De eerste auto leek nog het meest op een koets zonder paard. De dierlijke trekkracht was vervangen door een verbrandingsmotor. Zo hoor je ook weleens praten over SASE (secure access service edge) als de volgende generatie van SD-WAN (software-defined WAN). De verschillen tussen beide technologieën zijn echter groter dan die tussen een auto en een koets. SASE biedt faciliteiten die we kennen van SD-WAN. Het omgekeerde geldt niet of nauwelijks. Wat zijn de verschillen?
Laten we beginnen met een overeenkomst, want die is er ook. Beide technologieën zijn gevirtualiseerd, dat wil zeggen dat ze met behulp van software te beheren en te configureren zijn. Een bedrijf met SD-WAN kan het netwerkverkeer routeren zonder ter plaatse de instellingen van allerlei routers te hoeven aanpassen. SD-WAN ontleent hier zelfs de eerste twee letters van de naam aan: het is software-defined. SASE heeft die twee letters niet in zijn naam, maar is wel degelijk ook software-defined.
Hier houden de overeenkomsten wel op. De verschillen zijn belangrijker. Om te beginnen: SD-WAN biedt via een edge-device op een vestiging toegang tot het datacenter van een organisatie. SASE doet wat anders: het biedt via een op cloud gebaseerd netwerk toegang aan applicaties, datacenters, werkers op kantoor, thuis of onderweg. Veel SD-WAN implementaties hebben niet de mogelijkheid medewerkers onderweg of thuis te ondersteunen.
Levering
De leveringsmodellen van SASE en SD-WAN zijn volkomen verschillend. Een SD-WAN is op verschillende manieren aan te leggen. De eigen IT-afdeling kan het doen, of het kan via outsourcing gerealiseerd worden. Tussenvormen zijn ook mogelijk. Vaak zie je installatie van appliances, fysiek of virtueel, op de vestigingen.
SD-WAN biedt wel enige security-voorzieningen, maar is niet per definitie veilig. In de praktijk leidt dat vaak tot installatie van een cloud-based firewall en een intrusion prevention system. Samen met de appliances vormen deze een complex geheel, dat al snel tijdrovend en kostbaar in beheer wordt.
SASE is per definitie een dienst die op cloud gebaseerd wordt, software-defined is en ingebouwde security-voorzieningen heeft. Een organisatie neemt SASE dus as-a-service af, als een complete voorziening voor connectivity en security.
Veiligheid
Daarmee komen we direct op de verschillende benadering van security door beide technologieën. Zoals gezegd moet er bij SD-WAN wel wat gesleuteld worden om het geheel veilig te maken. SASE daarentegen is gebouwd rondom het concept van zero trust security. Hiermee is het mogelijk heel fijnmazig aan te geven welke rechten een resource heeft. Dit kan een mobiele gebruiker zijn, een cloud applicatie of een site. Dit is een groot voordeel, omdat er geen afzonderlijke maatregelen nodig zijn voor afzonderlijke categorieen zoals gebruikers of applicaties. Bij SD-WAN is dit wel het geval.
Identiteit is het criterium voor toegang en voor het definiëren van de toegangsrechten. Die laatste optie betekent dat een hacker of andere kwaadwillende gebruiker die het netwerk op komt, niet overal bij kan. Het principe van zero trust in de praktijk gebracht…
SASE zorgt bovendien voor encryptie van al het netwerkverkeer en inspecteert ‘bij de ingang’, namelijk het point of presence van de SASE provider, het verkeer dat binnenkomt.
Connectivity
SD-WAN en SASE routeren het netwerkverkeer op een heel verschillende manier. SD-WAN is bedacht om vestigingen van een bedrijf te verbinden met het netwerk en het datacenter van dat bedrijf. SASE is op cloud gebaseerd en biedt netwerktoegang via de points of presence van de provider. Bij SASE loopt verkeer dan ook niet per se naar het datacenter. Het kan ook van het ene punt – een medewerker thuis – naar het andere – Office 365 in de cloud – lopen.
Wie toegang heeft tot internet kan zo’n point of presence in principe bereiken. Het is voor internationaal opererende bedrijven wel van belang dat de provider wereldwijd voldoende points of presence heeft. Bij Cato Networks beschikken we over 65 van zulke points of presence, in alle werelddelen, verbonden via een eigen backbone.
Hybride werken
Het hybride werken is met de uitbraak van COVID-19 de norm geworden. Veel medewerkers werken geheel of gedeeltelijk thuis en verwachten daar dezelfde netwerkfaciliteiten te hebben als op kantoor. SASE biedt deze mogelijkheid van huis uit. Gebruikers kunnen met een client of een browser de applicaties van hun organisatie bereiken, zonder dat hiervoor een VPN-verbinding naar het datacenter nodig is. SASE zorgt immers voor de toegangscontrole, de toepassing van de toegekende rechten en encryptie van het netwerkverkeer.
SD-WAN beschikt niet zonder meer over de benodigde voorzieningen voor remote access. Om medewerkers thuis of onderweg toegang te geven, zijn extra maatregelen nodig, in de vorm van aanvullende oplossingen van andere leveranciers. Remote access via SD-WAN brengt dan ook extra kosten met zich mee. Voor sommige bedrijven kan dit aanleiding zijn niet alle medewerkers deze optie te geven.
Evolutie?
Al met al zijn er veel verschillen tussen beide technologieën. De markt lijkt soms de verwarring over termen en definities nog groter te maken. Je ziet soms SD-WAN implementaties met allerlei toeters en bellen voor security en remote access doorgaan voor SASE. De essentie van SASE, namelijk een compleet aanbod in de vorm van een cloudgebaseerde dienst, ontbreekt. Kosten voor het beheer van zo’n complexe implementatie kunnen behoorlijk oplopen.
SASE wordt ook wel een evolutie van SD-WAN genoemd. Daar ben ik het wel mee eens. Tenslotte is een Tesla in zekere zin ook een evolutie van de Renault 5.
Wim Timmer is Sales Engineer Benelux bij Cato Networks.
