Een veilig netwerk met SD-WAN, SD-Branch en SASE

IT-medewerker beheert netwerk
16.12.2024

SD-WAN, SD-Branch en SASE zijn drie moderne netwerk- en beveiligingstechnologieën die aan populariteit winnen. Onze expert legt uit waar de verschillen zitten en welke voordelen deze technologieën in de praktijk bieden. 

Elk bedrijf wordt vandaag geconfronteerd met netwerkuitdagingen. Bedrijven groeien, hebben nood aan waterdichte security of een oplossing voor hybride werken, … Moderne netwerk- en beveiligingstechnologieën bieden een antwoord. We spraken erover met Marc Schuermans, Solution Architect ITN bij Orange Belgium. Elke dag werkt hij nauw samen met klanten op zoek naar de geschikte oplossing voor hun noden.

 

Welke trends brengen organisaties ertoe om naar moderne netwerk- en beveiligingsoplossingen zoals SD-WAN, SD-Branch en SASE te kijken?

“De belangrijkste trend is volgens mij dat organisaties meer en meer cloudtoepassingen gebruiken. Dat vereist veilige manieren om toegang te krijgen tot die toepassingen. Daarbovenop kwam de verschuiving naar hybride werken, waardoor organisaties veilige toegang vanaf diverse locaties nodig hadden. Met cyberaanvallen die steeds geavanceerder worden, moet ook daar prioriteit aan worden gegeven. Traditionele IT-architecturen behandelen netwerk en beveiliging afzonderlijk van elkaar, met meer gaten in de beveiliging als gevolg. SASE (Secure Access Service Edge) daarentegen integreert beide domeinen om een totaalbescherming te bieden.

Meer algemeen zien we ook een zoektocht naar manieren om de uitgaven voor IT-infrastructuur te verminderen. SD-WAN biedt de mogelijkheid om een goedkopere internetverbinding te gebruiken zonder toe te geven op het vlak van prestaties. Tot slot zien we ook meer vraag naar flexibiliteit in het netwerk. Sommige toepassingen vereisen een lage latency en andere juist een hoge bandbreedte. SD-WAN en SD-Branch bieden met dynamic path selection een manier om de prestaties en gebruikerservaring van toepassingen te verbeteren.”

 

Met cyberaanvallen die steeds geavanceerder worden, moet ook daar prioriteit aan worden gegeven.

Marc Schuermans 

 

Waarin verschilt SD-WAN dan precies van traditionele WAN-oplossingen?

“SD-WAN staat voor software-defined wide area network en de naam legt het eigenlijk al uit. Het is een technologie om via software een combinatie van netwerkverbindingen te beheren en ook te optimaliseren. In een traditioneel WAN is de architectuur daarentegen op hardware gebaseerd. SD-WAN is eigenlijk een softwarelaag die boven de onderlaag van de hardware van het netwerk ligt. Terwijl een traditioneel WAN typisch één netwerkprovider heeft, bijvoorbeeld via MPLS, kun je met SD-WAN verschillende verbindingen, zoals MPLS, internet en 4G of 5G, combineren. Zelfs al komen die van verschillende providers.

 

Hoe uiten die verschillen zich in de praktijk?

“Bij een traditioneel WAN moet de configuratie op elke vestiging manueel gebeuren. Met SD-WAN kan dat gecentraliseerd en geautomatiseerd. Je definieert bijvoorbeeld in een policy dat een specifieke toepassing prioriteit heeft boven andere toepassingen. Dit wordt dan automatisch over de hele infrastructuur van elke vestiging toegepast. Typisch doe je dat om de latency voor toepassingen zoals VoIP en videovergaderingen zo laag mogelijk te houden.”

