“Waar SASE op staat, staat niet altijd SASE in”

Soms is er een SASE-oplossing nodig die dicht bij de Gartner-definitie ligt, willen de voordelen van de technologie tot hun recht komen, vindt Cato-manager Johan van den Boogaart. Bijvoorbeeld wanneer de Great Firewall van de Chinese overheid een rol speelt.

De enorme groei van thuiskantoren en videoconferenties heeft geleid tot het volgende probleem: Veel bedrijven die zich hebben verzekerd van bandbreedte voor intern dataverkeer via MPLS-lijnen, d.w.z. de Multiprotocol Label Switching van infrastructuurexploitanten zoals BT of Deutsche Telekom, zien het verkeer verschuiven naar het gewone internet. De reden: Microsoft 365 of online productieve systemen zijn ontworpen op een SaaS-basis en maken gebruik van het “gewone internet”. Natuurlijk is dit ook een veiligheidsprobleem. Eén aanpak om dit internetverkeer te organiseren is het gebruik van SD-WAN-technologie in combinatie met MPLS-lijnen. “Maar SD-WAN heeft zijn grenzen op het gebied van stabiliteit. Vooral als het gaat om datatransmissie naar Zuid-Amerika of Azië, en daar in het bijzonder met betrekking tot China en de ‘Chinese Muur’, oftewel de firewall van de Chinese overheid,” zegt Johan van den Boogaart, Regional Sales Director van Cato Networks. Al met al kan de combinatie van MPLS en SD-WAN voor veel doeleinden in Duitsland of Europa goed werken, maar met name in China treden er volgens de manager soms ernstige vertragingen op.

Deze komen voort uit dubbel verkeer, het zogenaamde backhauling, dat tot prestatieproblemen kan leiden. Maar met SASE, zoals gedefinieerd door Gartner, zouden de problemen kunnen worden opgelost.

Wat is SASE?

Johan van den Boogaart, Regional Sales Director, Cato Networks

Johan van den Boogaart, Regional Sales Director, Cato Networks

De term SASE – wat staat voor Secure Access Service Edge – is geïntroduceerd door de marktonderzoekers van Gartner en is, naar Boogaart begrijpt, gebaseerd op vijf criteria: Een SASE-oplossing mag dus niet in elkaar geflanst zijn – of zoals Gartner het noemt: convergent. Het moet cloud-gebaseerd en wereldwijd zijn – niet beperkt tot Duitsland of Europa, bijvoorbeeld. En het moet alle randen ondersteunen, d.w.z. cloudinstances zoals van AWS, Azure of Google Cloud, maar ook mobiele gebruikers, siteverbindingen en datacenters. Maar waar er SASE op staat, staat er niet altijd SASE in. “Ik begrijp de definitie van Gartner zo dat een SASE-oplossing een convergente oplossing van één bron moet zijn en niet een oplossing waarin veel functionaliteiten worden samengepakt via het aan elkaar ketenen van verschillende netwerk- en beveiligingsoplossingen via API’s en daar vervolgens een webinterface voor MSP’s overheen wordt gelegd,” legt de Cato-manager uit. Deze aanpak zou leiden tot prestatieproblemen en tot het feit dat niet alle informatie altijd beschikbaar is. Bovendien kon het gebeuren dat de complexe samenwerking van de producten (bijvoorbeeld in het geval van hangende updates) niet altijd soepel verliep. “Technische problemen in het samenspel van de afzonderlijke oplossingen zijn soms moeilijk te lokaliseren en mogelijk wordt er dan ook gevochten om verantwoordelijkheden”, zegt Boogaart, die sinds 1 mei 2020 bij Cato Networks werkt.

Aanvullende informatie

Classificatie:

Het is allemaal een kwestie van definitie

Johan van den Boogaart, Regional Sales Director, Cato Networks, definieert SASE, d.w.z. de “Secure Access Service Edge”-technologie, aan de hand van vijf criteria die, vanuit zijn perspectief, samen de Gartner-definitie vormen. In de paper “Gartner Hype Cycle for Enterprise Networking” uit 2020 spreken de marktonderzoekers al hun bezorgdheid uit over de marktsituatie. In het Duits vertaald staat er: “In de afgelopen twaalf maanden zijn er meer dan een dozijn SASE-aankondigingen geweest van verkopers die hun positie op deze uiterst concurrerende markt probeerden te veroveren. Er zal veel slideware en marketecture zijn, vooral van gevestigde verkopers die slecht voorbereid zijn op het cloud-gebaseerde delivery-as-a-service model en de investeringen die nodig zijn voor gedistribueerde PoP’s.” Is dit niet allemaal SASE? Uiteindelijk blijft dat een definitiekwestie.

PoP’s, sockets en een volledige mesh

In de SASE-oplossing van zijn werkgever, zo zegt hij, wordt gewerkt met ongeveer 65 PoP’s, oftewel points of presence. Dit zijn niet zomaar “instances in een AWS of Azure datacenter, maar een datacenter met een stukje hardware – een appliance – van Cato Networks”. Elke PoP is verbonden met de pijpen van twee tot vier Tier 1-providers, waardoor een volledig netwerk tussen de PoP’s tot stand wordt gebracht. Klanten krijgen hun eigen SD-WAN sockets voor toegang tot deze PoP’s, via welke beveiligde verbindingen met hen tot stand worden gebracht. Deze sockets kunnen worden gezien als routers, maar dan zonder intelligentie. Dus ze zetten gewoon een gecodeerde datastroom op. Uniforme security policies voor de op deze manier aangesloten filialen, hyperscaler instances, mobiele gebruikers of landenkantoren worden via de PoP’s gerealiseerd.

Shlomo Kramer en Gur Shatz

Cato is in 2015 opgericht door Shlomo Kramer en Gur Shatz. Kramer was al betrokken bij de oprichting van Checkpoint en Imperva, de bedrijven die de eerste firewalls en de eerste web application firewalls lanceerden. Gur Shatz ontmoette Kramer via Imperva, dat een anti-DDoS cloud netwerk ontwikkelde met Points of Presents (Pops).