Secure access services edge (sase) staat volop in de belangstelling. Dit concept biedt een nieuw beveiligingsmodel door een security-private-cloud- en service-delivery-benadering te benutten, waarbij klant en leverancier een gedeelde verantwoordelijkheden hebben.
Deze geweldige transformatie biedt bedrijven enorme kansen. Klanten kunnen nu veel gemakkelijker inspelen op uitbreidingsplannen of businessdoelen zonder de noodzaak van een volledig eigen netwerk of security-infrastructuur. Zij kunnen nu flink uitbreiden en op grote schaal inspelen op de eisen van vestigingen of thuiswerkers en op deze plekken een veilige werkomgeving bieden.
In het verband van edge en edge-security gaat het al snel over dekking. Dat is begrijpelijk, want het is lastig om een goed beeld te krijgen van het concept van een security-private cloud. Een discussie over de locaties waar servicepunten te vinden zijn, kan in dat verband meer duidelijkheid bieden. Maar er is meer dan alleen dekking.
Focus op regio’s en services
Je zou verwachten dat het aantal datacenters van een leverancier een goede indruk zou geven van de dekking. Maar aantal zegt nog niets over locatie. Een fors aantal datacenters in een bepaalde regio is positief, maar als je zelf actief bent in een andere regio heb je daar niet veel aan.
Een andere vraag is hoeveel van deze datacenters je kunt gebruiken. In veel gevallen delen leveranciers de capaciteit op en wijzen deze toe aan een subset van klanten. Het is ook mogelijk dat ze extra bedragen vragen voor bredere toegang. In weer andere gevallen geeft een leverancier hoog op van zijn dekking, maar is een deel van de locaties exclusief bestemd voor strategische partners, zoals een managed service provider. Zo is er een leverancier die de helft van al zijn datacenters wereldwijd op deze manier heeft ingericht. Die zijn dus niet beschikbaar voor andere klanten.
Het uiteindelijke doel van dekking is een zo laag mogelijke latency door de afhankelijkheid van het publieke internet voor de connectie tussen gebruiker en sase-edge-locatie zo laag mogelijk te houden.
In de tweede plaats gaat het zoals gezegd ook om de diensten die beschikbaar zijn in het datacenter. Sommige leveranciers gebruiken verschillende technologieën in verschillende datacenters. Het kan dus zijn dat maar een beperkt aantal datacenters kan voorzien in jouw behoeften.
Waar wordt verkeer verwerkt?
Naast de twee bovengenoemde aspecten is het ook raadzaam te kijken waar data precies worden verwerkt. Want elke leverancier heeft een andere benadering daarvoor. En vele plaatsen vanwege kosten de compute-functie niet aan de sase-edge. Het is immers kostbaar om compute-functionaliteit op verschillende locaties te plaatsen en meestal goedkoper om ‘opritten’ te gebruiken die het verkeer naar enkele compute-locaties doorleiden. Dit zijn in de regel virtuele points of presence (of vpop’s). Ze ogen als een interfacepunt (pop), maar in werkelijkheid moet data naar een andere locatie voor verwerking.
Het vpop-model heeft twee belangrijke beperkingen:
- Inline processing is latency-gevoelig
Dat betekent dat het routeren van verkeer naar de compute-locatie beslist tot vertraging zal leiden. Dat houdt in dat een gebruiker in een locatie waar de vpop en de compute-functie in dezelfde regio zijn opgesteld een andere ervaring heeft dan waar ze flink van elkaar verwijderd zijn opgesteld. Dat kan leiden tot een slechte response van applicaties of lange up- en downloads.
- Verspreid
Datacenters op verschillende plekken (bijvoorbeeld Amsterdam, Berlijn en Johannesburg) kunnen op het plaatje net zo goed drie aparte datacenters zijn als één gedeeld datacenter. En je kunt bijvoorbeeld drie vpop’s toevoegen die leiden naar een compute-locatie in Berlijn. Maar de vraag is: telt dat dan als zes datacenters?
Zo zien we dat het concept van vpop’s de leverancier meer helpt dan de klant. Het is vooral marketing. Geen vpop’s, en in elk datacenter volledige compute-mogelijkheden. Dat is veilig en duidelijk.