SASE: dit moet je weten over Secure Access Service Edge

Wat is SASE?

SASE is een afkorting uit de securitywereld die staat voor Secure Access Service Edge. Analistenbureau Gartner introduceerde deze afkorting in 2019. Het is een cloudgebaseerde beveiligingsmethode voor het verzorgen van veilige toegang tot data, systemen en (cloud)applicaties. Het maakt daarbij niet uit waar gebruikers, gegevens, toepassingen of apparaten zich bevinden. Bij SASE vinden de securitycontroles namelijk plaats aan de randen van de cloud (ook wel edge genoemd), in plaats van in het datacenter van de organisatie (waar netwerksecurity nu meestal plaats vindt). SASE combineert daarbij meerdere securitytechnologieën met (SD-)WAN-functionaliteit.

SASE is geen vastomlijnde securitytechnologie of -oplossing, maar een model voor een strategische, toekomstbestendige inrichting van het securitylandschap. De exacte toepassing van SASE kan dan ook per organisatie sterk verschillen.

Wat is het verschil met traditionele beveiligingsmodellen?

Traditionele beveiligingsmodellen zijn gebaseerd op beveiliging vanuit een of meerdere security-appliances (meestal geplaatst in corporate datacenters). Netwerkverkeer wordt zoveel mogelijk langs deze oplossingen gerouteerd. Deze modellen zijn ontstaan in een tijd waarin het meeste netwerkverkeer plaatsvond op het bedrijfsnetwerk.

SASE laat dat idee los. In dit model gaat het netwerkverkeer rechtstreeks vanaf het apparaat richting het internet ongeacht de locatie en het gebruikte apparaat. Dat kan doordat al het verkeer eerst door een filter gaat, deze wordt door specialistische security leveranciers geleverd als cloud dienst. In die omgeving wordt gekeken welke gebruiker, welke data naar welke omgeving wil sturen. Als dit past binnen het beleid wordt de actie toegestaan. Past het niet, wordt de actie geblokkeerd. Gecontroleerde en gevalideerde gebruikers krijgen vanuit deze edge wereldwijd toegang tot internet, clouddiensten of het corporate netwerk, vanaf elke locatie.

Wat is het belang van SASE?

Steeds meer organisaties hebben de cloud omarmd. Daarnaast is hybride werken sterk in opkomst. Niet het bedrijfsnetwerk vormt daarbij de spil van alle netwerkverkeer, maar het internet en de cloud. Medewerkers gebruiken bovendien diverse apparaten, vanaf iedere willekeurige locatie.

Het traditionele securitymodel met een firewall waarbij de grenzen van het netwerk worden beveiligd schiet in deze nieuwe werkelijkheid tekort. Het routeren van het verkeer tussen alle clouds en apparaten naar het corporate datacenter is vaak simpelweg niet mogelijk, of erg lastig. Als het al lukt, zorgt de omleiding voor grote druk op het bedrijfsnetwerk. Dat veroorzaakt latency en daarmee merkbare prestatiedips. Die situatie schaadt de productiviteit. Bovendien kunnen gebruikers daardoor in de verleiding komen om alternatieve oplossingen te omarmen. Op die manier vergroot zo’n oud model ook de kans op onveilige Shadow-IT.

Een stevige herziening van de securitystrategie is dan ook nodig. Een die cloudapplicaties, gebruikers, gegevens en data veilig met elkaar verbindt. Ongeacht de locatie, en ongeacht de gebruikte apparaten. SASE biedt een modern alternatief dat wel goed aansluit bij hybride werken en multicloudomgevingen. Gartner voorspelt dan ook dat tegen 2025 80% van alle enterprise-organisaties een SASE-strategie heeft omarmd.

Wat zijn de voordelen van SASE?

