De toekomst van het netwerk – in 7 vragen
De traditionele wereld van MPLS en netwerken met VPN-verbindingen via het datacenter verandert in rap tempo. Applicaties bevinden zich in de cloud en medewerkers zitten thuis. Dat heeft consequenties voor de inrichting van het netwerk en voor de cybersecurity. Wat verandert er en hoe leid je de veranderingen in goede banen? In dit artikel biedt Marc Sanders, solution specialist Networking bij VodafoneZiggo een overzicht aan de hand van zeven vragen.
De wereld van MPLS en netwerken met VPN-verbindingen via het datacenter verandert rap. Applicaties bevinden zich in de cloud en medewerkers zitten thuis. Dat heeft consequenties voor de inrichting van het netwerk en voor de cybersecurity. Ontdek wat er verandert en hoe je dit in goede banen leidt.
1. Wat betekenen ontwikkelingen als cloud, IoT en het hybride werken voor je netwerk?
Tegenwoordig zitten medewerkers vaak thuis te werken en bevinden applicaties zich in de cloud. Dat vraagt een andere inrichting van het netwerk. Met een traditioneel netwerk ben je aangewezen op VPN-verbindingen, die via het datacenter lopen. Dat was lange tijd prima, maar nu steeds meer SaaS-diensten worden afgenomen, is de bekende route, via het datacenter naar de cloud, bepaald niet optimaal. Zo’n routering leidt bovendien tot overbelasting van de firewall, die al het versleutelde netwerkverkeer moet inspecteren.
Internet is het transportmedium geworden, waarbij je zoekt naar de beste route. Lokale breakouts – internetverbindingen met firewalls op MPLS-locaties – boden daarbij een tijd lang uitkomst, maar vragen veel inspanning om op locatie te beheren. SD-WAN is tegenwoordig de juiste connectiviteitsoplossing.
De ‘nieuwe wereld’ brengt ook veranderingen op het gebied van cybersecurity met zich mee. Vroeger was alles binnen je firewall veilig en was de buitenwereld onveilig. Nu de grenzen van het traditionele netwerk als het ware verdampen, kijk je als CISO meer naar de veiligheid van een sessie, dan naar de security van het netwerk. Identiteit wordt daarbij een belangrijk criterium.
2. Wat zijn de voordelen van SD-WAN?
Je kunt vrij snel wijzigingen aanbrengen. In traditionele omgevingen moet je dat per router doen. Bij SD-WAN kun je via een zogenaamde cloud controller in één keer een nieuwe policy voor het hele netwerk introduceren. Een mooi voorbeeld is een aanpassing van een QoS-regel voor een nieuwe applicatie. Vaak wordt zo’n aanpassing uitgesteld – het is een hoop gedoe – totdat de servicedesk te veel klachten over de applicatieperformance binnenkrijgt. Bij SD-WAN kun je niet alleen zo’n regel makkelijk aanpassen, maar ook goed zien hoe een applicatie zich gedraagt en daarop reageren. Een ander voordeel betreft de beschikbaarheid. SD-WAN maakt het mogelijk om twee internetverbindingen van twee verschillende providers tegelijkertijd te gebruiken. Dat is een flink voordeel, omdat geen enkele provider in staat is 100 procent beschikbaarheid te garanderen. Gebruik je WAN-interfaces van verschillende providers, kun je bij uitval van verbinding A van provider A terugvallen op verbinding B van provider B.
3. Hoe makkelijk of moeilijk is het investeringen in SD-WAN te rechtvaardigen? Het netwerk wordt immers vaak slechts als kostenpost gezien.
Je zult meestal geen kostenvoordeel halen uit een reductie van de directe kosten. Wel is het vaak mogelijk om van twee verbindingen naar één verbinding te gaan. Veel bedrijven hebben nu een IP-VPN en een internetverbinding op locatie. Deze kunnen met behulp van SD-WAN worden samengevoegd. Ook zal de productiviteit van je medewerkers omhooggaan. Je kunt immers de performance van applicaties veel directer besturen. Een tijdsbesparing van zeg 10 minuten per medewerker per dag levert uiteindelijk een serieus financieel voordeel op.
"Een tijdsbesparing van zeg 10 minuten per medewerker per dag levert uiteindelijk een serieus financieel voordeel op."
4. Wat is de impact op de veiligheid van het netwerk, hoe kijkt Vodafone Business naar SASE?
Cisco definieert SASE als volgt: ‘Secure Access Service Edge (SASE) is een netwerkarchitectuur die de mogelijkheden van VPN en SDWAN combineert met cloud-native security functies.’ Vodafone Business werkt op dit gebied samen met Motiv. Motiv kan het netwerk monitoren vanuit zijn SOC en neemt actie bij incidenten. Een besmetting van een werkstation of zelfs een printer wordt meteen gedetecteerd. Hierdoor kan er direct actie worden ondernomen om deze van het netwerk te verwijderen, zodat een verdere verspreiding wordt voorkomen.
