Blogs

SD-WAN: optimale connectiviteit én hoogwaardige security

Het toenemende gebruik van bandbreedte verslindende SaaS-applicaties zorgt ervoor dat netwerkbeheerders kritisch gaan kijken naar hun wide area networking (WAN)-strategie. Het is weinig aanlokkelijk om de groeiende en variabele vraag naar bandbreedte op te vangen met kostbare en starre WAN-verbindingen. Een software defined wide area network (SD-WAN) lijkt een mooi alternatief te zijn. Een SD-WAN is niet alleen een aantrekkelijke oplossing omdat die een (kosten)efficiëntere toewijzing van bandbreedte mogelijk maakt, maar ook omdat die de prestaties, flexibiliteit en veerkracht van het WAN vergroot.

marc jepkes

Door Marc Jepkes, sales manager Fortinet Nederland

Maar iets wat beheerders vaak over het hoofd zien tijdens de evaluatie van SD-WAN-oplossingen zijn mogelijkheden om de beveiligingsrisico’s effectief aan te pakken. Leveranciers integreren steeds vaker beveiligingsfuncties in hun SD-WAN-oplossingen. Helaas gaat het vaak om basale Layer 3-netwerkmechanismen in plaats van de robuuste beveiligingsmogelijkheden waar deze omgevingen om vragen. Met het oog op huidige cyberbedreigingen is het de vraag of het verstandig is om de beveiliging die in een SD-WAN-appliance is ingebouwd, ondergeschikt te maken aan de doelstelling om netwerkpakketten zo naadloos mogelijk te transporteren. Want dat is precies het probleem met de meeste moderne ‘SD-WAN plus beveiliging’-oplossingen.

Waarom een ‘verdeel en heers’-tactiek niet werkt
Ingebouwde beveiliging lijkt toekomstmuziek voor organisaties waar de beveiliging en het netwerkbeheer door verschillende afdelingen worden verzorgd. Het netwerkteam maakt gebruik van een SD-WAN-oplossing, terwijl het beveiligingsteam verantwoordelijk is voor de implementatie van een next generation firewall (NGFW) als verdedigingsmuur voor de SD-WAN-appliance. Maar als er bij de implementatie van een SD-WAN twee teams zijn betrokken die twee verschillende producten beheren via meerdere beheerconsoles, kunnen de totale eigendomskosten een stuk hoger uitvallen dan gehoopt.

Het gebrek aan integratie tussen SD-WAN- en NGFW-oplossingen vergroot bovendien de kans op een kloof tussen de twee technologieën. Hiervan maken cybercriminelen maar wat graag gebruik. En wat voor sommige organisaties misschien nog belangrijker is: er zal vrijwel gegarandeerd sprake zijn van bottlenecks in de netwerkprestaties. Het met SSL versleutelde zakelijke dataverkeer groeit met rasse schreden. Het vertegenwoordigt al meer dan de helft van het netwerkverkeer en moet grondig worden geïnspecteerd op verborgen malware. Dit CPU-intensieve proces draagt bij aan aanzienlijke overhead voor veel traditionele NGFW’s.

Wil de werkelijk geïntegreerde SD-WAN/NGFW-oplossing nu opstaan?
Als reactie op dit probleem is een aantal leveranciers begonnen met het aanbieden van SD-WAN-appliances waarin geavanceerde firewall-functies zijn ingebouwd. Dat klinkt veelbelovend, totdat je merkt dat ze niet werkelijk zijn geïntegreerd. Je moet nog altijd het beveiligingsdomein en netwerkdomein scheiden. En dat gaat ten koste van het overzicht en de grip van de IT-afdeling.

Wat blijft er dan nog over? Zoals zo vaak het geval is, zorgt verandering van perspectief ook voor het antwoord. In plaats van te zoeken naar een SD-WAN-oplossing met beveiligingsfuncties, doet u er beter aan om een veilige omgeving voor de implementatie van een SD-WAN te ontwikkelen. En een van de beste manieren om dat te doen is om gebruik te maken van een next generation firewall met SD-WAN-ondersteuning.

