SD-WAN of SASE? Maak de juiste keuze voor veilig werken op afstand

In maart van dit jaar slaagden veel organisaties met kunst- en vliegwerk erin om hun werknemers op afstand te laten werken . Een half jaar later is duidelijk dat afstand houden en daarmee thuiswerken voorlopig de norm is. We spraken met Lieuwe Jan Koning, CTO en medeoprichter van ON2IT, over hoe je dat als organisatie veilig kunt inrichten.

SD-WAN SASE
ON2IT
Lieuwe Jan Koning ON2IT

ON2IT begon in 2005 met twee medewerkers, en is sindsdien uitgegroeid tot een toonaangevende internationale managed security service provider. “Wij nemen voor onze klanten de security uit handen”, aldus Koning, “met als doel: geen downtime en geen exfiltraties”. Daarbij staan de principes van Zero Trust centraal, al sinds de oprichting en dus nog voordat John Kindervag bij Forrester Research deze principes schetste als ideale security-benadering. Daarbij hangt het bedrijf een integrale security-filosofie aan: “Security moet geen afterthought zijn, maar ingebakken.”

Om dat te realiseren werkt ON2IT nauw samen met geselecteerde partners; een van de verantwoordelijkheden van Koning is die selectie maken, naast bijhouden welke technologische ontwikkelingen er spelen. Dat is niet eenvoudig: “Wat een goede security-oplossing is, verschilt nogal. CISO’s hebben geen makkelijke job, ook niet omdat de marketing je om de oren vliegt.” Juist omdat het een lastige job is, die veel kennis vereist, maar ook cruciaal is voor een modern bedrijf, is het advies van ON2IT om dit uit te besteden. Dat doet het bedrijf direct voor organisaties vanaf zo’n 250 werknemers, en indirect voor IT-dienstverleners bij wie kleinere organisaties de hele IT in handen geven.

Cloud betekent niet automatisch beveiligd

Een van de belangrijke aandachtspunten dezer dagen is de inrichting van het bedrijfsnetwerk. Was het bij veel organisaties tot medio maart van dit jaar eerder uitzondering dan regel dat een werknemer van buitenaf te allen tijde en vanaf elke locatie verbinding moest kunnen maken, sinds de coronamaatregelen van kracht werden is het bijna de norm geworden. Aan het begin van de coronacrisis hoorden we dan ook veel over niet toereikende VPN-verbindingen en haastige opgeschaalde firewalls. Waar die organisaties veelal aan zijn voorbijgegaan, is dat ze daarmee nog niet per se de security op orde hebben.

Koning wijst expliciet naar Office 365: dat lijkt misschien een cloud-toepassing, maar feitelijk “is het niets anders dan een lokale Office-applicatie die snel synchroniseert.” Oftewel, je data staat daarmee ook altijd lokaal. “De afgelopen maanden lijkt security overboord gegooid,” stelt Koning. Organisaties geloven niet meer in VPN (zie kader) en hebben vertrouwen in de security-maatregelen van Microsoft. Dit tot verbazing van Koning: “Zelfs als Microsoft het perfect op orde heeft, zet je de achterdeur open voor elke employee op het moment dat één van hen een document opent op een gecompromitteerde laptop. De thuiswerkplek behoort tot het security domein van je organisatie. En dan moet je dus iets doen met het endpoint, je moet weten wat daar gebeurt.”

Iedereen heeft segmentatie nodig

Zo’n gesplitste inrichting (Office 365 rechtstreeks, de rest via VPN) is vanuit security-perspectief om vele redenen onwenselijk. Koning begrijpt de snelgroeiende interesse in SD-WAN en/of SASE om de controle weer terug te krijgen. Waar SD-WAN van oorsprong bedacht is om kosten te besparen op een trage en dure leased line, is het tegenwoordig bovenal een veilige manier om diverse locaties met het datacenter te verbinden. Daarbij moet wel een belangrijke kanttekening worden gemaakt: binnen het traditionele WAN was er geen Zero Trust. Nieuwere SD-WAN oplossingen, bijvoorbeeld van next-generation firewall leveranciers als Palo Alto Networks, stellen je in staat om alle Zero Trust principes, met name segmentatie, toe te passen.

