Gartner’s Secure Access Service Edge (SASE) framework is ontwikkeld als reactie op de dagelijkse uitdagingen met betrekking tot de moderne werkplek. In dit tijdperk waarbij we werken vanaf elke locatie, moeten bedrijven in staat zijn om hun gebruikers, apparaten en applicaties veilig te verbinden. Zonder terug te hoeven vallen op een traditionele netwerkinfrastructuur. Om dit te bereiken moet de beveiligingsfunctie verschuiven van het netwerk naar de edge, dichter bij elke individuele medewerker.
In de moderne wereld worden applicaties niet langer alleen gehost in datacenters; steeds vaker kiezen bedrijven ervoor om applicaties te hosten in multicloud-omgevingen. Daarnaast worden hybride werkplekken steeds gebruikelijker voor medewerkers. Medewerkers wisselen tegenwoordig regelmatig af tussen werken op kantoor en thuis, om zo flexibeler te zijn tijdens een werkdag. Maar wanneer bijna alle gebruikers en applicaties van een organisatie het bedrijf fysiek hebben verlaten, zijn traditionele beveiligingsoplossingen aan de netwerk-perimeter niet langer voldoende. Pogingen om de medewerkers te beveiligen met traditionele beveiligingsconcepten die zijn ontworpen om netwerken te beschermen, voldoen niet aan de behoeften van de moderne werkplek.
[su_row][su_column size=”1/4″]
[/su_column][su_column size=”3/4″]
Paper
Lees in deze whitepaper hoe je kunt profiteren van SASE.
[/su_column][/su_row]
SASE – beveilig de edge
In het Secure Access Service Edge (SASE)-concept zetten Gartner-analisten de traditionele aanpak op zijn kop. Het framework is gebaseerd op het idee dat het netwerk niet langer centraal staat in alle beveiligingsactiviteiten. In plaats daarvan verschuift de focus naar het waarborgen van de veiligheid van dataverkeer richting de gebruiker. Deze aanpak wordt geleid door het principe dat in een tijdperk van werken vanaf elke locatie, de beveiligingsinfrastructuur ook uit de cloud moet komen.
Door deze verschuiving is het dataverkeer tijdens de gehele reis van de gebruiker naar de applicatie beveiligd, ongeacht waar de gebruiker of de applicatie zich bevindt. De traditionele netwerkgebaseerde benadering van beveiliging wordt vervangen door een gebruikersgericht model. Een voordeel hiervan is dat directe toegang tot internet betekent dat er geen MPLS-netwerkverkeer meer naar het datacenter stroomt. Dit betekent dat er geen kosten meer zijn voor het omleiden van de gegevens.
De edge is het cruciale element van het SASE-framework. De edge verwijst niet naar de locatie van de gebruiker, maar naar wat de gebruiker wil openen. Hierdoor weerspiegelt het framework het steeds veranderende landschap waarin verschillende applicaties worden gehost door verschillende cloudproviders. Ondanks de complexiteit van multicloud-infrastructuren, verwachten gebruikers de best mogelijke ervaring bij het openen van hun applicaties. Idealiter zou de gebruiker niet moeten kunnen onderscheiden of een applicatie in de cloud of in een datacenter wordt gehost, omdat gebruikers tot elke applicatie op dezelfde manier toegang hebben. Dit allemaal zonder handmatige bediening en zonder enige vertraging.
Om een directe internetverbinding voor elke site tot stand te brengen, maakt het SASE-framework ook gebruik van andere componenten, zoals SD-WAN-oplossingen. Dit zijn oplossingen voor de bedrijven die nog steeds een verbinding met het netwerk nodig hebben. Door elk bedrijf of zelfs de medewerkerlocatie als een onafhankelijk startpunt te hebben, zijn er minder omleidingen en indirecte routes nodig. Dit zorgt ervoor dat de implementatie van een cloudgebaseerd beveiligingsconcept mogelijk is. Peering points tussen cloud providers en cloud service providers kunnen ook nuttig zijn om lage latency te garanderen en de gebruiker in staat te stellen via de meest directe route met de vereiste applicatie te verbinden.
