Bij BrandLoyalty waren ze op zoek naar een wereldwijd dekkend WAN, maar dan zonder de hoofdpijn en andere zorgen die er normaal gesproken bij kwamen kijken. De keuze viel uiteindelijk op Cato Networks. Wij spraken met Ben de Laat en Arne van Vuuren, respectievelijk de Head of IT Security en Head of IT Operations van BrandLoyalty, over deze keuze.
BrandLoyalty is wellicht niet meteen voor iedereen een bekende naam. Toch hebben we er allemaal vaker mee te maken dan je op het eerste gezicht zou denken. Supermarkten behoren tot de voornaamste klanten van het bedrijf. Als je weleens gespaard hebt bij een supermarkt voor glazen, messen, of bijvoorbeeld voetbalplaatjes dan is de kans groot dat dit via een programma is waar BrandLoyalty achter zit.
BrandLoyalty is een internationaal bedrijf gevestigd in onder andere ’s-Hertogenbosch. Het beperkt zich in haar operatie zeker niet tot de Nederlandse markt overigens. BrandLoyalty heeft ongeveer 550 medewerkers en een groot wereldwijd bereik. Het bedrijf opereert hierdoor als een mini-multinational. Dit lijkt op het eerste gezicht wellicht niet zo’n belangrijke constatering. Toch heeft deze discrepantie tussen absoluut en relatief formaat best forse gevolgen. BrandLoyalty heeft hierdoor immers een wereldwijd netwerk nodig, maar geen grote aantallen medewerkers die zich daarmee bezig kunnen houden.
Tijd voor verandering
In de afgelopen twee jaar heeft BrandLoyalty de nodige stappen gezet om hun IT-infrastructuur te moderniseren. Dat begon met de overstap naar Microsoft Azure. Tot twee jaar terug had BrandLoyalty vrijwel alles on-premises staan. Inmiddels zit het bedrijf volledig in Azure. Dat past veel beter bij hun gedistribueerde businessmodel, geeft De Laat aan. Het is daarnaast ook veel schaalbaarder dan de omgeving die het bedrijf voorheen had.
BrandLoyalty heeft met de overstap naar Azure het gedeelte van hun digitale infrastructuur dat is gericht op klanten weer volledig bij de tijd gebracht. Aan de achterkant moest er echter ook het nodige gebeuren om deze op klanten gerichte systemen te kunnen beheren, maar ook om medewerkers optimaal te laten verbinden met de applicaties die BrandLoyalty gebruikt. Dat is waar Cato Networks om de hoek komt kijken. Je zou dus kunnen zeggen dat de overstap naar een full-cloud omgeving in Azure ervoor heeft gezorgd dat BrandLoyalty ook eens goed ging kijken naar hun WAN.
Geavanceerd maar complex
De WAN van BrandLoyalty was zeker geen ondergeschoven kindje voor De Laat en Van Vuuren, laten we dat vooropstellen. Zoals Van Vuuren het zegt: “Ons WAN was erg geavanceerd, maar toch werkte het nog altijd niet goed. Vooral het operations-gedeelte was erg matig.”
Met andere woorden, het WAN van BrandLoyalty was naast geavanceerd ook erg complex. Men maakte gebruik van lokale firewalls met SilverPeak optimizers en MPLS en op sommige sites had BrandLoyalty naast MPLS ook een dubbele WAN-connectie. Met daarbovenop ook nog zaken zoals failover en dynamische routing heb je een behoorlijk complexe omgeving. Daarnaast gebruikte BrandLoyalty de nodige legacy applicaties die in een private cloud ergens in Europa stonden. Dat zorgde voor nog een extra laag in complexiteit. Het resultaat van deze complexiteit was een omgeving die voor te veel problemen zorgde bij eindgebruikers. Ook was er op het gebied van zichtbaarheid en inzicht in hoe alles werkte ruimte voor verbetering.
