Stel je cybersecurity voor als een groepsproject: goed bedoeld maar vaak chaotisch en frustrerend. Teamleden werken op verschillende niveaus, communicatie is een uitdaging, taken worden soms dubbel gedaan of vergeten, en het is niet altijd duidelijk waar de focus moet liggen. Zo lijkt de situatie soms binnen een traditionele security stack, opgesplitst in losse componenten, ook wel bekend als silo’s.
Deze silo’s vergen veel inspanning. Het uitwisselen van bedreigingsinformatie tussen verschillende beveiligingsoplossingen is vaak lastig, zo niet onmogelijk. Beveiligingsteams moeten beleid ontwikkelen in meerdere systemen, waarbij sommige effectiever zijn dan andere. Daarnaast genereren deze oplossingen een lawine aan meldingen, wat het moeilijk maakt om echte bedreigingen te herkennen. Veel van de inspanningen richten zich bovendien op het beveiligen van de datacenters van het bedrijf, terwijl werknemers steeds meer tijd doorbrengen in de cloud.
Dit staat in schril contrast met hoe een groepsproject zou moeten zijn: een goed gecoördineerd team waarbij iedereen zijn unieke taak uitvoert en de resultaten deelt, resulterend in een gefocust, geoptimaliseerd en functioneel project. Dit is waar de security stack gebaseerd op het SASE-model om de hoek komt kijken.
Wat is SASE?
Secure Access Service Edge (SASE) is een geavanceerde netwerkarchitectuur die software-defined wide area networking (SD-WAN) en beveiligingsfunctionaliteiten combineert in één uniforme cloudservice. Het biedt vereenvoudigde WAN-implementaties, verbeterde efficiëntie en beveiliging, en op maat gemaakt privacybeleid.
In een SASE-oplossing komt elk element van je beveiligingsstack van dezelfde leverancier en is ontworpen om een specifieke behoefte te vervullen. Deze beveiligingsoplossingen werken naadloos samen. Het voordeel hiervan is dat teams via één interface al deze functies kunnen beheren. Hier kunnen ze beleid creëren en implementeren dat speciaal is ontworpen voor bescherming aan de cloud edge, waar de meeste activiteiten plaatsvinden.
Alle beveiligingsfunctionaliteiten van SASE zijn identiteitsgericht en cloudnative, waarbij de beveiliging zich concentreert op de identiteit van de gebruiker of het apparaat, in plaats van op het datacenter. Zero-trust network access (ZTNA) speelt hierin een belangrijke rol.
Voordelen
De voordelen van SASE zijn duidelijk: snelle implementatie, gestroomlijnd beheer, en een cloud-native architectuur. Echter, niet elke organisatie heeft de middelen om hun hele infrastructuur direct te upgraden. En hoewel sommige SASE-leveranciers een volledig geïntegreerde oplossing bieden, integreren anderen hun diensten met die van andere aanbieders.
IT-managers en beveiligingsteams zullen vaak vinden dat de overstap naar het SASE-framework in fasen verloopt, resulterend in een geleidelijke integratie van netwerk- en beveiligingsoplossingen.
Features
SASE is een uitgebreid raamwerk dat verschillende componenten integreert om cloud-centrische beveiligings- en netwerkmogelijkheden te bieden. Hoewel specifieke implementaties kunnen variëren tussen verschillende SASE-aanbieders, zijn hier enkele veelvoorkomende SASE-componenten voor cloudbeveiliging:
– Firewall als een service (FWaaS)
In de moderne gedistribueerde omgeving bevinden zowel gebruikers als IT-resources zich aan de rand van het netwerk. Een flexibele, cloudgebaseerde firewall geleverd als een service kan deze edge beschermen. Deze functionaliteit wordt steeds belangrijker naarmate edge computing groeit en IoT-apparaten slimmer en krachtiger worden.
