5min

Bedrijfsnetwerken werden traditioneel beveiligd door een veilige perimeter. Als gevolg van de digitale transformatie verlaten werknemers en applicaties steeds vaker de grenzen van het netwerk en verplaatst de perimeter zich richting de individuele gebruiker en naar de ‘edge’. Dat betekent dat het Secure Access Service Edge-framework (SASE) nog relevanter wordt. Nathan Howe, Head of Transformation Strategy EMEA bij Zscaler legt uit waar SASE om draait.

Waarom krijgt het SASE-framework zoveel aandacht op het moment?

De COVID-19 pandemie heeft enorme momentum gecreëerd voor de implementatie van SASE-concepten. Maar zelfs voor de pandemie waren organisaties al gestart met het verplaatsen van hun applicaties en data naar multicloud-omgevingen en hebben zij hun werkomgevingen aangepast om te voldoen aan de vraag van de digitale nomaden. In deze setting worden de beperkingen van het traditionele netwerk goed zichtbaar en bieden traditionele perimeter-beveiligingsoplossingen niet langer naadloze, volledige beveiliging. Deze ontwikkelingen waren het begin van een zoektocht naar nieuwe concepten die de beveiligingsfunctie van het netwerk zouden wegnemen. De centrale vraag voor IT-afdelingen is nu: hoe kunnen we garanderen dat individuele gebruikers veilig toegang krijgen tot de applicaties die zij nodig hebben, ongeacht hun locatie of waar de applicatie en data zijn opgeslagen?

Dus, de beschermende perimeter moet nu om de gebruiker worden gebouwd?

Precies. Dat is een goede manier om het nieuwe scenario te visualiseren. Moderne gebruikers hebben via hun mobiele apparaten vanaf elke locatie toegang tot het internet. Bovendien maakt 5G-technologie mobiele verbindingen tot 10x sneller dan daarvoor. Naast al deze technologische ontwikkelingen is ook het dreigingslandschap veranderd. Cyberaanvallen doelen steeds vaker op individuele gebruikers als gateway naar de organisatie. SASE reageert op deze uitdagingen door de security-functie te verplaatsen van het netwerk naar de gebruiker. Het doel is om naadloze beveiliging te bieden over de gehele reis tussen de gebruiker en hun applicatie.

Kan SASE helpen de controle terug in handen van de IT-afdeling te leggen?

In traditionele setups had de IT-afdeling volledige controle over applicaties en gebruikers, zolang deze werden gehost in het datacenter of men op het netwerk werkte. Het IT-team was verantwoordelijk voor het beveiligen van de verbinding met het datacenter. Echter heeft de toenemende voorkeur voor de cloud geleid tot een nieuwe realiteit waarin de verantwoordelijkheid niet alleen meer bij de fysieke locatie ligt. Het internet is het nieuwe netwerk geworden dat de multi cloud-omgevingen beheert. Op basis hiervan dienen netwerkinfrastructuur en security-concepten aangepast te worden. Het doel is niet langer om de controle binnen het netwerk te behouden, maar om het security-risico te minimaliseren, rekening houdend met datastromen van en naar het internet. Dit is waar het SASE-concept – en het verplaatsen van de security-functie naar zo dicht mogelijk bij het endpoint, namelijk de individuele gebruiker – om de hoek komt kijken.

Wat betekent het woord ‘edge’ in de SASE-context?

Organisaties die het SASE-framework willen toepassen in hun security-oplossingen moeten eerst een aantal interpretatie-uitdagingen overkomen om uitgebreid en nauwkeurig begrip van het concept te bereiken. Het is niet gemakkelijk de term ‘edge’ te definiëren. In dit concept refereert het niet naar de grenzen van het fysieke netwerk. Organisaties moeten af van het idee dat een ‘edge’ refereert naar één locatie. En de teams verantwoordelijk voor implementatie moeten het idee loslaten dat het doel het beveiligen van een netwerk is. In feite is het doel om te garanderen dat de security-oplossing overal en altijd beschikbaar is. Een echt SASE-model zou gezien moeten worden als een alomvattende, holistische service in plaats van alleen een eindbestemming. Simpel gezegd, het framework omvat alle communicatie tussen het start- en het eindpunt. Het staat niet in de weg van het werk van de gebruiker, maar garandeert hen veilige toegang tot de applicaties en data die zij nodig hebben.

