Terwijl we worstelen met de implicaties van Coronavirus, maken IT-professionals zich op voor wat ook wel het grootste werk-van-huis-experiment in de menselijke geschiedenis wordt genoemd. We zien momenteel veel inspanningen bij bedrijven om dit mogelijk te maken. Extra investeringen in capaciteit en apparatuur worden gedaan voor alle collega’s die noodgedwongen vanuit huis werken. Maar is dit echt nodig?
Veel IT-managers hadden toch al plannen om naar SD-WAN over te gaan, en stellen daarom de logische vraag: Kan ik met SD-WAN ook mijn thuiswerkers bedienen? De ultieme wens is om in slechts één netwerk te investeren, voor zowel thuis- als kantoorpersoneel, wereldwijd. In dit artikel bekijken we deze mogelijkheid.
Security blijkt onderdeel van SD-WAN
Software-Defined Wide Area Network (SD-WAN) ging altijd over het vervangen van, nou ja, het WAN. Security werd altijd als iets anders gezien. Toch bleek gaandeweg de beveiligingscomponent relevant: Potentiële SD-WAN klanten trokken hun RFP’s terug om alsnog security erbij te voegen.
Voordat de IT manager of CIO overstapt op SD-WAN, wil hij logischerwijs precies weten hoe de beveiliging van zijn IT infrastructuur geregeld gaat worden. De leveranciers van SD-WAN technologie hebben helaas niet altijd een compleet antwoord.
Is Remote VPN Access onderdeel van SD-WAN?
Hetzelfde geldt ook voor Remote (VPN) Access: ook dit werd altijd als iets heel anders gezien. We zien hetzelfde gebeuren als voor security: Potentiële klanten trekken opnieuw hun RFP’s voor SD-WAN terug, nu om een component voor externe toegang in te voegen! Maar aangaande ‘externe VPN toegang’, hebben leveranciers vaak niet eens een verhaal, dit onderwerp wordt veelal gewoonweg genegeerd. Zelfs vóór Coronavirus was die benadering voor ons steeds minder logisch. Waarom? Werken op afstand was ooit een uitzondering, tegenwoordig is het een regel. De meesten van ons checken tegenwoordig onze e-mails vanuit de trein, terwijl we lopen en thuis. Kortom, werken is uitgebreid naar buiten het kantoor. Het is niet meer dan logisch dat deze uitbreiding dan ook geldt voor onze netwerken.
VPN-concentrators upgraden lijkt het beste
Het heroverwegen van externe toegang voor uw SD-WAN zal niet zo eenvoudig zijn als het upgraden van uw VPN-concentrators. Daarom zien we momenteel dat voor het laatste wordt gekozen, er is haast bij en doorgaan op de bestaande weg is immers ‘de kortste klap.’ Vaak blijkt dit echter toch iets meer voeten in aarde te hebben dan initieel verwacht:
Een thuiswerker is letterlijk de hele werkdag online. En het gaat niet meer om een enkele ‘heavy user’: al uw werknemers zijn plotsklaps thuiswerkers geworden. Dit heeft een grote invloed op de overboeking ratio van de VPN-concentrator: Vóór Corona had u slechts 200 gelijktijdige licenties nodig voor 2.000 werknemers. Nu hebt u capaciteit nodig voor 2000 gelijktijdige gebruikers en dat betekent een aanzienlijke investering in de grootte van uw VPN-concentrator (of firewall).
