Ontwikkelingen als hybride werken en digitale transformatie vragen om een stevige herziening van de aloude securitystrategie die is gebaseerd op de firewall. Het SSE-model is hiervoor een uitstekend uitgangspunt. Dit moet je weten over dit nieuwe model.
Wat is SSE?
SSE staat voor Security Service Edge en is onderdeel van het Secure Access Service Edge (SASE)-framework. De Security Service Edge verzorgt de veilige toegang tot gegevens, systemen en (cloud)applicaties, ongeacht de locatie van de gebruiker, applicatie of het gebruikte apparaat. De benodigde securityoplossingen zijn bij een enkele securityprovider in de cloud ondergebracht en ‘as a service’ af te nemen. Het biedt organisaties de mogelijkheid om eenvoudig en eenduidig dynamisch en fijnmazig security-policies in te stellen.
Welke securityoplossingen biedt SSE?
SSE zorgt grofweg voor 3 zaken:
● Veilige toegang tot het internet
● Veilige toegang tot SaaS- en cloudapplicaties
● Veilige toegang tot private cloudomgevingen
Waarom is SSE zo belangrijk?
SSE is een relatief nieuwe benadering van security die afstand doet van het verouderde concept van de ‘veilige perimeter’. Bij traditionele netwerk-security is het bedrijfsnetwerk een soort fort dat middels firewalls wordt afgeschermd van de buitenwereld. Eenmaal ‘binnen’ kunnen indringers in dat model relatief onbeperkt hun gang gaan.
SSE in een aanvulling op deze traditionele vorm van netwerksecurity. De interactie met websites en (cloud)applicaties gaat via de security-features van de SSE-leverancier. De SSE-omgeving onderwerpt de interactie aan een inspectie, waarna deze vervolgens doorgang krijgt of wordt geblokkeerd. Dat geldt voor iedere gebruiker, vanaf ieder apparaat en vanaf elke locatie.
Wat is het verband tussen SSE en Zero Trust?
Zero Trust is een visie van hoe je Network Security effectiever en beter zou kunnen inrichten. Zero Trust gaat uit van het principe dat geen enkele identiteit of activiteit te vertrouwen is. Met de diensten binnen SSE kan het principe van Zero Trust geïmplementeerd worden. Een van de voordelen van Zero Trust en daarmee van SSE is de fijnmazige manier waarop het rechten toekent. Deze factoren spelen bij deze beoordeling een rol:
● Identiteit
Een identiteit kan binnen SSE op meerdere zaken slaan. Zo is een gebruiker een identiteit, maar een apparaat zoals een laptop of smartphone kan dat ook zijn, evenals een applicatie. Stelt het systeem een identiteit vast, dan hoort daar al dan niet een bepaalde mate van autorisatie bij. Dat autorisatieniveau is echter niet alleen afhankelijk van de identiteit, maar ook van het tweede element:
● Context
Ook de context waarin een interactie plaatsvindt, speelt een rol. Denk aan de locatie of rol van de gebruiker of het tijdstip.
Ieder apparaat en iedere gebruiker krijgt op basis van bovenstaande factoren al dan niet een set rechten toegewezen. Op die manier ontstaat een zeer fijnmazig rechtensysteem. Die rechten zijn in de geest van Zero Trust beperkt tot het hoognodige voor de beoogde taak.
Gebruikers en apparaten krijgen zo weinig mogelijk rechten, zonder dat het hen weerhoudt om hun werkzaamheden te voltooien. Dat verstrekken van rechten gebeurt niet eenmalig, maar bij iedere poging tot verbinding of interactie.
Daarmee breekt Zero Trust en dus ook SSE duidelijk met het ‘kasteelmodel’, waarbij het fort (het bedrijfsnetwerk) bewaakt wordt door een kasteelmuur (de firewall). Terecht: de gedachte dat alles ‘achter de firewall’ veilig is en het gevaar vooral ‘van buiten’ komt, is achterhaald.
Whitepaper: Zo geef je invulling aan Zero Trust
Niets en niemand vertrouwen, dat is de basis van Zero Trust. Maar hoe pas je dat toe in de praktijk? Lees de whitepaper.
DownloadWat zijn de voordelen van SSE?