Gartner biedt een framework voor SASE. Hoe zouden organisaties de implementatie hiervan moeten aanpakken?

Het SASE-framework combineert uitgebreide WAN-mogelijkheden met een scala aan netwerksecurity-functies (zoals een veilige web gateway, cloud access security broker, firewalls as-a-service en zero trust network access) om dynamische en veilige toegang te ondersteunen. SD-WAN speelt bijvoorbeeld een belangrijke rol bij het bieden van veilige toegang tot applicaties die gehost zijn in de cloud. Zo ontstaat een directe route naar de app, zonder de noodzaak voor een omleiding via een hub-and-spoke-netwerk. Wat betreft security, speelt ook zero trust – of in andere woorden, autorisatie gebaseerd op de gebruikeridentiteit – een centrale rol. Met dit in het achterhoofd is het belangrijk voor organisaties om een holistische kijk op security te nemen die de moderne business-behoefte voor cloud-technologie en -mobiliteit, alsmede netwerk- en verbindingseisen weerspiegelt.

SASE is de drijvende kracht achter de fusie tussen het netwerk en security

Het Zscaler Cloud Security Platform is een service voor de implementatie van het SASE-framework. Het security-platform is ontwikkeld als een allesomvattende cloud-service om te voldoen aan de prestatie- en flexibiliteitseisen in het tijdperk van de cloud. Als wereldwijd platform met meer dan 150 locaties zijn gebruikers slechts op korte afstand van hun applicatie. Daarnaast is de security-filter in de cloud altijd up-to-date zonder enige handmatige gebruikersinteractie. Het platform stelt organisaties in staat een cloud-first architectuur te ontwikkelen voor de implementatie van cloud-projecten.

Zscaler Internet Access (ZIA) en Zscaler Private Access (ZPA) bieden veilige toegang tot het internet en toegang op afstand tot datacenters en multi cloud-omgevingen met de volgende functies:

  • Volledige en schaalbare SSL-inspectie is compleet en schaalbaar, gebaseerd op de ZIA proxy-architectuur.
  • Security-regels zijn dichtbij de gebruiker dankzij cloud-technologie, wat het omleiden van dataverkeer naar een datacenter onnodig maakt.
  • Zero Trust Network Access (ZTNA) via ZPA staat native applicatie-segmentatie en op regels gebaseerde toegang door individuele gebruikers toe op applicatieniveau.
  • Netwerk- en apparaat-identiteit worden niet langer online gepubliceerd waardoor er minder risico is op cyberaanvallen.

Deze aanpak maakt een veilige en high-performance toegang mogelijk tot applicaties gehost in complexe cloud-scenario’s. In deze nieuwe, cloud-based wereld, moeten individuele netwerken en securitysystemen vervangen worden door een holistisch, alomvattend framework van networking, security en connectiviteit om gemakkelijke en veilige toegang tot alle applicaties te bieden, ongeacht waar deze zijn gehost. Voor de gebruiker moet de focus liggen op veilige en snelle toegang tot alle vereiste apps – een beperkte gebruikerservaring kan niet langer worden gerechtvaardigd in het tijdperk van de cloud. De cloud-based werkplekmodellen van tegenwoordig bieden de vereiste flexibiliteit en agility die nodig is voor gebruikers om veilig en naadloos te werken vanaf elke locatie.

Dit is een ingezonden bijdrage van Nathan Howe, Head of Transformation Strategy EMEA bij Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.