Al met al had BrandLoyalty een vrij duidelijke lijst met verbeterpunten waarvoor een oplossing moest komen. Met de ervaring uit het verleden, met een veel te complexe omgeving, wisten van Vuuren en De Laat een ding zeker; ze wilden een geïntegreerde oplossing. Dat zou veel van de problemen oplossen die een dergelijke complexiteit met zich meebrengt. “Ik heb geen netwerkengineers in mijn team, we richten ons alleen op operationele zaken”, legt Van Vuuren de noodzaak van zo weinig mogelijk complexiteit nogmaals uit. De Laat voegt zich bij het sentiment door te stellen dat hij internet als water uit een kraan ziet. Het moet gewoon altijd beschikbaar zijn.
BrandLoyalty, SASE en Cato Networks
Als je als organisatie tegenwoordig op zoek gaat naar (SD-)WAN-oplossingen, dan kom je onherroepelijk de term SASE tegen. Dit concept is de wereld in geholpen door Gartner in 2019. Dat heeft als effect dat plots iedere leverancier die iets met SD-WAN, WAF’s of andere WAN-technologieën doet, het over SASE heeft. Het is dan ook niet gek dat De Laat al vrij snel tegen het SASE-model aanliep, toen hij zich voor het eerst in 10 jaar weer eens verdiepte in WAN.
De Laat geeft aan dat hij vrijwel meteen gecharmeerd was van SASE. Het duurde volgens hem wel even voor hij helemaal scherp had hoe SASE fundamenteel verschilt van de gebruikelijke benadering. Toen hij dat eenmaal helder had, was hij echter overtuigd. Hij zag ook meteen dat er heel veel ruis is op het gebied van SASE. Niet iedereen die zegt het aan te bieden, biedt het ook echt aan. Hij had bij Cato wel meteen door dat het ook echt SASE is wat het aanbiedt.
Waar De Laat er eigenlijk meteen wel van overtuigd was dat SASE en dan Cato in het bijzonder conceptueel de juiste route was, nam Van Vuuren een wat meer pragmatisch standpunt in. Hij was eigenlijk helemaal niet zo enthousiast aan het begin. Deels omdat hij de oplossing nog niet echt helemaal had doorgrond, maar hij vroeg zich vooral af hoe Cato het beloofde in de praktijk zou realiseren. Cato is doorgaans nogal stellig in de uitspraken die het doet, dus daar kunnen wij ons in ieder geval zeker iets bij voorstellen. Zo stelde een woordvoerder van het bedrijf in een eerder artikel onomwonden dat Cato de enige echte SASE-leverancier is op de markt.
Van Vuuren werd echter stukje bij beetje overtuigd. Vooral de security-component van SASE en van Cato Networks speelde hierbij een belangrijke rol. En dan vooral het Zero Trust-aspect ervan. Voor De Laat was dit gezien zijn rol binnen BrandLoyalty vanzelfsprekend ook een cruciaal onderdeel. Op het gebied van security was de oplossing van Cato heel snel en transparant. Dat zijn nu juist de kenmerken waar BrandLoyalty naar op zoek was.
Gaan voor iets nieuws met toekomst
De keuze van BrandLoyalty voor Cato Networks was natuurlijk niet meteen gemaakt. Het bedrijf zette een RFP uit bij vier leveranciers. Opvallend genoeg kwam de beslissing om voor Cato te kiezen niet tijdens een call met Cato, geeft De Laat aan. Ze namen dit besluit tijdens een call met een van de andere leveranciers. Toen realiseerden ze zich dat ze voor iets nieuws wilden gaan, ook richting de toekomst.
Dit besef kwam toen ze luisterden naar hoe deze andere leverancier hun omgeving op wilde gaan zetten. Het plan was om speciaal voor BrandLoyalty een design te maken met een aantal Points-of-Presence (PoP’s) om de dienstverlening te kunnen aanbieden. Deze PoP’s zouden precies zo verdeeld worden dat het WAN van BrandLoyalty er optimaal van kon profiteren. Dit druiste echter in tegen een van de basisprincipes van De Laat en Van Vuuren, namelijk dat ze geen maatwerk wilden.
