Aan de slag met SASE: een gids voor het vermijden van veel voorkomende valkuilen en het verzekeren van succes

Abonneer je gratis op Techzine!

Secure Access Service Edge (SASE) is het nieuwe security framework gedefinieerd door Gartner en is ontworpen met de digitale workspace in het achterhoofd. Door de groeiende mobiliteit van werknemers en implementatie van de cloud zijn in de afgelopen jaren veel grenzen verlegd voor gebruikers. En in de toekomst zullen dat nog minder grenzen worden doordat traditionele datacenters en zakelijke netwerkstructuren verouderd raken. Ook het applicatielandschap blijft groeien in complexiteit. Gebruikers verwachten dat op elke locatie en via elk device gebruik gemaakt kan worden van services. Voor enterprises brengt dit talloze security-gevolgen met zich mee.

Het SASE-concept houdt in dat al het verkeer tijdens de gehele reis beveiligd wordt – van device tot de uiteindelijke applicatie – ongeacht waarvandaan de gebruiker zich verbindt of welk device er gebruikt wordt. Het basisidee van het SASE-model is dat de beveiliging van de reis – en niet alleen van het eindpunt – het meest belangrijk is.

Gartner heeft voorspeld dat 40 procent van de organisaties tegen 2024 zal overwegen SASE toe te passen. Een waarschuwing voor organisaties die hieraan beginnen, samen met hun digitale transformatie-initiatieven: als het framework niet correct wordt toegepast, kan dit voor problemen zorgen. Het nadeel van de early adopter is dat er weinig praktische informatie voorhanden is voor organisaties met betrekking tot het correct toepassen van SASE.

De grootste fout die ik organisaties zie maken, is denken dat zij SASE kunnen implementeren door hun bestaande security-controles simpelweg te kopiëren naar een cloud-omgeving. Deze aanpak isoleert gebruikers in één ecosysteem en is in essentie niet anders dan het traditionele hub-and-spoke netwerkmodel. Een tweede veelgemaakte fout is SASE te zien als een service, terwijl het in feite een combinatie van verschillende services is, waaronder SD-WAN, software-defined perimeter (zero trust network access) en DNS-bescherming.

Een volgende misvatting is de ‘edge’ zelf en wat dit betekent in een SASE context. Door dit te interpreteren als letterlijk de rand van een netwerk, riskeren organisaties dat zij de verkeerde soort controles alleen op deze punten toepassen, terwijl het SASE-model zich niet beperkt tot een enkele eindbestemming. Het gaat tenslotte om de reis als geheel en niet alleen de bestemming.

SASE: Een drie-stappen gids voor succes

De eenvoudigste manier voor organisaties om te starten is SASE te zien als een framework voor alle eindbestemmingen. Alles moet ergens beginnen en ergens eindigen, met daarbij de controles om de communicatie tussen die twee punten te beveiligen, zonder extra complexiteit toe te voegen.

Het focussen op de volgende drie stappen helpt organisaties om het meeste uit hun SASE-project te halen:

  1. Identiteit: een belangrijke eerste stap bij het implementeren van SASE is het achterhalen van de identiteit van de bron en de eindbestemming. Organisaties moeten daarom weten wie of wat de service wil gebruiken en moeten volledige kennis hebben van hun gehele gebruikersbestand en al hun verschillende toegangsrechten.
  2. Bestemming: Ten tweede moeten organisaties begrijpen waar hun gebruikers precies naar toe gaan. De bron en de eindbestemming moeten direct worden begrepen, zodat gebruikers zich gemakkelijk kunnen authenticeren (een gebruiker uit Frankfurt zou bijvoorbeeld lokaal toegang moeten krijgen in plaats van geleid te worden via de VS).
  3. Beleid: Als laatste, maar zeker niet als minste in de lijst van SASE- overwegingen staan controles en beleid. Alleen wanneer bron, bestemming en toegangscontroles worden samengebracht, kan SASE deze punten veilig verbinden en de gebruiker naar de best mogelijke locatie leiden. Controles zijn hier de essentiële component, maar context is cruciaal om intelligente beslissingen te kunnen nemen op basis van bron en eindbestemming. En verschillende applicaties hebben verschillende controles nodig. Organisaties moeten ervoor zorgen dat zij een vooraf gedefinieerd beleid hebben dat rekening houdt met verschillende scenario’s met betrekking tot identiteit en eindpunt. Een gebruiker kan bijvoorbeeld via een thuisnetwerk verbinding maken met een SASE-node en toegang worden verleend door een dergelijk vooraf gedefinieerd scenario, maar uiteindelijk toch geweigerd worden als hij of zij zich ineens verbindt vanaf een onbekende locatie. Uiteindelijk zal het aantal controles variëren voor elke organisatie en is er geen one-size-fits-all SASE-oplossing.

Zodra organisaties deze drie punten hebben geregeld – identiteit, eindbestemming en beleid – is het verstandig om vervolgens één applicatie of een aantal gebruikers te selecteren om het implementatieproces te starten. Ik zou niet adviseren het SASE-model direct toe te passen op de hele organisatie. Tenzij je een start-up bent en vanuit niets begint, maar die zijn er erg weinig. Hoe dan ook, kennis is macht en grondige voorbereiding met een volledige inventory is essentieel voor een soepele en succesvolle SASE-implementatie.

Een revolutie in netwerkbeveiliging is begonnen. De organisaties die er niet in slagen zich voor te bereiden op SASE zullen met een concurrentienadeel achterblijven.

Dit is een ingezonden bijdrage van Nathan Howe, Director of Transformation Strategy bij Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.