Door FWaaS te leveren als onderdeel van het SASE-platform wordt het voor ondernemingen eenvoudiger om de beveiliging van hun netwerk te beheren, uniforme beleidsregels in te stellen, afwijkingen te ontdekken en snel wijzigingen door te voeren.
– Cloud Access Security Broker (CASB)
Naarmate zakelijke systemen verschuiven van on-premises naar SaaS-toepassingen, worden authenticatie en toegang steeds belangrijker. CASB’s worden door bedrijven gebruikt om ervoor te zorgen dat hun beveiligingsbeleid consistent wordt toegepast, zelfs als de services zelf buiten hun controle vallen.
Met SASE is hetzelfde portal dat werknemers gebruiken om toegang te krijgen tot hun bedrijfssystemen ook een portal naar alle cloudapplicaties waartoe ze toegang hebben, inclusief CASB. Verkeer hoeft niet buiten het systeem te worden omgeleid naar een aparte CASB-service.
– Veilige Web Gateway (SWG)
Vandaag de dag is netwerkverkeer zelden beperkt tot een vooraf gedefinieerde perimeter. Moderne workloads vereisen meestal toegang tot externe bronnen, maar er kunnen compliance redenen zijn om werknemers de toegang tot bepaalde sites te ontzeggen. Daarnaast willen bedrijven de toegang tot phishingsites en botnet command-and-control servers blokkeren. Zelfs onschuldige websites kunnen kwaadwillig gebruikt worden door bijvoorbeeld werknemers die proberen gevoelige bedrijfsgegevens te exfiltreren.
SGW’s beschermen bedrijven tegen deze bedreigingen. SASE-leveranciers die deze mogelijkheid bieden, zouden in staat moeten zijn om versleuteld verkeer op cloudschaal te inspecteren. Het bundelen van SWG met andere netwerkbeveiligingsdiensten verbetert de beheerbaarheid en maakt een meer uniforme set beveiligingsbeleidsregels mogelijk.
– Zero Trust-netwerktoegang (ZTNA)
Zero Trust Network Access biedt ondernemingen granulaire zichtbaarheid en controle van gebruikers en systemen die toegang hebben tot bedrijfstoepassingen en -services.
Een kernelement van ZTNA is dat beveiliging is gebaseerd op identiteit in plaats van bijvoorbeeld IP-adres. Dit maakt het meer geschikt voor mobiele werknemers, maar vereist extra authenticatieniveaus, zoals multi-factor authenticatie en gedragsanalyse.
Voor wie?
Ondernemingen die een groot, gedistribueerd personeelsbestand, een gecompliceerde edge met verafgelegen apparaten en hybride/multi-cloud toepassingen moeten ondersteunen, zouden SASE op hun radar moeten hebben.
Voor degenen met bestaande WAN-investeringen is de logische eerste stap om de SASE-diensten of voorkeurspartners van je WAN-provider te onderzoeken.
Voor de meeste ondernemingen zal SASE echter deel uitmaken van een hybride WAN/beveiligingsaanpak. Traditionele netwerk- en beveiligingssystemen zullen reeds bestaande verbindingen tussen datacenters en bijkantoren afhandelen, terwijl SASE zal worden gebruikt om nieuwe verbindingen, apparaten, gebruikers en locaties af te handelen.
Meer informatie?
SASE is geen tovermiddel voor netwerk- en beveiligingsproblemen, noch is het gegarandeerd in staat om toekomstige problemen te voorkomen, maar het stelt bedrijven wel in staat om sneller te reageren op verstoringen of crises en om de impact ervan op de onderneming te minimaliseren.
Voor ondernemingen met een groot, verspreid personeelsbestand, complexe edge-apparaten, en hybride/multi-cloud toepassingen is SASE een belangrijke overweging.
Voor meer informatie over hoe SASE uw organisatie kan dienen, kunt u contact opnemen met SolidBE. Onze specialisten staan klaar om u persoonlijk te adviseren over de mogelijkheden van SASE voor uw specifieke situatie.