Toen ze de vraag stelden wat er zou gebeuren als BrandLoyalty over twee jaar een CASB-oplossing wil implementeren, moest die partij een bevredigend antwoord schuldig blijven. Het zou dan in een enkele van de speciaal voor BrandLoyalty opgezette PoP’s moeten worden geïmplementeerd. Dat slaat alleen nergens op, omdat dan al het verkeer via die locatie gerouteerd moet worden. Daarmee ben je niet bepaald modern bezig. Het heeft ook een forse impact op de prestaties van je WAN.
Bij Cato Networks loopt BrandLoyalty niet tegen bovenstaand probleem aan, al was het maar vanwege het aantal PoP’s dat het wereldwijd heeft. Ten tijde van ons vorige gesprek met Cato ging het al om zo’n 70 van deze ‘opstappunten’. Ieder kwartaal voegt het bedrijf er zo’n 3 à 4 toe. Deze zijn niet speciaal voor specifieke klanten, maar voor wie ze nodig hebben. Alle security-componenten zijn ook aanwezig op al die locaties. Dat maakt het zeker ook richting de toekomst een overtuigend verhaal voor BrandLoyalty.
Meest volwassen oplossing op de markt
Naast de flexibele beschikbaarheid van de diensten, is het toch ook vooral het totaalplaatje dat Cato Networks aanbiedt waar BrandLoyalty uiteindelijk voor ging. “Alles zit er in principe in,” geven De Laat en Van Vuuren aan. Dat maakt het de meest volwassen totaaloplossing op de markt. Dat is heel erg belangrijk, geeft Van Vuuren nogmaals aan. “WAN is zo complex, dat je er wakker van kunt liggen, dus je wilt de weg van het laagste risico”, vat hij het samen.
Van Vuuren pakt op dit moment in het gesprek overigens ook een moment om het belang van een integratiepartner te benadrukken. In het geval van BrandLoyalty is dat IPknowledge. Maar ook op dit punt heeft de keuze voor Cato significante positieve gevolgen. Aangezien Cato met een private backbone zorgdraagt voor de verbindingen, kan IPknowledge zich primair richten op het leveren van de lijnen. IPknowledge is daarnaast ook het operationele aanspreekpunt voor BrandLoyalty. Het gevolg hiervan is ook dat IPknowledge hun beste personeel niet hoeft in te zetten voor het bouwen van complexe WAN-oplossingen, maar dat deze nu kunnen helpen bij het operationele gedeelte. Dat zorgt onder de streep daar dus ook voor een beter eindresultaat.
Snelle overstap en snelle prestaties
Een derde belangrijke pijler onder de positieve ervaringen van BrandLoyalty met Cato Networks zijn de prestaties. Allereerst de snelheid waarmee de overstap gedaan kon worden. De Laat en Van Vuuren noemen dit zonder omhaal “zeer indrukwekkend”. Als je ervoor zorgt dat je de lijnen hebt, dan kun je heel snel overstappen. Ook hier komt IPknowledge weer om de hoek kijken uiteraard. Verder is het implementeren van Cato zelf zo gedaan. Meer dan een middag kostte het niet. Het enige wat je nodig hebt is een aansluiting, daarna kun je van start. Let wel, de hele migratie naar de nieuwe omgeving duurt iets langer dan een middag. De Laat en Van Vuuren geven aan dat dit met 2,5 maand ook erg snel ging.
Niet alleen de overstap naar Cato en de migratie van de WAN-omgeving ging snel overigens. Ook de pure prestaties van de omgeving zelf zijn zeer goed, geven De Laat en Van Vuuren aan. Met name Van Vuuren kon haast niet geloven dat Cato kon leveren op dit punt. “De Cato sockets zijn heel erg krachtig en hebben vrijwel geen overhead”, legt hij zijn verbazing nog wat verder uit. Dit is mogelijk dankzij TLS-over-UDP, waarbij je de encryptie van TLS combineert met de snelheid van UDP. Dat is best bijzonder, aangezien TLS in eerste instantie ontwikkeld is voor gebruik met TCP, niet voor UDP. De combinatie van TCP en TLS zorgt wel voor de overhead waar Van Vuuren bang voor was, met TLS-over-UDP is dit niet het geval.
