Skip to content

En gjennomgang av SD-WAN

Lily Lyu 12 juli, 2024

Etter å ha jobbet med SD-WAN i flere år, og som en person som fortsatt nysgjerrig på hva som kommer videre i dette segmentet, synes jeg det er på tide – og sannsynligvis interessant – å dele noen tanker for bredere diskusjoner om temaet.

Uavhengig om du er en MSP, integrator eller enterprise, hvis du vurderer å bygge et SD-WAN-nettverk, kan denne artikkelen gi deg nyttig innsikt og fakta om SD-WAN.

Hva vi ble lovet

Tilbake i 2016/2017, ble SD-WAN sett på som et use case av det fancy konseptet - SDN Software-Defined Network. På den tiden var det innovativt å introdusere sentralisert kontroll og automatisering.

Da SD-WAN ble introdusert til markedet, ble det lovet følgende fordeler ved å ta i bruk SD-WAN:

  • Sentralisert kontroll, administrasjon og auto-provisioning - software-defined!
  • Ulike hardware-alternativer inkl. uCPE og hyllevare - Dette gir kostnadsbesparelser!
  • Dekoblet underlay og overlay med hvilken som helst bredbånd (internett, MPLS, mobil, osv.) - enda mer kostnadsbesparelser!
  • Kryptert overlay VPN
  • Forbedret ytelse - applikasjonsbasert trafikkstyring over flere underlays
  • Direkte internett-tilgang til SaaS/Cloud
  • Enklere integrasjon med skyen
  • Native zero-touch provisioning (ZTP) løsning

"I 2016/2017 ble SD-WAN sett på som et use case av det fancy konseptet - SDN Software-Defined Network" - Lily Lyu

Forretningsdrevne og applikasjonsbaserte policyer var i fokus og ble fremhevet av så og si samtlige leverandører. Sammenlignet med tradisjonell QoS som brukte spesielle bits i Layer-2-rammer eller Layer-3-pakker, gjorde SD-WAN det mulig med lag-7-applikasjonsbevissthet. QoS kunne nå anvendes på applikasjons- eller applikasjonsgruppenivå, noe som sikret at driftskritiske applikasjoner alltid hadde de nødvendige ressursene for sin drift.

Sikkerhet og WAN-optimalisering var også populære funksjoner i de fleste faglige diskusjonene jeg hadde om temaet. Ulike CPE-alternativer ble foreslått, og uCPE var diskutert den gang for å onboarde ulike VNFs (Virtualized Network Function) i SD-WAN-strukturen og tjenestekjeden.

I motsetning til i dag, hvor mange aktører allerede bruker SD-WAN og prøver å legge til flere elementer i spillet, var fokuset den gang å dele reelle implementeringstilfeller og erfaringer, og bevise for markedet at SD-WAN var virkelig og ikke bare i markedsføringspresentasjoner.

Sikkerhet var ikke i sentrum den gang, og SASE-begrepet ble først oppfunnet av Gartner i 2019.

 

Hva du bør vurdere når du velger SD-WAN

Ingen "one size fits all"

De lovede fordelene har vist seg å være gyldige de siste årene. Så hvis du er på utkikk etter noen av de ovennevnte fordelene og en alternativ måte å bygge nettverket ditt på, er SD-WAN et smart alternativ.

Det er imidlertid også viktig å forstå at det finnes tilfeller der MPLS/IPVPN fortsatt kan være nødvendig.

For eksempel, for organisasjoner som trenger ende-til-ende Quality of Service (QoS) for sensitive applikasjoner, kan SD-WAN være uegnet hvis underlaget er internett-basert (best effort). MPLS-underlag vil være nødvendig i dette tilfellet. Kostnadsbesparelsen ved å bruke internett gjelder kanskje ikke i dette tilfellet. Imidlertid kan SD-WAN fortsatt vurderes som overlay-løsning på toppen av MPLS, og samtidig gi deg all den fleksibiliteten SD-WAN kommer med.

