SASE: 5 stappen voor succesvolle transitie naar moderne security

Veel organisaties beginnen te beseffen dat traditionele perimeter-security controles niet langer de beste methode zijn voor de manier waarop we nu werken. Deze realisatie is onder andere ontstaan door de transitie van veel IT-services naar de cloud.

Network security  >  simplified / centralized / unified
AlexSL / Getty Images

Nu data en applicaties het datacenter verlaten en in plaats daarvan beschikbaar worden gesteld vanuit multi-cloud-omgevingen en mobiele werknemers buiten het beveiligde netwerk werken, wordt perimeter-security discutabel.

Dit is nog relevanter nu COVID-19 ervoor heeft gezorgd dat veel werknemers gedwongen vanuit huis werken. Of de huidige mindset omtrent thuiswerkers ook aanhoudt als dit voorbij is, is een onderwerp op zich. Toch heeft deze situatie een belangrijk feit duidelijk gemaakt: door te proberen deze moderne werkomgevingen te beveiligen met traditionele netwerkconcepten negeer je zowel de gebruikersbehoeften als de vereisten rond hun mobile lifestyle.

Daarnaast verandert het risicolandschap: we zien nu gerichte aanvallen bedoeld voor specifieke gebruikers. Als deze werknemer geen gebruik maakt van het beveiligde netwerk en mobiele apparaten gebruikt voor toegang tot data en applicaties in de cloud én op het netwerk, hebben organisaties nieuwe security-concepten nodig om zichzelf te beschermen tegen third-party aanvallen en malware. Nu organisaties steeds afhankelijker worden van cloudtechnologie als vervanging voor hun in-house netwerken - en op deze basis ook hun digitale businessmodellen structureren - moet ook hun security-concept worden aangepast naar de veranderende omgeving.

Het Secure Access Service Edge-framework (SASE) is ontwikkeld door Gartner op basis van de nieuwe eisen van de business in de moderne wereld. Het framework - wat in de toekomst geboost wordt door krachtige always-on internettoegang - is gebouwd op de veronderstelling dat, voor maximale flexibiliteit, cloud-security ook uit de cloud moet komen. Het idee achter het framework is dat dataverkeer beveiligd wordt gedurende zijn hele reis van gebruiker tot een applicatie, ongeacht waar de gebruiker zich bevindt of waar de applicatie is gehost. Dit is een stap van een netwerkgecentreerde aanpak naar een gebruikersgericht security-concept. Deze modellen zijn ontworpen om mobiele gebruikers en dataverkeer in de cloud te beschermen. Zij bewijzen met name hun nut nu organisaties hen omarmen om hun veelal op afstand werkende werknemers te beveiligen. Deze aanpak neemt de noodzaak weg om dataverkeer om te leiden naar een beveiligd datacenter via het MPLS-netwerk - wat nu een dure en onnodige route is.

Gartners concept speelt ook een rol in het altijd veranderende applicatielandschap. Verschillende applicaties waar een werknemer toegang tot moet hebben, kunnen gehost worden door verschillende cloud-providers. Dit maakt de infrastructuur nog complexer. Verder verwachten gebruikers dat zij toegang kunnen krijgen tot de applicaties die zij nodig hebben om hun werk te doen met elk apparaat en vanaf elke locatie, zonder handmatige interactie of vertragingen. Met dit in het achterhoofd heeft Gartner het SASE-framework ontwikkeld om data te beschermen gedurende de hele reis, van een apparaat van de gebruiker tot de eindbestemming - in plaats van enkel het beveiligen van de eindbestemming.

SASE

Organisaties die het SASE-framework willen toepassen op hun eigen security-oplossing moeten eerst een aantal interpretatieproblemen overkomen om het concept te begrijpen. Het is niet gemakkelijk de term ‘edge’ te definiëren. In dit concept refereert het niet naar de grenzen van een fysiek netwerk. Organisaties moeten afstand nemen van het idee dat de ‘edge’ refereert naar één enkele locatie. Daarnaast moeten de teams die verantwoordelijk zijn voor implementatie begrijpen dat hun doel niet is om het netwerk te beschermen. Daarentegen, de focus van het proces ligt op het kiezen van een aanpak die op elke tijd, van elke locatie toegankelijk is. Een echt SASE-model zou als een alomvattende holistische service beschouwd moeten worden, in plaats van alleen een eindbestemmingen-gebaseerde service. De ‘edge’ is in dit geval meer een doorgang. Het bevindt zich tussen de gebruiker en de service waarmee ze zich verbinden. Het SASE-framework omvat dus alle communicatie van een gebruiker tussen het start- en eindpunt. Het staat niet in de weg van het werk van een gebruiker, maar maakt veilige toegang mogelijk tot de applicatie die zij nodig hebben. SASE kan niet vergeleken worden met andere stand-alone services, omdat het een heel framework is bestaande uit verschillende elementen, waaronder SD-WAN, een software-gedefinieerde perimeter, en IAM services.