Eerste ervaringen
BrandLoyalty zet Cato Networks sinds 1 december in als basis voor hun WAN. Gevraagd naar de eerste ervaringen, geven De Laat en Van Vuuren aan dat deze zonder meer positief zijn. Cato zorgt voor veel meer en snellere mogelijkheden op operationeel gebied. Voorheen moesten ze een heel complexe WAN-omgeving configureren om van A naar B te kunnen, nu kan dat zeer snel geïmplementeerd worden. Vooral dus vanwege het feit dat Cato al die complexiteit overbodig heeft gemaakt.
Een van de resultaten van de overstap naar Cato Networks is dat het WAN van BrandLoyalty nu niet alleen sneller en flexibeler is, maar ook een stuk veiliger. Hun vorige netwerk was namelijk erg open, geeft De Laat aan. Het was simpelweg onmogelijk om alles optimaal in te richten voor iedereen. Binnen Cato kun je heel eenvoudig een set regels aanmaken, waarbij het heel duidelijk is wie waarmee mag en kan verbinden. Medewerkers kregen hier ook meldingen van.
Meer inzichten klinkt altijd wel goed, maar hoe gaat dit in de praktijk? Verdrink je dan niet in de data? Dat is ook waar De Laat in eerste instantie bang voor was. Maar die vrees bleek ongegrond, geeft hij aan. Je kunt namelijk heel eenvoudig filteren. Zo kun je in een oogopslag zien wat er gebeurt in omgevingen die internet-facing zijn, maar ook heel snel zien welk IP met welke PoP verbindt.
Invloed gaat voorbij WAN
BrandLoyalty zet Cato Networks in eerste instantie vanzelfsprekend in voor het inrichten van hun WAN. Toch heeft de overstap ook een impact op andere onderdelen van het bedrijf. Zo heeft het bedrijf nu een RFP uitstaan voor het moderniseren van hun LAN, dus het lokale netwerk binnen de vestigingen van het bedrijf. Ook dat willen ze naar eigen zeggen dichterbij Cato zien te krijgen. De MDR-component van Cato speelt hierbij een belangrijke rol, geven De Laat en Van Vuuren aan.
Je zou dus kunnen zeggen dat de overstap naar Cato Networks ervoor heeft gezorgd dat BrandLoyalty ook uitgedaagd wordt om hun netwerk als geheel professioneler te maken. In dit opzicht is de overgang naar Zero Trust belangrijk om aan te stippen.
Cato doet wat het belooft, ook richting de toekomst
Al met al kunnen we op basis van ons gesprek met BrandLoyalty wel stellen dat Cato Networks niet alleen stevige uitspraken doet, maar dat het deze ook kan waarmaken. Dit is in ieder geval zo voor BrandLoyalty, maar er is geen reden om aan te nemen dat dit in andere gevallen niet zo is. Het is vooral de eenvoud die de keuze voor Cato Networks heeft gebracht waar zowel De Laat als Van Vuuren met enige regelmaat op terugkomen.
Ter illustratie haalt Van Vuuren de recente aankondiging door Cato Networks van hun CASB-uitbreiding aan. Als hij naar aanleiding daarvan aan Cato vraagt wat ze moeten doen om zich erop voor te bereiden, dan is dat heel snel duidelijk. Daarnaast zal het ook goed integreren in wat ze al hebben, daar kunnen ze blind van uitgaan. Dit omdat er geen maatwerk aan te pas hoeft te komen. Een dergelijke ervaring kunnen andere leveranciers simpelweg niet leveren.
Als De Laat en Van Vuuren dan toch een minpuntje moeten noemen, dan is het dat de salesafdeling van Cato niet over de as van de inhoud schakelde, maar te veel aan de oppervlakte bleef. Het gebruik van technische pre-sales consultants zou volgens hen de boodschap van Cato Networks veel duidelijker over kunnen brengen. Als het dat doet, dan heeft Cato een zeer overtuigend verhaal en is het ook meteen vanaf het begin duidelijk voor klanten dat datgene wat het bedrijf belooft ook pragmatisch haalbaar is. Want dat blijft toch ook zeker hangen aan het einde van ons gesprek. Cato Networks belooft veel, maar kan het ook daadwerkelijk waarmaken.
10 uur geleden