I praksis er SD-WAN egnet for:

  • Steder som trenger flere underlays og intelligente sti-valg, for eksempel en eller to faste forbindelser pluss mobil backup

  • Steder som trenger rask levering

  • Steder som ikke er permanente

  • Steder som krysser kontinenter der MPLS ikke er kostnadseffektivt og WAN-optimalisering er avgjørende

  • Organisasjoner som ønsker en automatisert tjenesteleveringsstack og API-integrasjon

Lily article 2

Hva er det du "egentlig" trenger

Hvilket segment bedriften din tilhører, er også viktig for valg av SD-WAN-løsning:

  • MSP
  • Integratører
  • Bedrifter

Det er faktorer som kan være avgjørende for MSP-er og integratører når de evaluerer SD-WAN-strukturen, for eksempel:

  • Lisensieringsmodell - Pay-As-You-Grow eller forhåndsbestilte lisenser

  • CPE-alternativer og leveringstid - leverandørprodusert CPE eller tredjeparts CPE-er

  • Virtualiseringsalternativer for SD-WAN-strukturen - både CPE og kontroll- og administrasjonsnivået

  • Kompleksiteten ved å sette opp kontroll- og administrasjonsnivåene

  • Multi-tenancy for kontroll- og administrasjonsnivået

  • Høy tilgjengelighet/Katastrofegjenoppretting for kontroll- og administrasjonsnivå - hvor lenge kan du kjøre nettverket hvis noe skjer med kontroll- og administrasjonsnivået

  • Skalerbarhet for kontroll- og administrasjonsnivået - hvor mange leietakere og enheter kan teknisk støttes på plattformen, og hva er det anbefalte antallet i virkeligheten for å sikre en stabil drift.

  • Maskinvareytelse og administrasjonskostnad - SD-WAN VPN-er er vanligvis etablert på toppen av krypterte tunneler, noe som betyr at en viss båndbredde av underlaget vil brukes til overhead.

  • Naturlig integrasjon for tilgang til offentlige skyer og hvilke alternativer som finnes

  • Maler og variabler for å forenkle storskala implementering

  • Rollebasert tilgangskontroll

  • API-integrasjon til OSS/BSS-systemer

For små og mellomstore bedrifter kan noen av de ovennevnte faktorene være mindre relevante, for eksempel multi-tenancy eller skalerbarhet.

Noen klassiske nettverksfunksjoner kan være nødvendig å vurdere for å støtte ulike bruksområder:

  • Høy tilgjengelighet
  • Dynamiske rutingprotokoller
  • Multi-VPN
  • Fleksibel topologi per VPN
  • IPv6-støtte
  • Lag-2
  • Trådløst LAN

Det finnes også skybaserte SD-WAN-alternativer som kan være gunstig hvis du har et begrenset antall lokasjoner og mindre avanserte krav. I dette tilfellet er det ikke nødvendig å etablere et lokalt kontroll- og administrasjonsplan. Du vil bare trenge SD-WAN CPE-er samt en leietaker i leverandørens sky.

 

Internett-faktoren

SD-WAN lar deg skille mellom underlay og overlay, og gir deg muligheten til å bruke internett (fast eller mobilt) som underlay og en smidig tilnærming til trafikkstyring.

"Siden internett har en innebygd ALLOW-ANY-atferd, kan det være nødvendig å vurdere hvordan du ønsker å sikre både underlayer og overlayer."

Tradisjonelt besøker private nettverk internett via en sentral utgangsport og NAT, og vanligvis plasseres en brannmur på den sentrale plasseringen. I SD-WAN er Direct Internet Access (DIA) en vanlig metode for å koble seg ut til internett, og brukerne vil få tilgang til internett fra hver distribuerte edge-lokasjon i stedet for å gå hele veien til en sentral plassering. Dette vil også redusere båndbredden og belastningen på HUB-lokasjoner når flere og flere forretningstjenester og applikasjoner er hostet i skyen.

På grunn av dette, vil hver edge-lokasjon trenge beskyttelse mot trusler fra internett. Stateful brannmur og NAT kan være utilstrekkelig. Det bør vurderes å bruke Next Generation Firewall (NGFW) på edgen.

Overlayet er vanligvis kryptert VPN, slik at brukerdata er beskyttet. Imidlertid kan selve underlagets internettforbindelse fortsatt trenge ekstra sikkerhet mot trusler fra internett, for eksempel DDoS-angrep.

 

Zero-faktoren

Hvor "zero" ZTP-prosessen er

Hver leverandør lover ZTP som den foretrukne metoden for SD-WAN-onboarding, noe som også er en stor fordel med å bruke SD-WAN. Når du evaluerer ZTP-løsningen, bør detaljer vurderes, og ZTP-mekanismen bør være en del av Proof of Concept med tanke på hvordan du vil bruke den i reell implementering.

