Technology review - SSE
Technology review - SSE
SSE: veilig connecteren in het cloudtijdperk
Virtuele privénetwerken of VPN’s liggen steeds vaker onder vuur. En niet alleen letterlijk. Naast de exponentiële toename van het aantal cyberaanvallen, waar onvermijdelijk ook VPN-verbindingen onder te lijden hebben, stellen we de jongste jaren ook steeds meer de technologie zelf in vraag. Gelukkig diende er zich al een alternatief aan in de vorm van een nieuwe toegangsarchitectuur: Security Service Edge of kortweg SSE.
Creation date :
De redenen voor de groeiende kritiek die VPN’s vandaag te beurt valt, zijn heel divers. Om te beginnen vormen ze onmiskenbaar een veiligheidsrisico. Uit onderzoek blijkt bijvoorbeeld dat zo goed als alle bedrijven zich ervan bewust zijn dat hun VPN-infrastructuur als doelwit voor cybercriminelen kan dienen. “Het is nu eenmaal een zwak punt om te exploiteren”, constateert securityspecialist Farouk El Jaouhari, SASE Channel Lead bij HPE Aruba Networking. “Negen op de tien bedrijven vrezen dat het gebruik van VPN-technologie hun bedrijfsomgeving in gevaar zal brengen.”
Tegelijk zijn bedrijven ook ontevreden over hun gebruikservaring met VPN. Met name de snelheid van de VPN-verbinding laat te wensen over. “Doordat VPN-leveranciers het VPN-verkeer telkens naar de dichtstbijzijnde datacenterlocatie moeten leiden, vaak honderden kilometers verderop, treedt er onvermijdelijk ‘latency’ of vertraging op”, verduidelijkt Farouk El Jaouhari. Daar komt nog bij dat VPN’s vrij complex zijn om te beheren. “Elk apparaat moet je apart beheren en bijwerken. Dat maakt het schalen of uitbreiden ervan tot een ware logistieke nachtmerrie.”
Firewall creëerde fortmentaliteit
Een vergelijkbaar verhaal doet zich voor als we het over firewalls hebben. Ook de firewall is een beproefd en populair beveiligingsmiddel. “Wij willen het gebruik ervan weliswaar niet in vraag stellen”, beklemtoont Farouk El Jaouhari. “De firewall zal waarschijnlijk nog een hele tijd meegaan – terecht, overigens. Alleen moeten we ons wel de vraag stellen of we met investeringen in technologie als de firewall alleen, wel voldoende opgewassen zijn tegen de vele security-uitdagingen die de komende jaren op ons afkomen.”
Het gevestigde idee dat alle assets die zich achter de firewall in ons datacenter bevinden, bij voorbaat veilig zijn, blijkt vandaag immers een illusie. “Via het internet en de diverse clouds staan we elke dag opnieuw met allerlei klanten, partners en leveranciers in contact, ieder met zijn eigen toestellen en applicaties”, stelt Farouk El Jaouhari vast. “Dat kunnen we niet meer allemaal perfect beveiligen via een firewall of een ander centraal beheerpunt. Daarvoor is ons aanvalsoppervlak simpelweg te groot geworden.” Ook de succesvolle opkomst van het hybride werken, deels op kantoor en deels thuis of onderweg, draagt bij tot die evolutie.
Integreer security aan de rand van je netwerk
Bij de meeste bedrijven bevindt een (kritiek) deel van de data zich nog steeds in hun lokale datacenter. Een ander deel bevindt zich al in de cloud, wat het ontstaan van de term hybride cloud verklaart. Tegelijk genereren bedrijven ook aan de rand van hun bedrijfsnetwerk steeds meer data. De complexe nieuwe omgeving die daaruit voortvloeit, is helaas ook complexer én bijgevolg duurder om te beveiligen.
“Nieuwe oplossingen moeten die complexiteit opnieuw doen afnemen en het securitybeheer weer wat vereenvoudigen”, merkt Farouk El Jaouhari op. Een van die oplossingen, Secure Service Edge of kortweg SSE, is een beveiligingsarchitectuur die de traditionele perimeterbeveiliging of firewall vervangt door verschillende beveiligingsoplossingen te centraliseren aan de rand van het netwerk. Die nieuwe securitybenadering is gericht op het beschermen van organisaties in een gedecentraliseerde en cloudgeoriënteerde omgeving. Door beveiligingsfuncties (‘Secure Service’) te verplaatsen naar de rand (‘Edge’) van het netwerk, dichter bij de gebruikers en hun toestellen (endpoints), kun je een sterke verdedigingslinie opwerpen tegen cyberbedreigingen voordat die je interne netwerk bereiken.
Nul vertrouwen
Het SSE-platform steunt op vier technologische pijlers. “Daarvan is Zero Trust Network Access of ZTNA veruit de belangrijkste”, stelt Farouk El Jaouhari. Zowat de helft van de bedrijven begint zijn SSE-traject met de implementatie van ZTNA die essentieel is om een veilige toegang te verzekeren tot privéapplicaties in het datacenter of de cloud. Om gebruikers te verifiëren en toegang te verlenen tot specifieke applicaties op basis van een vooraf bepaald identiteits- en contextbeleid, vertrekt ZTNA van een sterk veiligheidsprincipe: ‘Nooit vertrouwen, altijd verifiëren!’
Daarmee vormt ZTNA de ideale vervanging voor een Remote Access VPN. “ZTNA laat ons toe om het VPN-principe te moderniseren door het om te zetten naar een op de cloud gebaseerde netwerkoplossing voor toegangsbeheer.” De meeste bedrijven maken daarna pas werk van het implementeren van een Cloud Access Security Broker (CASB), een Secure Web Gateway (SWG) en Digital Experience Monitoring (DEM).
Stap voor stap
“Moet je dat allemaal in huis halen? Wij raden in elk geval af om het allemaal tegelijk te implementeren. Wat wij wel ernstig aanbevelen, is om vooraf het nodige advies in te winnen bij een ervaren specialist in secure networking. Onze technologiepartner Inetum heeft alle expertise in huis om via een workshop of audit op maat na te gaan wat voor jouw organisatie het beste plan van aanpak is.”
Meer info?
Hoe werkt SSE in de praktijk? In ons recent webinar zorgde onze networking specialist voor een korte en krachtige demo. Download hier alvast de recording. Heeft u nog vragen of wenst u eerste stappen te zetten, mail naar info.belgium@inetum.com