Om een op SASE gebaseerd securitysysteem te implementeren, moeten organisaties deze vijf stappen overwegen:

  1. Ken uw gebruikers

In het eerste stadium moeten organisaties hun gebruikers kunnen identificeren. Ze moeten zichzelf de volgende vragen stellen: “Wie heeft toegang nodig tot welke services? Hoe kan deze gebruiker gecategoriseerd worden op basis van de vereiste toegangsrechten, zodat we verschillend beleid kunnen opstellen voor verschillende type gebruikers?” Het is een goed idee SASE geleidelijk te implementeren. Zo kan elke organisatie het deel van hun organisatie selecteren voor wie zij dit mogelijk willen maken, en leren wie hier gebruik van zou moeten maken door het volgen van een proces en niet door giswerk. Een identity-provider als Azure AD, Okta of Ping is over het algemeen een behulpzame tool voor het creëren van de gebruikerspool.

  1. Weet welke eindbestemmingen gebruikers hebben

Naast kennis van hun gebruikers zouden organisaties ook moeten weten waar deze gebruikers naartoe willen gaan. Wat heeft de gebruiker nodig en waar is die applicatie gehost? Deze vraag wordt alleen maar belangrijker in de context van een multi-cloud infrastructuur. Het is niet langer het geval dat alle applicaties gehost worden vanuit één datacenter. Zij worden nu ingezet via verschillende cloud-providers in zowel private als public cloud-omgevingen. Deze twee stukken informatie - de gebruiker en de eindbestemming - vormen het startpunt voor een SASE-oplossing.

  1. Groepeer servicecategorieën en begrijp hun topologie

Organisaties moeten niet alleen denken aan waarom een gebruiker toegang heeft tot een service, maar ook waar deze service is gelokaliseerd en hoe de gebruiker het meest effectief naar deze service geleid kan worden. Nu moderne applicaties gehost kunnen worden in elke cloud, moeten organisaties overzichtelijk hebben wat waar hoort in hun multi-cloud-omgeving. Cloud serviceproviders willen zich blijven onderscheiden en nieuwe niche providers zullen gaan concurreren met grote spelers als AWS, Azure en Google. Organisaties willen vendor lock-ins vermijden, dus zoeken zij de meest geschikte cloud-omgeving voor elke applicatie. Het is dus essentieel om een architectuur te ontwikkelen en zo te begrijpen waar elke applicatie zich bevindt. Verder is het van belang dat organisaties overwegen hoe hun applicaties gegroepeerd kunnen worden in servicecategorieën om toegangscontroles te faciliteren.

  1. Definiëer de regels

Werknemers maken gebruik van veel eindbestemmingen. Organisaties zullen moeten bepalen welke toegangsregels zij willen toepassen in elk scenario. Het is een best practice om SASE eerst toe te passen op wat al bekend is, en naarmate de tijd verstrijkt te observeren op welke andere plek deze regels toegepast zouden moeten worden.

De verantwoordelijkheid voor het creëren van deze definities ligt bij HR. Zij kunnen werkomschrijvingen gebruiken voor de rol van elke nieuwe werknemer om de vereiste toegang tot relevante applicaties te definiëren en bepalen. Toegang of geen toegang, het moet adaptief zijn, zodat een organisatie wel verschillende regels moet definiëren voor verschillende omstandigheden. Een mobiele gebruiker zal vanuit verschillende locaties werken, dus de service zal moeten schakelen tussen toegang geven, blokkeren of routing op verschillende momenten.

Om in deze feature te voorzien, moet er een toegangscontrole zijn bij het start- en eindpunt om te bepalen of er verbinding gemaakt mag worden en, indien ja, hoe. Om te voldoen aan de verwachting van de gebruiker voor snelle en naadloze toegang, moet het systeem de gebruiker verbinden via de kortst mogelijke route. Dit is waar zero trust access-oplossingen gebruikt kunnen worden om de gebruiker naar de relevante applicatie te leiden op basis van de regels en context van die applicatie.

  1. Het optimale pad naar de applicatie

De laatste stap is het gebruikersverkeer naar de applicatie te sturen via de kortst mogelijke route. Organisaties moeten hierbij in gedachte houden dat een statische definitie van het pad vanuit het oogpunt van de gebruiker niet altijd het meest effectieve pad is. Ook hier moet de organisatie de mobiliteit van werknemers in overweging nemen. Zij moeten dynamisch naar de applicatie geleid worden vanaf elke locatie. Een ander te overwegen criterium is bandbreedte-optimalisatie, zodat prioriteit gegeven kan worden aan bedrijfskritische applicaties. Dit is waar lokale internet-breakouts met SD-WAN modellen en bandbreedte-management, alsmede service kwaliteitsmonitoring, van toepassing worden.

Als een organisatie zich eenmaal door deze vijf stappen heeft gewerkt, is dat een excellente positie om één applicatie of een groep gebruikers te selecteren, en het implementatieproces vanuit daar te starten. Uiteindelijk is het doel van digitale transformatie om innovatie te versnellen en niet om hier de rem op te zetten. Het SASE-framework kan organisaties ondersteunen in het ontwikkelen van een holistische IT-infrastructuur die rekening houdt met alle applicaties en netwerk- en security-vereisten.

Copyright © 2020 IDG Communications, Inc.