“Het routeren van netwerkverkeer verloopt ook heel verschillend. In een traditioneel WAN gebeurt dat gebaseerd op de IP-adressen van bron- en doelmachines en daarvoor stel je vaste regels in. SD-WAN gebruikt een dynamischer manier van routing: met application-aware routing wordt voor elke toepassing het beste pad gevonden, bijvoorbeeld dat met de laagste latency. En zodra de omstandigheden veranderen, bijvoorbeeld door drukte op je netwerk, leidt de policy automatisch tot een herconfiguratie zodat het netwerkverkeer van de applicatie een nieuw pad volgt. SD-WAN monitort immers continu de prestaties van alle beschikbare netwerkverbindingen en reageert daarop.”

 

Wat zijn de andere voordelen?

“Als je meerdere WAN-verbindingen hebt en automatisch de beste gebruikt, betekent dit ook dat je redundantie hebt. Als één verbinding volledig uitvalt, schakelt het netwerverkeer automatisch over naar een van de nog beschikbare verbindingen, en dat zonder onderbreking. Een ander voordeel is rechtstreekse toegang tot clouddiensten vanaf de verschillende vestigingen. In een traditioneel WAN verloopt de toegang tot clouddiensten in elke vestiging via een datacenter of het hoofdkwartier. Met SD-WAN gebeurt dat rechtstreeks vanaf elke vestiging, wat de responsiviteit verhoogt.”

 

Als één verbinding volledig uitvalt, schakelt het netwerverkeer automatisch over naar een van de nog beschikbare verbindingen, en dat zonder onderbreking.

Marc Schuermans 

 

En wat is SD-Branch dan?

“Dat staat voor software-defined branch en is een netwerkoplossing die de principes van software-defined networking over het hele netwerk van vestigingen toepast. Terwijl SD-WAN focust op de verbinding tussen een vestiging en clouddiensten en andere infrastructuur, gaat het bij SD-Branch om het unificeren van meerdere vestigingen.”

 

Die unificatie vereenvoudigt dan het beheer van IT-infrastructuur over meerdere locaties?

“Inderdaad, je beheert alles centraal, zowel WAN als LAN, switches, draadloze toegangspunten en netwerkbeveiligingsapparatuur en dat van alle vestigingen. Maar het gaat niet alleen om centralisatie van het beheer, maar ook over monitoring, automatisatie en deployment. Het geeft je ook end-to-end zichtbaarheid over je hele netwerk. Je kan dus de volledige flow van een eindgebruiker volgen.”

 

En bij deployment van netwerkapparaten heeft SD-Branch dus ook voordelen?

“Klopt, SD-Branch geeft je de mogelijkheid om zero-touch deployments uit te voeren. Je configureert een apparaat dat je wilt installeren op voorhand. Wanneer het dan in de vestiging geïnstalleerd wordt, maakt het verbinding met de centrale server en downloadt het de juiste configuratie. Je hoeft dus geen ervaren engineers meer naar elke vestiging te sturen om netwerkapparaten te configureren. Je kan de configuratie van verschillende apparaten ook op hetzelfde sjabloon baseren, wat consistentie garandeert.”

“Ook na het installeren beheer je overigens al je apparaten in al je vestigingen met SD-Branch eenvoudig consistent door automatische firmware-updates, beveiligingspatches enzovoort. Je hoeft dus niet elk apparaat manueel te gaan updaten, met het risico dat je er een vergeet.”

 

Dan komen we bij de laatste van de drie technologieën: SASE of Secure Access Service Edge. Kunnen we dat beschouwen als een uitbreiding op SD-WAN?

“Niet helemaal. SD-WAN is een van de bouwstenen van SASE. Het is eerder een evolutie ervan. Het is een cloudgebaseerde geünificeerde aanpak van netwerk en beveiliging. Terwijl SD-WAN nog netwerkgericht is, ontworpen om connectiviteit te optimaliseren, is SASE gebruikersgericht. De focus ligt op veilige toegang tot toepassingen, ongeacht waar de gebruikers, hun apparaten of de toepassingen zich bevinden.”

“In de architectuur van SASE verbinden gebruikers niet rechtstreeks met hun toepassingen, maar via een SASE PoP (Point of Presence). Die verbinding met een PoP gebeurt met SD-WAN, en bij problemen zal SD-WAN automatisch met een andere PoP verbinden.”