Følgende spørsmål bør stilles når du evaluerer ZTP-prosessen:

  • Er ZTP-løsningen innebygd i leverandørens løsning og tilgjengelig globalt, eller må organisasjonen sette opp lokal infrastruktur for enhets-onboarding?
    Vanligvis er det ikke nødvendig å sette opp noen administrasjonselementer lokalt. En DHCP-basert internettforbindelse og fabrikkinnstillinger på enheten bør være nok til å onboarde en helt ny enhet til leietakerens administrasjonsplan. Hvis det er en global infrastruktur, må du vurdere registreringspunktet, forsinkelse, responstid og statusvisibilitet.


  • Hva er autentiseringsmetoden mellom enheten og administrasjonsnivået?
    Typiske metoder er via enhetens serienummer og enhetssertifikater. Vurder hvordan du vil registrere serienumrene og hvor smidig og automatisert denne prosessen kan være.


  • Når administrasjonsnivået ikke er tilgjengelig under en pågående ZTP-oppgave, hvordan vil enheten gå frem?
    Vil den prøve igjen med jevne mellomrom, eller vil den stoppe etter en viss tid, og deretter må du starte enheten på nytt for å initiere prosessen igjen? Dessuten, hvordan kan du se om en enhet på stedet blir onboardet som forventet?


  • Hvor mye båndbredde har du for underlaysforbindelsen?
    Programvareoppgradering er vanligvis en del av onboarding-prosessen hvis du velger å gjøre en automatisk oppgradering, og størrelsen på programvarepakken sammenlignet med underlagsforbindelsen bør vurderes da onboarding-tid per sted kan være en viktig faktor.


  • Hvor enkelt er det å tilbakestille enheten og reinitiere ZTP-prosessen hvis ZTP-prosessen mislykkes?

"Det er klokt å evaluere ZTP-prosessen i detalj og etablere din egen ZTP-manual som dekker bestilling, logistikk, onboarding og tjenestevalidering"

 

Hva mer?

  • Evaluer ZTP-prosessen når underlaget er MPLS i stedet for internett.

  • NAT-traversering bør være en innebygd funksjon for steder med NAT i veien.

Når ting ikke går som forventet.

Det er klokt å evaluere ZTP-prosessen i detalj og etablere din egen ZTP-manual som dekker bestilling, logistikk, onboarding og tjenestevalidering. Manualen bør inkludere tiltak for å rette opp feil når ting ikke går som planlagt.

En robust ZTP-løsning bør ha en ren og enkel ZTP-prosess med lavest mulig feilrate og brukervennlige gjenopprettingsmetoder. Det kan være kostbart hvis CPE-enheten blir til en "svart boks" uten å gi noen klar indikasjon på feil, mens ingeniøren står på stedet og lurer på hva som skjer med onboarding etter 30 minutters venting.

 

 
Auto-faktoren

I en SD-WAN-løsning etableres site-to-site VPN-er vanligvis automatisk etter onboarding, i henhold til forhåndsdefinerte maler i administrasjonsplanet. Dette kan være en stor fordel sammenlignet med manuell implementering av tradisjonelle VPN-løsninger.

- Med riktig utformede maler og grupper kan automatisering oppnås, for eksempel via skripting

Konfigurasjonsbyggesteiner

SD-WAN-konfigurasjonsstyring gir deg vanligvis alternativer som maler og grupper. Dette kan i stor grad forenkle SD-WAN-oppsettet hvis det brukes riktig:

  • Hva anser du som en enhetlig konfigurasjon?
  • Hvordan grupperer du lokasjonene som deler enhetlig konfigurasjon?
  • Hvordan legger du til lokasjonsspesifikke konfigurasjoner?
  • Hvor mye fleksibilitet har du når det gjelder lokasjonsspesifikke variabler?

Med riktig utformede maler og grupper kan automatisering oppnås, for eksempel via skripting.

 

Videre vurdering av "Auto"-faktoren

SD-WAN-løsninger bruker vanligvis site-to-site-monitorer for å overvåke underlag og applikasjonskvalitet. Dette er vanligvis lavvolum og bør ikke være en kritisk faktor for faste underlayforbindelser. Det utføres også typisk med noen forhåndsdefinerte intervaller.

Men hvis underlaget er mobilt, kan det være lurt å se nærmere på datavolumet over tid.

Hvordan site-to-site VPN-er og site-to-site-monitorer etableres over en mobil forbindelse bør evalueres, og den aktuelle SD-WAN-løsningen bør gi tilstrekkelig fleksibilitet til å finjustere databruken.