De meeste ondernemingen hebben inmiddels meer applicaties, diensten en gegevens buiten hun fysieke grenzen dan erbinnen. SASE plaatst de beveiligingscontroles daar waar de gebruikers en applicaties zijn: in de cloud. Dat biedt een aantal duidelijke voordelen ten opzichte van traditionele beveiligingsmodellen. Dit zijn de belangrijkste:

Flexibiliteit
SASE maakt securitypolicy’s onafhankelijk van de locatie van gebruikers. Of ze nu thuis, onderweg of op kantoor zijn: ze hebben altijd te maken met dezelfde policy’s. Zo kunnen ze niet alleen werken waar ze willen, maar hebben ze ook overal dezelfde gebruikerservaring, zonder extra bewust te hoeven zijn van risico’s

Fijnmazig
SASE baseert beveiligingsregels op identiteiten en context. Zowel apparaten als gebruikers hebben een identiteit. Daarnaast bevinden zij zich in een context waardoor securityconfiguraties heel fijnmazig instelbaar zijn. Bijvoorbeeld tijdens kantoortijd of daar buiten en veel meer. Zo kan de toegang tot data afhankelijk zijn van de locatie, of van iemands rol binnen de organisatie, maar ook of dit binnen of buiten kantooruren gebeurd, of dat de medewerker net bepaalde software heeft gedownload die niet als veilig wordt beschouwd.

Beheergemak
SASE combineert verschillende securityoplossingen binnen één centrale beheerportal voor rapportage en het inregelen van de securitypolicy’s. Dat verkleint de kans op fouten en vereenvoudigt het beheer.

Hoger securityniveau
SASE legt onveilige Shadow-IT voor bijvoorbeeld filesharing aan banden of blokkeert deze volledig. Dat verkleint de kans op datalekken. Ook vergroot SASE het beveiligingsbewustzijn van medewerkers die voor geblokkeerde diensten alternatieven of een reden voor de blokkade krijgen aangereikt.

Betere prestaties
SASE verlicht de druk op het bedrijfsnetwerk doordat (thuis)werkers direct het internet op kunnen indien gewenst. Dat kan de latency verlagen t.o.v. een oplossing waarbij eerst een omleiding via het corporate datacenter waar de security-features staan opgesteld moet worden genomen. Daarmee verbetert in potentie de prestaties van de gebruikte applicaties.

Meer inzicht
SASE combineert alle informatiestromen en maakt daarmee centrale monitoring mogelijk. Dat vergroot de zichtbaarheid van de netwerkactiviteiten. Afwijkende en niet-geautoriseerde activiteiten vallen zo eerder op.

Lagere kosten
SASE biedt mogelijkheden om per gebruiker een beveiligde omgeving te bieden, zonder in oplossingen voor de core of het eigen datacenter te investeren.

Beveiligt het gehele WAN
SASE vormt niet alleen een geheel van op elkaar afgestemde securityservices, maar ook netwerkconnectiviteit maakt deel uit van deze mix. SASE verzorgt end-to-end security over het WAN naar de cloud, ook wanneer de gebruiker vanuit huis, mobiel of vanaf een openbare wifi-locatie werkt.

Wat is het verschil tussen SASE en SSE?

SSE staat voor Security Service Edge. SASE en SSE zijn nauw verwante begrippen, maar kennen een duidelijk verschil. SSE focust zich enkel en alleen op het securityaspect, waarbij SASE ook voorziet in netwerkdienstverlening voor een veilige connectiviteit. Een van de pijlers van SASE is software-defined networking (SDN), en gaat over de connectiviteit naar kantoren en bedrijfslocaties via cloudgebaseerde netwerktechnologieën.

Welke gevolgen heeft SASE voor securitymedewerkers?

SASE verplaatst veel van de securitydiensten en WAN-oplossingen naar de cloud, via een as a service-afnamemodel. Securitymedewerkers zijn daardoor niet meer belast met het technisch beheer van deze oplossingen en kunnen veelvoorkomende operationele zaken aan de securityprovider uitbesteden. Zo kunnen organisaties de toch al schaarse securitykennis en -denkkracht effectiever inzetten. Bijvoorbeeld voor meer strategische taken, of bij de ontwikkeling van innovaties.

Welke rol speelt Zero Trust in SASE?

Zero Trust is de achterliggende visie van SASE. Dit relatief nieuwe securityprincipe gaat ervan uit dat geen enkele actie of gebruiker standaard te vertrouwen is. Het maakt daarbij niet uit of deze gebruiker zich bijvoorbeeld al binnen het bedrijfsnetwerk begeeft. Pas wanneer de actie voldoet aan een aantal vooraf gedefinieerde voorwaarden, mag deze doorgang vinden. Gebruikers krijgen daarbij zo weinig mogelijk toegangsrechten en bewegingsvrijheid, alleen datgene dat nodig is om hun werk te doen.