Voor bedrijven die aan hoge beveiligingseisen moeten voldoen, is een NGFW van cruciaal belang voor het bieden van bescherming van Layer 3 tot en met Layer 7. Maar hoe zit het dan met de SD-WAN-functionaliteit? Oftewel: waaraan moeten GFW’s met SD-WAN-functies aan voldoen:

  • Bewustzijn van applicaties en netwerktrajecten. Als appliance met SD-WAN-ondersteuning moet de NGFW voorzien in intelligente functionaliteit die zich bewust is van netwerktrajecten en automatisch pakketten voor elke applicatie routeert op basis van de overeenkomstige SLA. Deze pakketten moeten op prioriteit worden ingedeeld op zakelijk belang, het tijdstip van de dag enzovoort. De NGFW moet ook applicatiebewust zijn, zodat netwerkbeheerders in staat zijn wijzigingen in de patronen van het binnen het WAN te signaleren en hun beleidsregels overeenkomstig aan te passen.
  • Geïntegreerde beveiliging en compliance. Deze veilige omgeving moet niet alleen voorzien in beveiligingsfuncties zoals IPSec VPN- en SSL-inspectie met hoge doorvoersnelheden, maar ook compliance-bewaking en -rapportage. Als applicaties pakketten verzenden via verschillende WAN-trajecten, wilt u natuurlijk niet uren kwijt zijn aan het nalopen van het traject dat verdachte pakketten hebben afgelegd en telkens van applicatie wisselen.
  • Automatisering. NGFW’s moeten blijk geven van een geavanceerd hardware-ontwerp. Dit is van cruciaal belang om te waarborgen dat de firewall-functies niet ten koste gaan van de routering binnen het WAN. Als dat wel het geval is, bestaat de namelijk de kans dat de prestatievoordelen van een SD-WAN teniet worden gedaan door latency die door de beveiliging wordt veroorzaakt.
  • Uitgebreide connectiviteitsopties. In plaats van louter gebruik te maken van grillige 4G-/3G-netwerken als enige fail-overoptie voor multiprotocol label switching (MPLS)-verbindingen, moet de firewall ook in staat zijn om gebruik te maken van het publieke internet om een optimale beschikbaarheid van het WAN te waarborgen.
  • Functies die de totale eigendomskosten terugdringen. Vanzelfsprekend moet de oplossing geconsolideerd beheer bieden. Het heeft immers weinig zin om een geïntegreerde oplossing in te zetten die met meerdere consoles moet worden beheerd. Een NGFW met SD-WAN-ondersteuning die zonder menselijke tussenkomst in gebruik kan worden genomen, zal bovendien een groot deel van de last verlichten die gepaard gaat met de implementatie van een SD-WLAN.

Wie gaat de oplossing beheren: het netwerk- of beveiligingsteam?
Die keuze is aan u. Een volledig geïntegreerde en veilige SD-WAN-oplossing zou zowel ingebouwde netwerkmogelijkheden als ingebouwde beveiligingsfuncties moeten bieden in combinatie met vereenvoudigd beheer via een centrale console. Dat voorkomt dat de verschillende teams met de beschuldigende vinger naar elkaar gaan wijzen en maakt een flexibelere inzet van fulltime medewerkers mogelijk.

Een veilig SD-WAN kan u helpen om de totale eigendomskosten terug te dringen. En als u weet waar u op moet letten, is het niet moeilijk om tot een oplossing te komen die aansluit op de behoeften van zowel het netwerk- als beveiligingsteam. Download het rapport “Research from Gartner: Four Architectures to Secure SD-WAN” voor meer informatie over deze baanbrekende benadering.

Vorig jaar vond de introductie plaats van de Fortinet Secure SD-WAN Solutions-reeks. Organisaties in alle delen van de wereld kunnen hiermee op veilige wijze de voordelen realiseren van een technologie die belooft om de regels van het spel te veranderen.

Naar boven