Een wereldwijd netwerk van VPN-concentrators
Naast het upgraden van bestaande VPN-concentrators, zijn er vaak ook extra apparaten nodig. Aangezien externe gebruikers verbinding moeten maken met de VPN-concentrator om toegang te krijgen tot bedrijfs- of cloudtoepassingen, is het belangrijk dat VPN-concentrators bij hen in de buurt zijn. Hoe groter de afstand tussen thuiswerker en VPN concentrator, hoe meer last van vertraging (latency) en onvoorspelbaarheid van het internet. Wanneer alle gebruikers zich in een specifieke geografische regio bevinden, kunnen organisaties wegkomen met een VPN-concentrator op een enkele locatie in die regio. Voor bijvoorbeeld puur Nederlandse bedrijven werkt dit prima. Maar zelfs aan IT organisaties van zulke nationale bedrijven adviseren wij na te denken over redundantie:
Twee VPN concentrators, elk op een afzonderlijke locatie, is feitelijk een minimale vereiste, voor bedrijven die afhankelijk zijn van externe VPN toegang als hun primaire communicatie. Voor wereldwijde bedrijven geldt dit feitelijk hetzelfde, maar dan voor elke geografische regio waarin zij actief zijn. En zo zien wij bedrijven een wereldwijd netwerk van VPN-concentrators bouwen. De kosten en beheerslast komt uiteraard bovenop die voor het bestaande WAN.
Remote VPN Access brengt aanzienlijke veiligheidsrisico’s met zich mee
Houd er rekening mee dat het uitgeven van 100 extra VPN-licenties aan uw gebruikers is als het maken van 100 kopieën van uw voordeursleutel en deze aan uw beste vrienden te geven. Je kunt die vrienden maar beter vertrouwen. Helaas zijn gebruikers te vaak niet zo betrouwbaar als die vrienden. Malafide partijen gebruiken die inloggegevens om toegang te krijgen tot uw bedrijfsnetwerk. En als uw externe VPN toegang is zoals de meeste is, betekent dit dat dergelijke partijen slechts een wachtwoord verwijderd zijn van uw essentiële applicaties. Volgens het DBIR-rapport van Verizon uit 2019 betrof maar liefst 29% van de inbreuken het gebruik van gestolen referenties.
Beheer en proces zijn essentieel
Het uitrollen van een Remote VPN Access oplossing aan uw werknemersbestand brengt verschillende managementproblemen met zich mee. Er is allereerst de vraag hoe gemakkelijk het is om uw gebruikers uitgerust te krijgen voor externe toegang. Daarnaast is er het beveiligingsbeleid en de gerelateerde configuraties, om netwerktoegang te beperken al naar gelang het functieprofiel van de medewerker. Zodra de gebruikers eenmaal aan boord zijn, heeft u vervolgens gereedschappen en mankracht nodig voor beheer- en bewaking. Internationale bedrijven moeten dit doen op wereldwijde schaal: externe toegang faciliteren voor alle gebruikers, hun verschillende toegangsprofielen implementeren en onderhouden, en vervolgens dit beheren en bewaken. Allemaal naast hun bestaande WAN. Kan dit echt niet anders?
Coronavirus: het argument voor OneWAN?
Het kan heel goed zijn dat Coronavirus het beste argument wordt voor onze OneWAN geïntegreerde architectuur. Natuurlijk kunt u de bestaande oplossing met VPN-concentrators wereldwijd upgraden en verder uitbouwen. Effectief bouwt u zo een geheel nieuw netwerk, speciaal voor de thuiswerkers, naast het bestaande WAN. Wij denken echter in IPknowledge dat u beter af zou zijn met één enkele geïntegreerd platform: OneWAN. OneWAN levert alle soorten toegang op één wereldwijd platform met ingebouwde beveiliging, of het nu gaat om remote VPN toegang, SD-WAN, of cloudconnectiviteit. De unieke geïntegreerde architectuur stelt organisaties in staat sneller en gemakkelijker te reageren, wat belangrijk is in een wereld waarin zaken snel kunnen veranderen.
In plaats van te investeren in extra apparatuur, capaciteit en systemen speciaal voor uw externe gebruikers, heeft u één enkel netwerk waarop alle personeel gehuisvest is, zowel op kantoor als thuis. Eén netwerk voor de hele organisatie – het is een radicaal concept waarvan de tijd eindelijk is aangebroken …
Wilt u ook uw thuis- en kantoorpersoneel bedienen met één enkel netwerk? Doe het nu en neem hier contact met ons op.