3min

Tags in dit artikel

, ,

Het begrip secure access service edge (SASE) zingt al een tijdje rond. Wie op zoek is naar netwerkoplossingen voor z’n organisatie, of gewoon geïnteresseerd is in ontwikkelingen en trends in netwerkservices, is SASE ongetwijfeld tegengekomen. En heeft vast ook wel eens de vraag gesteld: wat is SASE nou precies? Dan wordt het vaak mistig. Want verschillende partijen geven verschillende antwoorden. De hoogste tijd om de feiten over SASE op tafel te leggen. Wat is het, waar komt het vandaan en hoe verhoudt het zich tot software-defined wide area networking (SD-WAN).

De eenvoudigste manier om het uit te leggen, is om SASE te zien als een soort wide area network (WAN) met geïntegreerde  beveiligingfunctionaliteiten, maar dan zonder de centrale architectuur en het datacenter als basis. SASE-architectuur zit in de cloud. Een lokale vestiging of een enkel apparaat maakt contact met de service edge via verschillende, verspreide points of presence (PoPs). Zo heeft SASE dus weinig van doen met het publieke internet, behalve als af en toe gebruik wordt gemaakt van clouddiensten van Amazon Web Services (AWS) en Google Cloud Platform (GCP). Er is nog een verschil met WAN-opties. SASE heeft eigen, ‘ingebouwde’ functies voor netwerkveiligheid.

Wat is de oorsprong van SASE?

Is SASE vergelijkbaar met SD-WAN (software defined WAN) dan of is het de vervanger? Soms wordt SASE wel genoemd als ideale vervanger van SD-WAN. Dat is het niet. In de praktijk kan SD-WAN nu naast SASE functioneren of een (kern)element zijn van een SASE-service. Het fundamentele verschil tussen beide is dat SD-WAN gebruik maakt van het openbare internet (als virtuele overlay voor de connectiviteit) en dat SASE dat grotendeels vermijdt.

Waar komt SASE vandaan? Gartner noemde het voor het eerst halverwege 2019 in zijn Hype Cycle report en is in daaropvolgende rapporten en publicaties doorontwikkeld, zoals in het ‘Say Hello to SASE’-blog. In die laatste publicatie poneerden de auteurs dat SASE een nieuw pakket van netwerk- en securitytechnologieën is, en welke voornamelijk ‘as a Service’ geleverd wordt. Het concept SASE, dat zich continu blijft ontwikkelen, was daarmee geboren. Het is dan ook meer een framework dan een specifieke technologische dienst of oplossing.

De vijf kenmerken van SASE

Dat gebrek aan duidelijkheid over wat SASE nou precies is, betekent ook dat elke technologieaanbieder kan claimen een SASE-leverancier te zijn. Vaak gaat het dan om oplossingen die op z’n best ‘bijna-SASE’ zijn. Sommige bieden een netwerkmodel aan dat gecompromitteerd is door een hoge latency, of dat niet voldoet aan de definitie van het SASE-concept. Maar zolang er nog geen algemeen geaccepteerde standaard is, blijven inconsistenties bestaan.

Echter, een oplossing die de term SASE waard is, moet in ieder geval deze vijf beveiligingskenmerken in combinatie met software gedefinieerde netwerkstandaarden hebben

  • Secure web gateways (SWGs): deze portals scannen al het inkomende verkeer voor kwaadwillende codes, verdachte URL’s, malware en andere cybersecurity-dreigingen, volgens de parameters van het securitybeleid van de netwerkbeheerder.
  • Cloud access security broker (CASB): CASBs moet voorkomen dat het gat in de beveiliging in het pad tussen de eindgebruiker bij een SASE-toegangspunt en een cloudserviceprovider niet kan leiden tot bedreiging van vertrouwelijke data.
  • Next-generation firewalls (NGFWs): de afhankelijkheid van SASE van de cloud maakt het noodzakelijk dat er firewalls zijn die integrale veiligheid bieden voor zowel de cloudomgeving als de fysieke omgeving, die afhankelijk van de provider, gevirtualiseerd  of op hardwarebasis kunnen zijn.
  • Advanced threat protection (ATP): de malware van cyberaanvallers wordt steeds complexer, geavanceerder en lastiger te verslaan. ATP-systemen combineren tools voor endpointbeveiliging, e-mail-gateways, anti-malware technologieën en andere methodes om cyberdreiging aan te pakken.
  • Zero trust network access (ZTNA): deze beveiligingsoplossing geeft SASE-netwerken de mogelijkheid om toegang te beperken door de gebruikers, apparaten en apps te identificeren, in plaats van locaties en IP-adressen. Dat is in deze tijden van hybride en decentraal werken zeer waardevol.

SASE is relatief nieuw en dat zorgt misschien nog voor onduidelijkheid over wat het nou precies is. Maar de ontwikkelingen gaan snel. De behoefte aan een oplossing waarbij gebruikers veilig toegang hebben tot het netwerk op basis van identiteit, apparaat en toepassing en niet op basis van een IP-adres of de fysieke locatie, is met de verschuiving naar hybride werken, er groot. Cloud-gebaseerde SASE maakt een naadloos, veilig, snel en robuust netwerk tussen gebruikers, private en publieke clouds en het datacenter van een onderneming mogelijk. De kans is groot dat er binnen afzienbare tijd geen enkele onduidelijkheid meer bestaat over de functie en de voordelen van SASE.

Dit is een ingezonden bijdrage van GTT. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.