ZTNA – Enkel toegang voor geautoriseerde gebruikers
Het concept van zero trust wordt gebruikt om de veiligheid van dit soort frameworks te waarborgen. Zero trust network access (ZTNA) biedt veilige toegang tot applicaties voor geautoriseerde gebruikers, zonder de infrastructuur van het netwerk bloot te stellen. Een zero trust-model werkt op basis van de identiteit van de gebruiker, waardoor de toegangsrechten tot specifieke applicaties op granulair niveau kunnen worden gesegmenteerd. Deze aanpak maakt een einde aan gedeelde netwerk-resources, aangezien toegang op applicatieniveau wordt gevalideerd voordat hier goedkeuring tot wordt gegeven.
Zero trust is gebaseerd op het principe van least privileged access, waarbij gebruikers aanvankelijk helemaal geen toegangsrechten hebben. Elke gebruiker wordt per applicatie die ze nodig hebben goedgekeurd. Dit betekent dat gebruikers nooit een volledig overzicht hebben van het hele applicatielandschap en dat ze geen verbinding kunnen maken met diensten waartoe ze niet bevoegd zijn.
Het elimineert ook de risico’s die een bedrijf momenteel kwetsbaar maken voor aanvallen op zwakke punten in de netwerkinfrastructuur. Als de infrastructuur niet meer openlijk beschikbaar is op internet, is er voor hackers niets te vinden en dus ook niks om te hacken. Op deze manier kunnen bedrijven voorkomen dat hun infrastructuur online wordt blootgelegd en worden potentiële aanvallen effectief tegengehouden. ZTNA slaat twee vliegen in één klap: het beperkt de toegang voor geautoriseerde gebruikers en verwijdert alle sporen van de infrastructuur die kwetsbaar zouden kunnen zijn voor aanvallen.
Eén security-framework
IT-afdelingen doen er goed aan rekening te houden met deze veranderingen. Het migreren van bedrijfskritische systemen naar de cloud, vereist dat een bedrijf moet heroverwegen hoe werknemers toegang krijgen tot de services die ze nodig hebben. Nu goedkope internettoegang op elke locatie steeds normaler wordt, veranderen de verwachtingen van medewerkers op het gebied van snelheid en onbeperkte, gemakkelijke toegang tot applicaties. De belangrijkste verandering voor IT-security is de verschuiving van hun rol. Er is te zien dat security verschuift van reactieve controle naar risicominimalisatie.
Eindgebruikers verwachten dat de toegang net zo gemakkelijk is als voor applicaties die ze privé gebruiken, zoals social media en YouTube. In de nieuwe cloudgebaseerde wereld moeten afzonderlijke netwerken en beveiligingssystemen worden vervangen door een allesomvattend framework van netwerken, beveiliging en connectiviteit. Dit om eenvoudige en gemakkelijke toegang te bieden tot alle applicaties, ongeacht waar ze worden gehost. Het zou immers lastig zijn om gebruikers te vertellen dat de cloud – precies de technologie die de wendbaarheid en flexibiliteit zou moeten vergroten – hun toegang eigenlijk vertraagt.
Ondanks de bewezen voordelen die SASE biedt voor het beveiligen van dataverkeer richting de gebruiker, zijn er toch veel organisaties die een dergelijk concept nog niet toepassen. Zo blijkt uit Zscaler’s State of Digital Transformation-rapport 2020 EMEA dat bijna de helft (49%) van de organisaties SASE (nog) niet kent of deze slechts gedeeltelijk plant toe te passen. Het SASE-framework is de perfecte tool om de uitdagingen aan te gaan die het nieuwe werkmodel en onze steeds evoluerende en steeds meer verbonden workforce met zich meebrengen.
Naast het verkrijgen van snellere en betere toegang tot cloud-services, profiteren bedrijven ook van een hoger niveau van IT-beveiliging. Dit alles met lagere kosten, minder complexiteit, een lagere beheerlast en de centrale implementatie van nieuwe richtlijnen in alle systemen. Het resultaat is dat IT-afdelingen niet alleen een veilige en snelle gebruikerservaring kunnen bieden, maar ook dat er weer inzicht is in alle datastromen van het bedrijf via een cloudplatform. Hierdoor heeft de IT afdeling weer controle over het netwerk van het bedrijf, zelfs wanneer werknemers niet op het kantoor werken.