Not all SASE is created equal

Security Service Edge en SASE zijn inmiddels vaste begrippen geworden in gesprekken over moderne IT-security. De belofte is aantrekkelijk: één architectuur die gebruikers, applicaties en data beveiligt, ongeacht waar zij zich bevinden. In veel discussies wordt SASE echter behandeld als één eenduidige oplossing. In werkelijkheid is dat niet het geval.

Wat vaak onderbelicht blijft, is dat hedendaagse SASE-platformen zijn gebouwd op fundamenteel verschillende architecturale aannames. Die aannames doen ertoe. Ze bepalen welke problemen een platform op elegante wijze oplost — en welke vraagstukken het nooit echt heeft willen adresseren.

In plaats van de vraag welke SASE-oplossing is de beste, is een relevantere vraag: het beste waarvoor?

Firewall-DNA versus cloud-first ontwerp

Grofweg zijn er twee architecturale lijnen zichtbaar in het huidige SASE-landschap.

De eerste vindt zijn oorsprong in de traditionele netwerkbeveiliging. Leveranciers als Fortinet en Palo Alto Networks hebben SASE ontwikkeld als een evolutie van hun sterke positie in firewalls, segmentatie en traffic inspection. Hun platformen breiden bekende security-controls uit naar de cloud, terwijl zij een consistent beleids- en inspectiemodel behouden over fysieke locaties, datacenters en externe gebruikers.

Deze benadering, die we kunnen typeren als “firewall als DNA”, is geen beperking, maar in veel omgevingen juist een bewuste keuze. Zij weerspiegelt de realiteit dat netwerken, locaties en lokaal verkeer nog steeds relevant zijn. Beide leveranciers hebben in de afgelopen jaren volwassen Zero Trust-functionaliteit en cloud-gebaseerde securitydiensten toegevoegd, maar altijd vanuit het uitgangspunt dat netwerkcontrole een volwaardig onderdeel van de architectuur blijft.

Een tweede groep leveranciers, waaronder Zscaler en Netskope, is vanuit een ander vertrekpunt begonnen. Hun platformen zijn ontworpen als wereldwijde cloud security services, zonder afhankelijkheid van fysieke of virtuele firewalls. In plaats van netwerkcontrole naar de cloud te verlengen, abstraheren zij het netwerk en leggen zij de focus op gebruikers, identiteiten, applicaties en data.

In deze benadering is Zero Trust geen toevoeging, maar het fundament. Toegangsbeslissingen worden genomen per sessie en per applicatie, met minimale aandacht voor netwerk-topologie.

Waar firewall-centrische SASE logisch aansluit

Voor organisaties met een sterke fysieke aanwezigheid sluiten firewall-centrische SASE-architecturen vaak beter aan bij de operationele werkelijkheid.

Sectoren als hospitality, retail, zorg en onderwijs opereren met grote aantallen locaties, lokale gebruikers, apparaten en diensten. In deze omgevingen stroomt verkeer niet uitsluitend naar SaaS-platformen. Er is vaak sprake van aanzienlijk east-west verkeer, lokale internet-breakouts, legacy-systemen en een behoefte aan nauwe integratie tussen bekabelde netwerken, draadloze infrastructuur en security.

In zulke contexten bieden platformen van Fortinet en Palo Alto Networks een coherent model. Firewalls aan de rand, gecombineerd met SD-WAN, LAN/WLAN-integratie en cloud-gebaseerde securitydiensten, maken het mogelijk om Zero Trust-principes door te voeren zonder bestaande netwerkarchitecturen los te laten. Security-teams hoeven daarbij niet te kiezen tussen het beveiligen van locaties of het beveiligen van gebruikers — beide maken integraal deel uit van het ontwerp.

Kortom, wanneer fysieke locaties ertoe doen, is het meenemen van de firewall in SASE geen concessie, maar een vereiste.

Waar SSE-first platformen uitblinken

Zscaler en Netskope komen juist beter tot hun recht in een ander type organisatie.

Hun architecturen sluiten sterk aan bij cloud-first en SaaS-first omgevingen, met een sterk gedistribueerde workforce en beperkte on-premise infrastructuur. Technologiebedrijven, zakelijke dienstverleners en internationaal opererende organisaties met veel remote medewerkers vallen vaak in deze categorie.

In zulke omgevingen is netwerk-topologie minder bepalend dan identiteit, device posture en data-toegang. Gebruikers verbinden zich rechtstreeks met cloudapplicaties, vaak vanaf locaties of apparaten die buiten de traditionele netwerkperimeter vallen. Klassieke site-gebaseerde beveiligingsmaatregelen voegen daar weinig toe. SSE-first platformen vereenvoudigen deze realiteit door security-handhaving in de cloud te plaatsen en consistent beleid toe te passen, ongeacht waar de gebruiker zich bevindt.

Daarnaast onderscheiden deze platformen zich op het gebied van databeveiliging. Diep inzicht in SaaS-gebruik, een combinatie van inline- en API-based controles en een sterke focus op dataclassificatie en -bescherming maken ze bijzonder geschikt voor organisaties waar data governance en compliance centraal staan.

Voor organisaties waar gebruikers en data belangrijker zijn dan locaties, kan het abstraheren van de firewall juist leiden tot minder complexiteit.

Een spectrum, geen zwart-wit keuze

In de praktijk past vrijwel geen enkele organisatie volledig in één van beide categorieën. Veel organisaties combineren campussen en vestigingen met een sterk mobiele workforce. Als gevolg daarvan ontstaan steeds vaker hybride SASE-architecturen, waarin firewall-centrische oplossingen worden ingezet voor locaties en datacenters, terwijl SSE-first platformen worden gebruikt voor remote access en SaaS-beveiliging.

Dit onderstreept een belangrijk inzicht: SASE is geen productcategorie met uitwisselbare onderdelen, maar een architecturaal kader dat expliciete keuzes vereist. Het begrijpen van de ontwerpprincipes achter een platform is daarom belangrijker dan het vergelijken van feature-lists.

Conclusie

Niet alle SASE is gelijk — niet omdat sommige oplossingen beter zijn dan andere, maar omdat zij zijn ontworpen voor verschillende realiteiten. Firewall-centrische SASE-architecturen brengen netwerkcontrole, consistentie en integratie naar omgevingen waar fysieke locaties een centrale rol spelen. SSE-first platformen excelleren juist daar waar identiteit, cloud-toegang en databeveiliging de primaire uitdagingen vormen.

De keuze tussen deze benaderingen gaat minder over technologische volwassenheid en meer over organisatorische context. Wanneer architectuur aansluit bij de werkelijkheid van de organisatie, kan SASE complexiteit verminderen. Wanneer dat niet het geval is, wordt complexiteit slechts verplaatst.