 

Boksen

I en SD-WAN-løsning er Customer Premise Equipment (CPE) skillepunktet mellom LAN og WAN/ISP-infrastrukturen. Funksjonsmessig tilbyr det vanligvis switching, ruting, mobiltilgang samt sikkerhetsfunksjoner i én boks.

Hvilken type CPE bør du velge?

Det finnes ulike alternativer på markedet, og disse alternativene er vanligvis knyttet til hvor SD-WAN-leverandørene kommer fra.

  • Klassisk tilnærming:
    Du kan velge å implementere SD-WAN ved å bruke rutere fra dine betrodde nettverksleverandører og kjøre SD-WAN på toppen. Dette er et gyldig alternativ hvis du allerede har mange års erfaring med maskinvaremodellene. SD-WAN-kapasitet og -administrasjon må evalueres i dette alternativet for å se om det dekker dine forretningsbehov.

  • SD-WAN-leverandører med fokus på programvare:
    Hvis du velger en SD-WAN-leverandør som har et naturlig fokus på SD-WAN-programvare, kan du ha muligheter til å bruke både leverandørproduserte CPE-er og tredjeparts CPE-er som kjører leverandørens SD-WAN-programvare. I motsetning til en "white box" kan en "grey box"-løsning også være et gyldig alternativ. I denne tilnærmingen kan tredjeparts CPE-er sertifiseres av SD-WAN-leverandøren og brukes på samme måte som leverandørproduserte CPE-er. Kort sagt kan du få mer fleksibilitet når det gjelder maskinvarekostnad, leveringstid og leverandørens lokale tilstedeværelse.

- Ja, ting kan gå galt. Driften av et SD-WAN-Nettverk er ikke så enkelt som man kanskje skulle tro.

Vær også oppmerksom på at maskinvarekostnaden bør vurderes sammen med lisensieringsmodellen, da forskjellige leverandører har ulike tilnærminger her.

Et annet alternativ er uCPE (Universal Customer Premises Equipment). Det er i så fall flere faktorer som da bør vurderes: 

  • Ressurser som kreves for å kjøre ulike VNFs på toppen av CPE

  • Tjenestekjedens ytelse med tillegg av VNFs

  • Lisensiering av VNFs – hvordan du kjøper disse VNFs og lisenser

  • Administrasjon av VNFs – vil det være enhetlig administrasjon eller via en tredjepartsportal

     

  • Disse faktorene vil hjelpe deg med å velge riktig type CPE basert på dine spesifikke behov og krav.

 

Ja, ting kan gå galt

Det er vanligvis ikke en krise når noe går galt, da det er en del av hverdagen som nettverksingeniør.
Likevel er ikke nødvendigvis driften av et SD-WAN-nettverk så enkel som man kanskje skulle tro. Noen løsninger gir deg automatisk IPSec VPN med grunnleggende ruting- og sikkerhetsalternativer.

Andre løsninger introduserer imidlertid en sentralisert kontrollerfunksjon i SD-WAN-strukturen og en rekke tilleggsegenskaper. Disse funksjonene er svært nyttige for tilpassede distribusjonsscenarier, men de kan også virke som "overkill" for organisasjoner som er nye i SD-WAN-verden.

 

Hvor begynner du?

Her vil jeg berøre "auto"-faktoren fra en annen vinkel.

I SD-WAN blir automatisering vanligvis benyttet, for eksempel i ZTP, Overlay VPN og SD-WAN-kontroll og -administrasjon. Applikasjonsbasert trafikkstyring følger automatisk forretningspolitikken når bane-kvaliteten oppfyller definerte kriterier.

For å utføre riktig feilsøking må du ta en dypere titt på SD-WAN-strukturen og forstå hva som er automatisert og hvordan det er automatisert. SD-WAN-arkitekturen til kandidat-løsninger og hvordan kontroll- og administrasjonsplanet interagerer med de administrerte enhetene, bør gjennomgås grundig. Dette vil gjøre deg i stand til å utføre effektiv feilsøking og integrasjon fra riktig vinkel.

 

Hvordan går du frem?

CLI er den klassiske og naturlige metoden som alle nettverksingeniører vil begynne med ved feilsøking - for å se status for grensesnittet, status for optiske moduler, nylige alarmer og rutetabellen osv. Men nå blir vi presentert for en GUI-basert tilnærming i SD-WAN, hvor man hevder at du kan bruke de GUI-baserte verktøyene i stedet.

