maakt met twee Tier 1-netwerken. Dit zorgt voor een zeer snelle, stabiele verbinding van hoge kwaliteit, ook als je bijvoorbeeld een verbinding legt tussen een branchkantoor in New York en een datacenter in Londen.
Private backbone
Let wel, het gaat hier om een private backbone, volledig afgescheiden van het ‘normale’ internet. Daarmee is het ook meteen een modern en betaalbaarder alternatief voor het dure MPLS. Het is doorgaans ook beter beschikbaar dan MPLS. Dat maakt vaak gebruik van een enkele verbinding, omdat het zo duur is. Cato Networks heeft de verbindingen zoals hierboven aangegeven redundant uitgevoerd.
De winst die je kunt boeken door je verkeer via de PoP’s en de private backbone van Cato Networks te laten lopen kan serieus zijn, geeft Avigad aan. Dit is uiteraard afhankelijk van het type applicatie. Voip en videoconferencing zijn zeer gevoelig voor latency, jitter en andere issues, daar merk je de grootste voordelen bij. Maar ook een populaire dienst zoals Salesforce kan erg langzaam worden als de verbinding niet goed is. Het publieke internet is gewoon niet goed genoeg om aan alle voorwaarden en eisen van zakelijke applicaties te kunnen voldoen, concludeert Avigad. Het feit dat het peperdure MPLS er is, bevestigt dat in principe ook. Dat zet je niet in als het ook via het publieke internet kan.
Totaalplaatje
De combinatie van de PoP’s en de private backbone biedt klanten alles wat ze nodig hebben op het gebied van SASE. Allereerst is daar uiteraard SD-WAN voor zaken zoals WAN-optimalisatie, dynamische routing, packet loss mitigation en cloud optimization. Het doel hiervan is dat je applicaties en daarmee ook de medewerkers altijd optimaal functioneren. Zo maakt cloud optimization het mogelijk voor de verbinding om te schakelen tussen PoP’s, afhankelijk van de applicatie die je gebruikt. PoP en applicatie moeten zo kort mogelijk bij elkaar in de buurt draaien voor optimale prestaties. Deze en andere optimalisaties van verbindingen over grote afstand kun je dus niet los zien van de private backbone, geeft Avigad aan. “Vrijwel alle SD-WAN- en SASE-leveranciers hebben dit niet, het onderscheidt Cato echt van de andere spelers”, stelt hij.
Naast het netwerk- en routing-gedeelte heeft SASE uiteraard ook nog de security-component. De PoP’s van Cato Networks zijn daar uiteraard ook van voorzien. Alle PoP’s zijn identiek en bieden een firewall, Zero Trust Network Access (ZTNA) of Software-Defined Perimeter (SDP), Intrusion Prevention System (IPS), Cloud Access Security Broker (CASB) en Secure Web Gateway (SWG).
Meer dan de som der delen
Al met al heeft Cato Networks dus een zeer compleet SASE-verhaal. Het heeft SD-WAN, security en een private backbone, allemaal vanuit de cloud geleverd. Daarmee is Cato Networks uniek in de markt, stelt Avigad nogmaals. Er zijn partijen zoals Zscaler die het securitygedeelte perfect op orde hebben, maar die hebben dan bijvoorbeeld weer geen private backbone met wereldwijde dekking. Voor dat SD-WAN-gedeelte moet je dan met een andere oplossing aan de slag.
Ook als je als leverancier wel alle componenten hebt (denk aan NTT bijvoorbeeld), betekent dit nog niet dat je het als een enkele oplossing kunt leveren aan klanten, geeft Avigad aan. Cato Networks doet dit wel. Dit heeft enkele voor de hand liggende voordelen. Alles wordt beheerd vanuit een enkel punt en alerts komen daar ook binnen. Op deze manier kun je een enkele flow creëren. Dat is uiteindelijk het voornaamste voordeel van het convergeren van de verschillende SASE-onderdelen. Aangezien Cato Networks de oplossing vanuit de cloud levert, hoef je ook geen appliances meer te beheren. Dat is bij veel andere leveranciers die SASE zeggen te leveren nog vaak wel het geval.
Complexiteit vraagt om convergentie
Het mag duidelijk zijn dat Cato Networks zichzelf ziet als de enige speler op de markt die SASE echt goed voor elkaar heeft. Dat wil zeggen, het volgt de definities van Gartner tot op de letter. In principe zegt dit nog niet zo heel veel natuurlijk. De snelste route naar een eindpunt hoeft niet altijd de enige goede te zijn. In theorie zou het dus best kunnen dat samengestelde oplossingen van meerdere SASE-leveranciers ook een goed eindresultaat op kunnen leveren.
Bij Cato Networks is men het niet eens met bovenstaande stelling. Samengestelde oplossingen zullen nooit het niveau hebben van wat Cato Networks biedt, volgens Avigad. “Als je geen geconvergeerde oplossing biedt, kun je simpelweg niet bieden wat Cato kan bieden”, stelt hij. Als je zoals Cato Networks alles aanbiedt in een enkele oplossing, kun je zaken beter optimaliseren. Dat moet een betere ervaring voor de eindgebruikers opleveren. Ook hou je zaken zoals de uitrol van updates veel beter in de hand. Je haalt mede hierdoor ook vrijwel al het beheer weg bij de klanten.
Betere prestaties gekoppeld aan minder gedoe klinkt zonder meer als een aantrekkelijk vooruitzicht voor klanten. Volgens Avigad is het echter ook gewoon noodzakelijk om het op deze manier te doen. Het gedistribueerde karakter van IT-omgevingen tegenwoordig en de continue groei ervan, maakt alles te complex om nog zelf goed te kunnen beheren. Cato Networks speelt hier als zelfverklaarde enige echte SASE-speler goed en overtuigend op in. Hoe het in de praktijk zal gaan, is natuurlijk afwachten. Gaan we meer leveranciers zien die de Cato-route omarmen, of blijven zij SASE maar gedeeltelijk aanbieden? Wellicht dat er eerst een SASE MQ moet komen van Gartner voor men die beslissing definitief gaat nemen.
16 uur geleden
Expert bijdrage
