Wat is SASE

Door René Lindeboom

Eind 2019 schreef Gartner een whitepaper met de titel ‘The future of network security is in the Cloud’. Enkele maanden terug verscheen dit blog-artikel van Citrix over SD-Wan en SASE.

Maar wat is SASE nu precies?

Het gemiddelde bedrijfsnetwerk maakt grote ontwikkelingen door.  Zo zijn enkele jaren terug  de eerste stappen richting ‘cloud’ gezet en vandaag de dag is er geen onderneming of organisatie zonder een cloud-strategie. Dat kan simpelweg ‘cloud-first’ zijn maar ook een complexer plan tot het ‘verSaaSen’ van bedrijfsprocessen en het afscheid nemen van ‘legacy’ infrastructuur.

Een belangrijk argument voor ‘cloud-adoptie’ is om te bewegen naar een kostenmodel waarbij operationele kosten (of ‘pay as you go’) kunnen worden toegepast (in plaats van het investeren in af te schrijven hardware en software).

Verliezen we controle?

De tijd van traditionele on-prem omgevingen is dus eindig. Dat einde wordt door bijzondere omstandigheden zoals Covid-19 afgelopen (en komend) jaar nog eens versneld. De digitale grenzen vervagen en het is niet meer mogelijk om achter een enkele firewall te schuilen. We beveiligen verbindingen, data en applicaties met behulp van SSL encryptie en als het even kan ‘multi-factor authenticatie’ en VPN-tunnels. In deze (voor veel organisaties huidige) situatie is het niet langer inzichtelijk via welke verbindingen welke data het bedrijfsnetwerk inkomt en uitgaat. We dreigen langzaam controle te verliezen.

We stappen nu het ‘hybrid’ era in, met een grote verscheidenheid aan SaaS-diensten in private en public clouds en het internet als ons primaire netwerk. In deze situatie is er extra aandacht nodig voor de beveiliging tegen malware en ransom attacks, zeker nu we zien dat deze aanvallen gestructureerd en gestimuleerd lijken te worden door buitenlandse overheidsorganisaties. Zoals altijd ontstaan uit nieuwe technische ontwikkelingen ook weer nieuwe technische wijsheden.

Het maakt niet meer uit waar resources of gebruikers zich bevinden

Zo’n nieuwe wijsheid is bijvoorbeeld ‘SASE’ (spreek uit; ‘sassy’) wat staat voor ‘Secure Access Service Edge’. Wat hiermee bedoeld wordt is het creëren van een beveiligingslaag die zich kan uitstrekken over verschillende private/public clouds/networks. Deze laag moet samengesteld worden uit meerdere technologieën die verkeer op een slimme manier toestaan of blokkeren.

Er is een integrale benadering nodig, waarbij het er niet langer toe doet waar resources (data en applicaties) of gebruikers (en devices) zich bevinden. Volgens het ‘SASE’ principe wordt een virtuele scheidslijn (edge) gecreëerd tussen ‘intern’ en ‘extern’ ongeacht de fysieke locatie of connectie. Al het verkeer dat deze scheidslijn wil passeren wordt beschouwd als ‘not-trusted’ (zero-trust), zodat eerst vastgesteld kan worden of de data, applicatie of gebruiker toegang wordt verleend.

Citrix heeft hier een aantal cloud services voor ingericht als onderdeel van de Citrix Workspace.

De ‘Secure Internet Access’ service is te beschouwen als een geïsoleerde internet-browser. Als een gebruiker een ‘externe’ site bezoekt, wordt deze automatisch omgeleid naar een beveiligde webbrowser. De ‘Gateway service’ koppelt een eigen resource-locatie via ‘Gateway-connectors’. Deze resource-locatie kan een traditionele ‘on-prem’ omgeving zijn maar ook een app of data gehost in een private of public cloud. De ‘security broker’ service koppelt je eigen Identity provider (Azure AD, on-prem AD, Okta, SAML, Google-IDP of Ping) plus MFA aan de Workspace-omgeving.

Doordat deze services, net als de Workspace service zelf, door Citrix worden beheerd zijn ze altijd ‘up-to-date’ en beschikbaar. Door deze services te combineren met de Citrix Analytics service ontstaan een intelligente ‘end-to-end’ monitoring van al het verkeer dat inkomt en uitgaat.

In het Cloud control panel worden de risico’s geïdentificeerd en gekwalificeerd (‘High’, ‘Medium’ en ‘Low’) waarbij ‘machine learning’ wordt toegepast.

De kracht van Citrix Workspace zit dus niet alleen in de intuïtieve digitale werkplek maar ook in de security services er omheen. Hiermee ontstaat een ‘SASE’ conforme werkplek-omgeving die klaar is voor de nabije toekomst.