De basis van SASE-cloud security bestaat uit goed identiteitsbeheer

SASE

In het rapport introduceert Gartner de term SASE (in het Engels uitgesproken als ‘sassy’). SASE staat voor Secure Access Service Edge. Het is een security-model dat inspeelt op het feit dat steeds meer gebruikers van applicaties en data niet langer actief zijn binnen een bedrijfsnetwerk, maar daarbuiten: thuis, in een café of restaurant, op het vliegveld, of in de natuur. Ook bevinden bedrijfsnetwerk, applicaties en data zelf zich in toenemende mate niet meer in het datacenter, maar in de cloud. Dit betekent dat traditionele manieren van beveiliging zoals Enterprise Firewalls en intrusion detection minder effect hebben. Het concept van Working from Anywhere leidt tot nieuwe uitdagingen op het gebied van security en gebruiksvriendelijkheid en SASE pakt deze issues aan vanuit een gezamenlijk netwerk en security perspectief.

Dienstenconcept

SASE is een platform of samenhangend geheel van oplossingen (idealiter van één vendor) dat in staat is om alle gewenste of noodzakelijke netwerkfunctionaliteiten en beveiliging via de cloud aan te bieden. Dat gebeurt anyplace, anytime en anywhere. Enterprise functionaliteiten worden daarbij geconsolideerd en zoveel als mogelijk gesimplificeerd, voorbeelden hiervan zijn firewall, VPN, sandboxing, Threat Protection, Secure Web Gateway, Cloud Access Security Broker, Zero Trust Network Access en FireWall as a Service, Data Loss Prevention en niet te vergeten SD-WAN. Deze functionaliteiten worden als dienst aangeboden.

Groeiend belang van identiteitsbeheer

Working from Anywhere – en de daarbij behorende inzet van SASE - leidt ertoe dat identiteiten en het beheren daarvan nog veel belangrijker worden. Zij zijn immers de nieuwe basis voor toegang tot data en applicaties. Identiteiten en in toenemende mate hun context bepalen wie of wat toegang heeft tot welke systemen of gegevens. Identiteiten kunnen betrekking hebben op een persoon, maar ook op een device of een bepaalde computing-locatie. Het gaat erom dat zij centraal staan als het gaat om toegang. Bij het implementeren van een Zero Trust architectuur volgens het ‘never trust, always verify’ principe vormen identiteiten het fundament van de ‘who, what, where, when, why and how’.

Daarmee wordt meteen het belang van effectief Identity en Access Management (IAM) en alle aanverwante processen - zoals Identity Governance and Administration (IGA), Privileged Account Management (PAM) en Data Governance - onderstreept. Waar voorheen het toegangsbeheer werd bekeken vanuit applicaties en gegevens in het datacenter, daar komt de focus nu te liggen op de identiteiten en hun context. En daarom vraagt een SASE-benadering om een ‘identity-centric’ architectuur met policy’s voor veilige toegang.

Bij het hanteren van een SASE-model zijn tal van keuzes nodig. Wat te doen met zaken als on premises Active Directory en Azure Active Directory? Op welke wijze moet een context als attribuut van een identiteit worden gedefinieerd? Hoe ga je het totale access management vormgeven in een Zero Trust architectuur? Hoe past SASE in een multicloud-strategie? Wat is de impact van SASE op het certificate management? En welke rol kunnen technologieën als API Security, Federation, Single Sign On en Conditional Access spelen?

Zonder een goede roadmap zal het lastig zijn om serieus werk te maken van SASE. Zo’n roadmap geeft in ieder geval antwoord op de volgende vragen:

1. Wat is er minimaal nodig voor SASE?
2. Waar moet je beginnen?
3. Waar moet je op letten, wat zijn de eventuele valkuilen?
4. Wat kan wel in de cloud en wat nog niet?
5. Wat is de impact of juist de invloed van IGA/IAM/Access Management voor een organisatie op de SASE-roadmap?

Ewout Vermeulen is Senior Security Consultant bij Traxion, dat een breed scala aan security- en IAM-diensten levert.

Meer weten over SASE en wat Traxion voor u in dat verband kan betekenen? Wij komen graag met u in contact.