Dette stemmer ofte, mens du i SD-WAN må bruke administrasjons-GUI i stedet for CLI for å utføre tjenestelevering, slik at du har all konfigurasjonen din i GUI. Du må også bli kjent med analyse- og feilsøkingsverktøyene som gir deg mye nyttig informasjon, for eksempel statistikk over lenke- og applikasjonskvalitet, logger og alarmer.

Likevel har jeg med tiden erfart at CLI fortsatt er en viktig metode for grundig feilsøking. Selv om GUI gir deg mye informasjon, må du noen ganger fortsatt samhandle med operativsystemet direkte via CLI for å finne årsaken til problemet. Og igjen, du trenger en dyp forståelse av SD-WAN-strukturen for å tolke utdataene fra CLI.

– I SD-WAN må du bruke administrasjons-GUI i stedet for CLI for å utføre tjenestelevering, slik at du har all konfigurasjonen din i GUI.

Som bruker, har du de riktige verktøyene?

SD-WAN er vanligvis leverandørutviklede løsninger som dekker maskinvare, programvare og et sentralisert kontroll- og administrasjonsplan. Du har API-er for å gjøre integrasjoner og muligheter til å kjøpe tredjeparts CPE-er. Men programvaren for kontroll- og administrasjonsplanet er vanligvis ikke så åpen, noe som betyr at den typisk kun fungerer mellom leverandørens sertifiserte CPE-er og kontroll- og administrasjonsplanet. På den andre siden er det ofte leverandørene som har den mest avanserte kunnskapen om hvordan løsningen fungerer på det dypeste nivået.

Derfor er det ulike aspekter som bør vurderes:

  • Enkel tilgang til dokumentasjon og kunnskapsbase om hvordan SD-WAN-strukturen fungerer

  • Innebygde feilsøkingsverktøy

  • Teknisk support og responstid

  • En klar veikart og kommunikasjonsmetode.

 

Organisasjonstransformasjon

Hva SD-WAN ikke endrer

SD-WAN gir en alternativ måte å bygge nettverket på og hvordan nettverket kan leveres. Det tilbyr innebygd automatisering når det gjelder enhetsonboarding og VPN-aktivering. Det introduserer imidlertid noen leverandørspesifikke mekanismer eller protokoller, spesielt mellom administrerte enheter og det sentraliserte kontroll- og administrasjonsplanet.

Men det endrer likevel ikke essensen av nettverksdrift:

  • Switching er fortsatt switching
  • Ruting er fortsatt ruting
  • VPN er fortsatt VPN
  • Sikkerhet er fortsatt sikkerhet

All klassisk nettverkskunnskap og ferdigheter er fortsatt svært verdifulle i SD-WAN. Du må imidlertid tilpasse deg SD-WANs måte å gjøre ting på og følge leveringslogikken.

– SD-WAN endrer ikke essensen av nettverksdrift

Hva SD-WAN krever

  • SD-WAN kunnskap

SD-WAN-arkitekturen i seg selv krever tilstrekkelig kunnskapsbygging, spesielt for nettverks- og integrasjonsteam. En overgang er nødvendig når det gjelder brukervaner, leveranse og drift.

  • Applikasjonsbaserte policyer

Som nevnt tidligere, gir SD-WAN applikasjonsbevissthet på lag 7. Policyer som QoS (Quality of Service) kan nå brukes på applikasjons- eller applikasjonsgruppe-nivå, som sikrer at kritiske applikasjoner alltid har de nødvendige ressursene for deres drift. Denne forskjellen bør vurderes i kontrast til tradisjonell QoS.

  • Sikkerhet, ikke bare nettverk

SD-WAN bringer vanligvis sammen nettverk og sikkerhet i løsningens pakke, spesielt når internett er typen underlag. Kunnskap og ferdigheter bør forberedes for dette skiftet. I ruting og switching tillates trafikk som standard med mindre det spesifikt nektes av ACL (Access Control List), hvis det finnes en gyldig rute. I brannmursverdenen blir imidlertid trafikk vanligvis nektet implicit med mindre det spesifikt tillates, selv om det er en gyldig rute. Du må se på lag 4 og bygge tjenestene dine opp til applikasjonslaget når sikkerhet introduseres.

  • Cloud

Organisasjoner i dag har vanligvis en hybrid infrastruktur. SD-WAN-løsningen gir en smidig tilnærming for å koble din lokale infrastruktur til skyen. Dette gjøres vanligvis via en VPN- eller vCPE-tilnærming, men integrasjon og validering kan fortsatt kreve et visst nivå av kunnskap og ferdigheter.

 

Hvor går grensen?