De cybersecurity is tegenwoordig echt goed op orde – je breekt niet zomaar ergens meer in. Hackers proberen daarom gebruikers te verleiden ergens op te klikken. Zo beginnen ransomware-aanvallen in de regel. Met de Veilig Internet oplossing waarbij gebruik gemaakt wordt van de Umbrella-oplossing van Cisco breng je een extra beveiligingslaag aan. Veel bedrijven hebben wel een endpoint-beveiligingsoplossing, maar is een endpoint geïnfecteerd, heb je de infectie toch al binnen. Een cloudgebaseerde security oplossing is schaalbaar en heeft de rekenkracht om geavanceerde threats te identificeren. Gaan medewerkers thuis werken, reizen de policy’s met ze mee – die worden immers afgedwongen via de cloud.
In de toekomst zul je minder VPN-netwerken zien. Het gaat gewoon om connectiviteit, met behulp van software-defined networking en daaroverheen leg je de beveiliging. Netwerkbeveiliging wordt in de toekomst minder belangrijk, omdat steeds meer toepassingen via de cloud aangeboden worden.
5. Vraagt implementatie van SD-WAN om een investeringsdiscussie met de directie, of kan SD-WAN als dienst worden afgenomen?
Er zijn verschillende leveringsmodellen, maar Vodafone Business levert SD-WAN as-a-service. Het doel is de drempel niet te hoog te maken. Anderzijds hebben sommige bedrijven het kapitaal wel. Ze investeren dan liever zelf dan het geld renteloos op de bank te laten staan. In principe levert Vodafone Business een totaaloplossing, als een dienst. Daarbij wordt rekening gehouden met de eventueel nog lopende contracten voor connectiviteit, die we altijd proberen in te passen.
6. Waarmee moet je rekening houden als je naar SD-WAN migreert? Welke stappen zet je?
Je begint met kijken naar de opbouw van de ‘onderlaag’. Is er connectiviteit op alle locaties, enkelvoudig of redundant? Kopertechnologie, glasvezel, mobiel of coax? Afhankelijk van het type locatie en de gewenste beschikbaarheid ga je kijken wat nodig is. Een grote locatie heeft in principe twee vaste verbindingen, een middelgrote vestiging vaak een combinatie van een vaste en een mobiele verbinding. Daarna ga je over deze laag het logische netwerk definiëren. Waar draaien de applicaties, in een datacenter, bij een cloud provider of een externe datacenter provider? In de public cloud werk je met een virtuele controller, zoals van Cisco, Fortinet of een andere partij. Op een kantoorlocatie met een dubbele vaste verbinding kies je een wat groter gedimensioneerde controller dan op een middelgroot kantoor.
Vervolgens ga je het netwerk segmenteren, aan de hand van de gebruikersgroepen. Heb ik een kantoornetwerk, is er OT (operationele technologie), zijn er gastgebruikers – enzovoorts. Je kunt dit met software-defined networking volledig voorbereiden en dan de configuratie over het netwerk uitrollen. Open je een nieuwe locatie, vergelijkbaar met een locatie die je al hebt gedefinieerd, kun je die met een script volledig configureren.
"Een hybride situatie is prima voor de korte termijn."
7. We gaan nog een tijd hybride omgevingen zien, traditionele naast moderne netwerken. Wat houd je nog even in stand en wat vernieuw je?
Een hybride situatie is prima, voor de korte termijn. Sommige zaken, zoals verbindingen voor snelle replicatie, houd je in de regel buiten je SD-WAN. Je hebt dan wel blinde vlekken in je netwerk, waar je niet de zichtbaarheid hebt die SD-WAN biedt.
Maar het is een groot vraagstuk. Ga je in één keer over? Regelmatig zie je het scenario dat men een aantal buitenlandse vestigingen op het eigen MPLS IP-VPN netwerk wil aansluiten. Dat zou prima via SD-WAN kunnen, zonder dat je de complete omgeving hierop moet aanpassen.
Op sommige vlakken heeft MPLS nog een voordeel ten opzichte van internet, want het is niet vatbaar voor DDOS-aanvallen en er kan quality of service op netwerkniveau geboden worden. Bovendien is de route van het verkeer gegarandeerd en kan niet worden omgeleid. Dat kan belangrijk blijken, want er gaan geruchten dat in sommige gevallen versleuteld internetverkeer wordt omgeleid en opgeslagen, om de gegevens te zijner tijd met behulp van kwantumtechnologie te kunnen ontsleutelen.
Geschreven door Marc Sanders, solution specialist Networking bij VodafoneZiggo.Dit artikel is eerder gepubliceerd op itexecutive.nl
Deel dit artikel