Als het om de it-beveiliging van organisaties gaat, moeten er een hoop vragen worden beantwoord. Waar bevinden de meeste eindgebruikers zich: op kantoor of op een externe locatie? Komt daar de komende jaren verandering in? Worden bedrijfsapplicaties gehost in een intern datacenter of voornamelijk in de publieke cloud? Hoe divers zijn deze applicaties en welke typen data hebben eindgebruikers nodig om productief te kunnen werken?
Elke organisatie is weer anders. De ene maakt gebruik van branche-specifieke applicaties en de andere van standaard productiviteitsapplicaties in een simpele kantooromgeving. Als je deze factoren combineert met geografisch verspreide locaties met een eigen internetprovider en verschillende beveiligingsoplossingen met ongelijksoortige beheerconsoles, dan wordt al snel duidelijk hoeveel variabelen er in het spel zijn. Het beschermen van deze ingewikkelde kluwen van technologieën is al meer dan twintig jaar een uitdaging voor security- en infrastructuurteams.
Intrusion detection & prevention systems (IDS en IPS), firewalls, oplossingen voor endpuntbeveiliging, beveiligde webgateways en andere losstaande security-technologieën vragen om specifieke expertise en praktische domeinkennis. Daarnaast zijn er operationele investeringen nodig voor de implementatie van deze oplossingen en om ervoor te zorgen dat alles soepel draait. Maar dit zijn nu niet bepaald het soort technologieën waar je na de installatie geen omkijken meer naar hebt. Ze vragen voortdurend om aanpassingen aan nieuwe ontwikkelingen. Cybercriminelen zitten immers nooit stil.
De afgelopen jaren is er sprake van een toenemende belangstelling voor het inruilen van deze lappendeken aan security-oplossingen voor een integrale clouddienst. En wie kan die beter optimaliseren dan de leverancier die zich dagelijks bezighoudt met de ontwikkeling en implementatie daarvan? Dit innovatieve concept wordt met allerhande namen aangeduid, maar de term die binnen de it-wereld de meeste weerklank vindt, is die van Gartner: secure access services edge, ofwel sase.
Verschillende trajecten voor uiteenlopende behoeften
Wie met diverse security-leveranciers samenwerkt, begrijpt de aantrekkingskracht van sase voor organisaties van elke omvang goed. Sase belooft te voorzien in de meeste zaken waarvoor een gedegen security-architectuur zou moeten zorgen, zoals:
- Uptime van productieomgevingen;
- Regelmatige optimalisatie van beveiligingsmechanismen;
- Flexibele inzetbaarheid;
- Gebruiksgemak.
Dit concept is geknipt voor nieuwe locaties, maar minder voor een bedrijfsbrede overstap. Het probleem is namelijk dat zo’n beetje alle organisaties al in de nodige security-technologieën en -processen hebben geïnvesteerd. Dit maakt een integrale overstap lastig, zo niet onmogelijk. De meeste sase-projecten eindigen in een langdurig traject vanwege de onderlinge afhankelijkheden van services en applicaties en de noodzaak om draagvlak bij het management te krijgen. En dan moet er misschien ook nog rekening worden gehouden met uptimegaranties van sla’s. Die bieden mogelijk geen ruimte voor een bedrijfsbrede overstap.
Voor organisaties die nog altijd applicaties in hun datacenter hebben draaien en daarnaast gebruikmaken van saas-oplossingen en/of in de publieke cloudgehoste applicaties, kan het lastig zijn om de operationele voordelen van sase te realiseren. Consistente beleidsregels zijn van cruciaal belang voor het oplossen van problemen met applicaties of de gebruikservaring. Maar als er sprake is van verschillende policy engines, complexe configuraties of onoplosbare conflicten levert dat nieuwe operationele uitdagingen op. Dit draagt niet bij aan een verbeterd overzicht, maar maakt alles alleen meer troebeler. Als het gebruik van sase is bedoeld om de operationele flexibiliteit te vergroten, is het zaak gebruik te maken van slechts één policy engine. Als dat niet gebeurt levert dat onvermijdelijk nieuwe beheer- en onderhoudsproblemen op. Het duurt dan bovendien langer om incidenten te analyseren en verhelpen.
Point of presence
En hoe zit het met de prestaties van de verbindingen van en naar de point of presence voor de sase-dienst? Of de aggregatie van verbindingen als er sprake is van directe verbindingen met de cloud vanuit datacenters, campusomgevingen en thuisnetwerken? Sd-wan biedt een oplossing voor een aantal van deze vraagstukken. Desondanks kan het nog altijd moeilijk zijn om een hoogwaardige gebruikerservaring te waarborgen als nieuwe security-maatregelen het zicht ontnemen op de telemetriedata en andere contextuele informatie die nodig zijn voor het waarborgen van een optimale werking van services.
Bepaal je eigen traject
De meeste oplossingen die tegenwoordig op de markt worden aangeboden, voorzien in verschillende mechanismen voor het instellen en toepassen van beleidsregels voor allerhande locaties binnen het netwerk. Maar als elke instance gebruikmaakt van een eigen beheerconsole, beleidsstructuur en event-formaat, is het verhelpen van problemen vaak vrijwel onhaalbaar. En het wordt dan alleen nog maar lastiger om het overzicht te behouden op het gedrag van een bepaalde service of applicatie binnen de omgeving. In de cloud gehoste it-beveiliging moet het gebruik en beheer vereenvoudigen in plaats van in complexiteit te groeien.
Een ding is duidelijk: de gebruikservaring is en blijft voor de meeste organisaties de maatstaf voor succes. Uitmuntende beveiliging zou zo transparant mogelijk moeten zijn voor eindgebruikers. Sommige benaderingen vragen echter om het gebruik van extra management interfaces, aanvullende hardware op locatie en uiteenlopende policy engines. En met elk van deze toevoegingen groeit de complexiteit. Het helpen van klanten op het punt waarop zij zich in hun cloud-traject bevinden is de beste manier om deze vraagstukken aan te passen zonder de operationele complexiteit verder op te voeren.