Administrasjon

Når det gjelder underlag, kan bedrifter velge hvilket som helst tilgjengelig underlag for å bygge SD-WAN. Dette reiser noen spørsmål om administrasjonsdemarkasjon:

  • Ønsker du å drifte SD-WAN-løsningen selv, eller kjøpe en administrert SD-WAN-løsning?

  • Foretrekker du en lokalt administrert SD-WAN-løsning, eller en skybasert SD-WAN-løsning?

Ulike alternativer kan stille forskjellige krav til organisasjonen. Som beskrevet tidligere bør organisasjonen evaluere sine egne forretningsbehov og forberede den nødvendige kunnskapen og ferdighetene.

Hva skal i ‘SD-WAN’-kurven?

Et annet spørsmål er grensen for SD-WAN-løsninger. Gjennom årene har det blitt observert stadig mer integrasjon og konsolidering:

  • Kun SD-WAN

  • SD-WAN og LAN

  • SD-WAN og sikkerhet

  • SD-WAN og SSE (Secure Service Edge) – Full SASE-løsning

Bransjen utvikler seg raskt i et dynamisk landskap. Det finnes ikke nødvendigvis en universell tilnærming som passer for alle. Derfor er det viktig å identifisere dine egne forretningsbehov og evaluere kandidat-løsningene etter dine egne kriterier.

 

Hva nå?

SD-WAN-markedet har vært svært interessant og dynamisk gjennom årene.

Vi har sett forskjellige SD-WAN-startups bli kjøpt opp av store telekomleverandører, og nye aktører og løsninger har blitt med på reisen. Mange nye navn har dukket opp på markedet, som nettverksfolk ikke kjente til fra før.

Vi har vært godt kjent med de store nettverksleverandørene, men i SD-WAN er spillet mer dynamisk og mangfoldig. Noen leverandører kommer fra WAN-optimalisering, noen fra IT og programvare, noen fra white box-manufacturing, og noen fra nettverks- eller sky-sikkerhet. Noen tilbyr, på en svært interessant måte, SD-WAN på toppen av open source-løsninger.

Jeg husker at jeg hvert år var nysgjerrig på hvilke nye nøkkelord som ville dukke opp på SD-WAN-arrangementer, etter hvert som SD-WAN har blitt en mer moden løsning og tatt i bruk av mange organisasjoner. Gjennom årene har vi blitt introdusert for forskjellige nøkkelord som uCPE, sky, AI/ML og 5G. I dag er SASE sannsynligvis det mest populære nøkkelordet i SD-WAN-domenet.

Og ja, det skjer NÅ.

 

SASE

Gartner introduserte dette begrepet i 2019, og diskusjoner har vært i gang siden den gang med et forsøk på å kombinere SD-WAN og SSE for å gi konsistent databeskyttelse og sikkerhetspolicyer.

Sikkerhetsleverandørene ser ut til å spille en nøkkelrolle her, ettersom vinden blåser mot sikkerhet. Du kan vurdere en enkelt-leverandør SASE som dekker både SD-WAN og SSE, men listen over leverandører kan være kort. Alternativt kan du vurdere en blandet leverandørvalg med integrasjon mellom SD-WAN og SSE. Mange leverandører har etablert partnerskap for å være bedre posisjonert i SASE-landskapet.

Denne trenden vil utvilsomt bringe ytterligere krav til organisasjoner som er interessert i denne løsningen. Du må etablere din organisasjons sikkerhetsrammeverk og forberede deg på det potensielle SASE-skiftet. Et viktig spørsmål er hvordan du definerer ‘Tillitt’, ettersom SASE-begrepet ‘zero-trust’ er det grunnleggende prinsippet, enten det gjelder interne eller eksterne brukere eller enheter. "Least privilege" vil bli gitt, og brukeraktiviteter vil bli overvåket.

SSE introduserer en annen modell for sikkerhetslevering enn tradisjonell lokal sikkerhet ved å inkludere følgende moduler:

  • ZTNA (Zero Trust Network Access)

  • CASB (Cloud Access Security Broker)

  • SWG (Secure Web Gateway)

  • FWaaS (Firewall as a Service)

  • Enterprise DLP (Data Loss Prevention)

I tillegg kan du vurdere å inkludere Endpoint Security for å fullføre ditt sikkerhetsrammeverk, ettersom det gir enhets-sikkerhetsposturer som kan være verdifulle for din SASE-løsning. Siden SASE vanligvis inkluderer en klientagent, er det en naturlig bevegelse å vurdere integrasjon.