Traditioneel maken uw thuiswerkers, mobiele medewerkers of een andere externe partij verbinding via een VPN-tunnel naar een firewall of VPN-concentrator in uw datacenter. Een externe partij is dus veelal een telewerker maar kan bijvoorbeeld ook een toeleverancier, distributeur of een andere klant zijn. Het VPN dataverkeer wordt uitgewisseld via het internet. Dit werkt uitstekend voor toegang tot interne applicaties die in uw datacenter worden gehost. Tegenwoordig wordt echter een groot en groeiend deel van de bedrijfsapplicaties gehost in de cloud. Het bijbehorende dataverkeer wordt het best gerouteerd via het internet, aangezien dit doorgaans de kortste weg is naar de cloud. In deze situatie is de traditionele VPN-architectuur niet optimaal. Dit probleem treed op vanwege de ‘hairpinning’ of ‘backhaul’ van het cloud dataverkeer. Omdat de cloud applicatie niet in uw datacenter draait, maakt het verkeer een onnodige omweg. Uiteraard heeft dit een negatief effect op de digitale prestaties. Stap voor stap is het probleem als volgt:
Het VPN verkeer van externe gebruikers komt binnen via een internetlijn in uw datacenter. De VPN-oplossing routeert dit verkeer via de bedrijfsfirewall in het datacenter. Inspectie toont aan dat dit verkeer bestemd is voor de cloud. Vervolgens wordt het verkeer teruggeleid naar de cloud, en dit loopt via dezelfde internettoegang lijn waarop het verkeer binnenkwam.
Men ziet hier een aantal nadelige effecten: Allereerst wordt bij alle cloud verkeer van thuiswerkers de internetlijn twee keer belast voor hetzelfde verkeer, in en uit. Ten tweede wordt de centrale firewall een “choke-point” wanneer de hardware of software overbelast is.
Vanwege de groei van telewerkers en cloud verkeer, maar ook omdat (SSL-) inspectie van dit verkeer steeds lastiger wordt, zien wij vaak dat de centrale firewall inderdaad overbelast is. Voor telewerkers van internationale bedrijven kan de impact op de applicatie prestaties nog ernstiger zijn. Hun verkeer moet vaak een “internationale reis” maken om het dichtstbijzijnde bedrijfs datacenter te bereiken. Tenzij hun bedrijf datacenters heeft in de buurt van het thuisland van de eindgebruiker, kan de ‘dubbele omweg’ de responsiviteit van applicaties ernstig verslechteren.
Wij stellen een andere manier voor: verbinding maken via de wereldwijde SASE-cloud. Internetverkeer wordt niet langer gedwongen om via uw datacenters te passeren. Hierdoor kan een upgrade van uw fysieke bedrijfsinfrastructuur voor internet en beveiliging worden vermeden. Al het verkeer van de thuiswerker verloopt via de beveiligde SASE Cloud met volledige zichtbaarheid en controle, zonder omweg, en zonder extra apparaten. Dankzij de SASE-architectuur worden mobiele apparaten van nature ondersteund als randapparatuur. Ineens wordt thuiswerken net zo snel en veilig als op kantoor. Dat is de kracht van eenvoud. Tegelijkertijd wordt al het verkeer van gebruikers op afstand volledig geïnspecteerd door de SASE-beveiligingsstack, waardoor gebruikers overal op enterprise-niveau worden beschermd. Compromissen sluiten op het gebied van beveiliging of het forceren van een pijnlijke omweg via een datacenter firewall is niet langer nodig.
Zelfs zonder een geïnstalleerde VPN Client kunnen eindgebruikers verbinding maken met het dichtstbijzijnde SASE-knooppunt: ‘clientless browser access’, ook wel SDP genoemd: De Software Defined Perimeter is een nieuwe aanpak voor het beveiligen van de toegang tot interne applicaties. Het vertrouwt op software, niet op VPN-hardware-apparaten, om zero-trust toegang te leveren voor gebruikers buiten kantoor.
Hoe kan ik VPN combineren met SD-WAN?
Ben jij ook een CIO of IT-manager met netwerk- en beveiligingsuitdagingen?Download de whitepaper voor meer informatie!