 

Is de implementatie van een Zero Trust-model om die veilige toegang te garanderen essentieel voor SASE?

“Het is niet strikt noodzakelijk, maar wel sterk aangewezen. Het Zero Trust-model sluit met zijn aanpak van 'vertrouw nooit, controleer altijd' ook nauw aan bij de kernprincipes van SASE. Heel wat SASE-oplossingen zijn al ontworpen met diezelfde aanpak, waarbij geen enkele gebruiker, apparaat of toepassing standaard vertrouwd wordt, of het nu binnen of buiten de netwerkperimeter is. Persoonlijk vind ik Zero Trust essentieel om het potentieel van SASE volledig te realiseren.”

 

Heb je tips voor organisaties om naar oplossingen zoals SD-WAN, SD-Branch of SASE te migreren?

“Hoewel deze oplossingen heel wat voordelen hebben, moet je een duidelijk, meetbaar doel vooropstellen. Beslis hoeveel kostenreductie je wilt realiseren of hoe je de beveiliging wilt verbeteren. Zonder duidelijke doelstelling wat je wilt bereiken, kun je de migratie niet evalueren. Vergeet ook niet dat het vaak om complexe migraties gaat. Plan try-outs, en evalueer of er voldoende expertise in je IT-afdeling is. Misschien moet je wel extra trainingen voorzien. Een typisch scenario is dat je wel een expert in LAN-technologie in je team hebt, maar niemand met voldoende expertise in beveiliging. Bepaal ook of je alles zelf wil beheren of dat je een provider kiest die je infrastructuur voor je beheert.”

 

Welke criteria kunnen organisaties gebruiken bij het selecteren van een provider voor SD-WAN, SD-Branch of SASE?

“Kijk enerzijds naar de oplossing die de provider inzet. Bevat die alle functionaliteit die je verwacht? En kun je daarmee je hele infrastructuur in al je vestigingen beheren vanuit een gecentraliseerd dashboard? Voldoet de oplossing ook aan alle regelgeving die je organisatie moet volgen, zoals de GDPR? Als je oplossingen gaat vergelijken, moet je ook een goed zicht hebben op de kosten, want deze oplossingen komen in diverse flexibele prijsmodellen. Hou ook rekening met de reputatie van de leverancier, de ondersteuning die ze voor haar oplossing biedt, of er integraties met andere toepassingen mogelijk zijn, of de oplossing regelmatig updates krijgt en of er een roadmap is.”

“Anderzijds moet je altijd beseffen: SD-WAN is een laag boven het netwerk. Kies bij voorkeur voor een provider die beide lagen aanbiedt. Dan heb je maar één contactpunt waarbij je terechtkan als er problemen zijn. Anders loop je het risico dat je netwerkprovider en SD-WAN-provider bij een probleem naar elkaar verwijzen. Ga ook na of je provider expertise heeft in zowel netwerken als beveiliging.”

 

Zijn deze oplossingen alleen beschikbaar voor grote bedrijven? Of kunnen kmo's ook van de voordelen genieten?

Ja, ook voor kmo's zijn ze zeker geschikt. Je hebt geen tientallen vestigingen nodig om van de voordelen te genieten. Zelfs met twee vestigingen is het al nuttig en SASE werkt ook voor een klein aantal gebruikers. Voor bedrijven die hybride werken zijn deze technologieën ideaal. En voor een kmo met een klein IT-team is die gecentraliseerde aanpak heel geschikt.
 

 

Geïnteresseerd hoe u deze moderne netwerk- en beveiligingstechnologieën in uw organisatie kan inzetten? Neem contact op met onze ICT-experts via business@ictexperts.orange.com.

Hallo, bent u geïnteresseerd
in ons aanbod?
Welkom bij
Orange.

Bedankt voor uw interesse, zullen we een afspraak inboeken?

Contacteer ons

Ik heb een vraag of klacht