Zero Trust past goed in de filosofie van SASE. Beide laten de gedachte van een ‘veilige perimeter’ gecreëerd door de firewall helemaal los. SASE hanteert de Zero Trust-filosofie gebaseerd op het verlenen van minimale rechten en het verlenen van toegang en permissie op basis van microsegmentatie, bijvoorbeeld op basis van rollen en de context waarin acties plaatsvinden.

Welke organisaties hebben baat bij SASE?

SASE past uitstekend bij organisaties met een grote netwerk- en securitycomplexiteit, waarbij gebruikers vanaf meerdere locaties en in meerdere cloudomgevingen werken. SASE neemt niet alleen beheerlast uit handen, maar biedt tegelijkertijd een modern antwoord op complexe security- en netwerkvraagstukken. Ook kan SASE vanwege het geïntegreerde karakter van de security- en netwerktechnologie een oplossing bieden voor organisaties met een complex (en daardoor lastig beheersbaar) geheel van puntoplossingen. De SD-WAN-functionaliteit van SASE maakt het bovendien geschikt voor organisaties met meerdere fysieke locaties.

Welke toegevoegde waarde biedt KPN?

Onder de noemer ‘SASE KPN’ bieden we een concrete invulling van het SASE-model. De kern vormt een coherente, geïntegreerde set aan security- en netwerkinfrastructuurdiensten op basis van Zero Trust. In tegenstelling tot veel andere marktpartijen kan KPN daarbij gebruikmaken van de eigen infrastructuur voor connectiviteit: de KPN Core.

We bieden met SASE KPN een solide basis die eenvoudig naar wens is aan te vullen. Zo is de SD-WAN-functionaliteit desgewenst uitbreidbaar met IP-VPN of 4G/5G-fallback voor primaire of secundaire verbindingen. Daarnaast bieden we via Elastic Interconnect een veilig alternatief voor (private) connectiviteit met de multicloud. De hele oplossing is schaalbaar en eenvoudig mee te bewegen met veranderende wensen.

Welke securitytechnologieën bevat KPN SASE?

KPN SASE combineert meerdere securitytechnologieën, zoals:

Secure Web Gateway (SWG)

Een SWG voorkomt dat onbeveiligd internetverkeer het interne netwerk van een organisatie binnenkomt. Het beschermt het netwerk tegen schadelijke websites en malafide webverkeer, malware en andere cyberdreigingen. Het helpt ook bij de naleving van complianceregels.

Cloud Access Security Broker (CASB)

Een CASB monitort en reguleert het gebruik van cloudomgevingen. Het voorkomt datalekken, het ontstaan en/of gebruik van Shadow-IT, complianceproblemen en malwarebesmettingen via besmette cloudapplicaties. CASB's zijn gepositioneerd tussen gebruikers van cloudapplicaties en de clouddiensten zelf. Ze kunnen dataverkeer en gebruikersactiviteiten bewaken, automatisch bedreigingen detecteren en blokkeren en risicovol gedrag (zoals het delen van gevoelige data) blokkeren. Het geeft bedrijven controle over data in beweging doordat zeer fijnmazig kan worden bepaald of een actie wel of geen doorgang mag vinden. Een gebruiker moet zich bv extra moet identificeren alvorens de download van data van een specifieke applicatie die gebruiker nog nooit heeft ingezien wordt opgestart.

Zero Trust Network Access (ZTNA)

Zero Trust Network Access biedt een veilige verbinding met het eigen datacenter of eigen cloudomgevingen (IaaS/PaaS). ZTNA maakt ook fijnmazige microsegmentatie en policies binnen het private WAN-netwerk mogelijk.

Cloud en SaaS Security Posture Management

CSPM (Cloud Security Posture Management) en SSPM (SaaS Security Posture Management) controleren of configuraties in de multicloud overeenkomen met het beleid van de organisatie. Dat voorkomt complianceproblemen en mogelijk onveilige instellingen. CSPM controleert de applicaties die in een IaaS/PaaS omgeving (bijv. Azure) draaien en SSPM controleert SaaS-applicaties (die overal kunnen draaien).

Advanced Analytics

Advanced Analytics biedt via een handige portal een 360-gradenbeeld op applicatiegebruik, databewegingen en gebruikersgedrag. De diverse analyses bieden aanknopingspunten voor het verder vergroten van de veiligheid.

Interesse?

Meer weten over KPN SASE? Neem dan geheel vrijblijvend contact op. We denken graag met je mee over de mogelijkheden.