SASE daarentegen heeft het endpoint als focus. Omdat alle SASE-functies vanuit de cloud worden geconsumeerd, is Zero Trust segmentatie binnen de winkels, kantoren of productievestigingen weer lastiger.

Koning stelt dat iedereen in ieder geval segmentatie nodig heeft: “Bijvoorbeeld netwerkcamera’s, daarvan wil je echt niet dat iemand (van buiten de organisatie, red.) erbij kan.” In de toekomst is dit misschien inherent in de netwerkstructuur, of zoals Koning het brengt: “dan heeft misschien alles een eigen simkaart”, maar op dit moment is die scheiding nog geen standaardvoorziening. Daar moet je als organisatie dus zelf voor zorgen.

Over de manier om dat te realiseren is Koning helder: “je moet niet eerst je connectiviteitsprobleem oplossen en daar vervolgens security opplakken. Security by design is niet alleen beter, maar uiteindelijk ook goedkoper.” Of SD-WAN, SASE of een combinatie hiervan de beste benadering is, zal per organisatie verschillen. “Het zijn blokkendozen, allerlei varianten van oplossingen zijn mogelijk. Het hangt af van het applicatielandschap en waar dat zich bevindt. Dát bepaalt de beste match.” Zo moeten sommige organisaties rekening houden met wettelijke verplichtingen omtrent grensoverschrijdend verkeer: “In Spanje bijvoorbeeld zijn wetten die bepalen dat verkeer voor bepaalde sectoren in het land moet blijven.” Dat maakt SASE als oplossing minder geschikt: met SD-WAN heb je meer controle over de infrastructuur.

Inzicht is vereist voor goed security design

Om die reden moet je als organisatie inzicht hebben in waar je data zich bevindt, wie tot welke data toegang nodig heeft en hoe erg het is als er iets misgaat. Dat laatste kan uitdagend zijn: “hoe bepaal ik of bepaald gedrag erg is”. Dat is ook iets waarmee ON2IT probeert te helpen, naast het vaststellen van mogelijkheden en maken van keuzes. Eén voordeel: na de designfase is het daadwerkelijk aanleggen van de infrastructuur relatief eenvoudig en dus relatief snel te realiseren. Daar komt bij dat er bij goede implementatie geen performance impact is: SASE en SD-WAN zijn beide sneller dan de oude oplossing met leased lines, zeker in een land als Nederland waar breedband alomtegenwoordig is.

Uitbesteden is niet alleen ontzorgen

Gezien de complexiteit van de materie en de overvloed aan mogelijke oplossingen in de markt (die niet alle even adequaat zijn, maar voor de leek lastig van elkaar te onderscheiden), pleit Koning voor uitbesteden van security. Dat ligt gezien zijn achtergrond natuurlijk voor de hand, maar uitbesteden gaat verder dan ontzorgen. Als je security binnen de organisatie houdt, is het immers eenvoudiger om hier onder druk van bedrijfsprocessen gemakkelijker mee om te springen. “Je wilt een soort spanningsveld creëren: iemand moet niet alleen verantwoordelijk zijn voor een goede inrichting, maar ook aan de bel trekken wanneer dat nodig is. Je hebt iemand nodig die je blijft attenderen op risico’s. Er is altijd een use case om toegang toe te voegen en trust te vergroten, maar om het secure te houden is ook een tegenkracht nodig. Het is heel gezond dat te laten doen door andere mensen dan die het business belang hebben.”

Dat betekent niet dat security in de weg gaat staan van de bedrijfsvoering, maar wel dat hier zorgvuldig mee wordt omgesprongen – en de trust weer wordt verkleind zodra dat mogelijk is, bijvoorbeeld. Iedereen in de IT is bekend met het fenomeen van ‘tijdelijk’ opengezette poorten in een netwerk, die uit het oog raken. Door een externe partij in kaart te laten brengen en houden waar risico’s tijdelijk worden toegelaten, houd je het beheersbaar en voorkom je ongewilde lekken.

Meer weten over SD-WAN en SASE? Op 7 september en 21 september geeft ON2IT een webinar.

Copyright © 2020 IDG Communications, Inc.

7 inconvenient truths about the hybrid work trend
Shop Tech Products at Amazon