1. Veilige toegang tot clouddiensten en het internet
Een van de belangrijkste usecases van SSE is het veilig toegang bieden tot het internet en cloudapplicaties. De handhaving van toegangsregels gebeurt op basis van een granulair rechtensysteem. Dat verkleint de risico’s van alle interacties die gebruikers met data hebben, zowel op het interne netwerk als daarbuiten. Cloud Security Posture Management (CSPM) checkt of cloudapplicaties juist geconfigureerd zijn en blijven, wat het risico op inbreuken verkleint.
2. Detectie en mitigatie van dreigingen
Eindgebruikers hebben via allerlei verbindingen en apparaten toegang tot data. Dat vraagt om krachtige regulering. Een SSE-platform beschikt over geavanceerde middelen voor het opsporen en blokkeren van allerlei dreigingen, zoals malware, phishing en hackpogingen. Het gebruikt daarvoor middelen als browser-isolatie, cloudsandboxing, malwaredetectie en data-inspectie binnen SaaS-applicaties. Middels adaptieve toegangscontrole krijgen apparaten al dan niet toegang in specifieke situaties.
3. Beveiligen en veilig verbinden van medewerkers op afstand
Medewerkers werken allang niet meer alleen op kantoor. Zij moeten vanaf iedere locatie toegang hebben tot hun data en applicaties. Een VPN kan deze verbinding tot stand brengen, maar dit komt niet zonder risico: eenmaal ‘binnen’ via deze tunnel hebben gebruikers op een ‘plat netwerk’ vrij spel. SSE doet dit dankzij de Zero Trust-filosofie anders. Via SSE krijgen gebruikers toegang tot data, content en applicaties, zonder per se toegang tot de rest van het netwerk te krijgen. Dat verkleint het risico op datalekken en geavanceerde aanvallen en kan capaciteitsdruk op het bedrijfsnetwerk verlagen.
4. Identificeren en beschermen van gevoelige data
Cloudgebaseerde Data Loss Prevention (DLP) spoort privacygevoelige data op en kan deze automatisch classificeren en beschermen tegen misbruik. Dat vereenvoudigt compliance met bijvoorbeeld PCI-standaarden (voor creditcardgegevens) en andere normeringen. DLP-policy’s zijn na eenmalig instellen snel en eenvoudig toepasbaar op zowel cloudapplicaties als intern netwerkverkeer. Ten slotte kan inspectie van versleuteld verkeer (TSL/SSL) Shadow-IT opsporen en aan banden leggen. Dat verkleint de kans op datamisbruik verder.
Wat biedt KPN op het gebied van SSE?
SSE is bij KPN onderdeel van SASE KPN, waarmee we een concrete invulling geven van het SASE-model. De kern daarvan vormt een coherente, geïntegreerde set aan security- en netwerkinfrastructuurdiensten op basis van Zero Trust. In tegenstelling tot veel andere marktpartijen kan KPN daarbij gebruikmaken van de eigen infrastructuur voor connectiviteit: de KPN Core.
Wat is het verschil tussen SSE en SASE?
SASE staat voor Secure Access Service Edge. Dit is een methode voor het leveren van zowel security- als SD-WAN-functionaliteit aan de rand van de cloud, door een partij die al deze functionaliteit geïntegreerd en ‘as a service’ aanbiedt. SSE is daar een subset van: het richt zich enkel op de levering van de securityfunctionaliteit. De securityoplossingen van SSE richten zich daarbij meer op de eindgebruiker, terwijl SASE de achterliggende netwerkfunctionaliteit zoals veilige SD-WAN-verbindingen omvat.
Welke organisaties profiteren van SSE?
SSE is in het bijzonder interessant voor organisaties die hybride werken of werken met gevoelige data en het risico op het (onbewust) lekken van deze data willen verkleinen. In algemene zin is het model een goede match voor corporate organisaties die hun securityomgeving enerzijds willen vereenvoudigen en anderzijds toekomstbestendig willen maken. SSE verkleint de beheerlast en biedt tegelijkertijd een modern antwoord op complexe security- en netwerkvraagstukken.
Interesse?
Heb je interesse in SSE en wil je meer weten over dit onderwerp? Ben je nieuwsgierig hoe KPN hier samen met jou invulling aan kan geven? Neem vrijblijvend contact met ons op. We gaan graag met je in gesprek.