Wat is SASE architectuur?
SASE (Secure Access Service Edge) is een cloud-native architectuur die netwerken en beveiliging in één platform samenbrengt. In plaats van het verkeer door een centraal datacenter te routeren voor inspectie, verplaatst SASE de handhaving van het beleid naar gedistribueerde cloud nodes dicht bij de gebruikers en applicaties. Het resultaat: snellere verbindingen, consistente beveiliging ongeacht de locatie en één console in plaats van een dozijn. Gartner heeft het framework in 2019 gedefinieerd. Tegen 2026 is het de standaardarchitectuur geworden voor organisaties die veilige connectiviteit nodig hebben voor kantoren, externe medewerkers, cloudapplicaties en verbonden apparaten.
De SASE-architectuur combineert vijf kernbeveiligings- en netwerkfuncties, dwingt beleid af op gedistribueerde Points of Presence en scheidt de control plane van de data plane zodat regels één keer worden gedefinieerd maar overal worden toegepast. Voor organisaties in het middensegment van de markt met 50 tot 400 gebruikers verspreid over meerdere locaties, vervangt het de complexiteit van het beheren van afzonderlijke firewalls, VPN-concentrators, webgateways en SD-WAN-appliances door een uniforme, door de cloud beheerde service.
Deze gids legt uit hoe de architectuur vanaf de basis werkt. Je leert wat elk onderdeel doet, hoe gegevens eigenlijk door het systeem stromen, welke implementatiemodellen er zijn, waar Points of Presence in passen, hoe SASE verschilt van SSE en waar Europese organisaties rekening mee moeten houden rond gegevenssoevereiniteit en NIS2-compliance.
De kerncomponenten van de SASE-architectuur
SASE combineert netwerk- en beveiligingsfuncties die traditioneel door afzonderlijke appliances en leveranciers werden geleverd. De oorspronkelijke definitie van Gartner voor 2019 identificeerde vijf kerncomponenten. Het landschap van 2025-2026 heeft die set uitgebreid, maar deze vijf blijven de basis.
SD-WAN: de netwerklaag
Software-Defined Wide Area Networking regelt de connectiviteit tussen bijkantoren, datacenters, cloudomgevingen en externe locaties. SD-WAN abstraheert routeringsintelligentie in software, waarbij statische MPLS-configuraties worden vervangen door dynamische path-selectie over breedband, MPLS, 4G/5G of elke combinatie. Een centrale controller stuurt beleidsregels naar lichtgewicht randapparaten op elke site. Deze apparaten bouwen versleutelde overlay tunnels, meten de linkkwaliteit in realtime en routeren het verkeer op basis van de prioriteit van de toepassing en de netwerkomstandigheden. Het praktische verschil voor IT-teams: snellere implementaties op locaties, lagere transportkosten en één plek om de connectiviteit op alle locaties te beheren. Bekijk voor een diepere kijk op hoe SD-WAN werkt de volledige SD-WAN-gids voor 2026.
ZTNA: toegang op basis van identiteit
Zero Trust Network Access vervangt VPN-tunnels door granulaire toegang per applicatie. Gebruikers authenticeren zich, hun apparaatstatus wordt gecontroleerd en ze krijgen alleen toegang tot de specifieke applicaties die hun rol vereist. Een financieel teamlid heeft toegang tot het facturatiesysteem. Een arts heeft toegang tot het elektronisch patiëntendossier. Geen van beiden kan de applicaties van de ander zien en geen van beiden wordt lid van een breed netwerksegment. Dit is het belangrijkste verschil met VPN: ZTNA verleent nooit toegang op netwerkniveau, alleen toegang op applicatieniveau. Zijwaartse beweging wordt structureel onmogelijk. In het Jimber-platform is ZTNA de standaard toegangsmethode. Zero Trust is ingebouwd, niet als optionele module toegevoegd.
SWG: webbeveiliging aan de rand
De Secure Web Gateway inspecteert en filtert al het web-gebonden verkeer. Het dwingt beleidsregels voor aanvaardbaar gebruik af door URL-categorisatie, blokkeert bekende kwaadaardige domeinen en voert TLS-inspectie uit waar het beleid dat toestaat. In een SASE architectuur volgt het beleid van SWG gebruikers ongeacht hun locatie. Een werknemer die vanuit een hotelkamer in Barcelona surft, krijgt dezelfde bescherming als iemand op kantoor in Brussel. Voor organisaties die verder gaan dan eenvoudige blokkadelijsten, zijn SWG-gegevens die de beveiligingsstatus aangeven belangrijker dan blokkadepercentages.
FWaaS: firewall in de cloud
Firewall-as-a-Service verplaatst firewallcapaciteiten van on-premise appliances naar de cloud. Het biedt deep packet inspection, inbraakpreventie, applicatiecontrole en poort-/protocolfiltering, allemaal geleverd als een beheerde service. FWaaS elimineert de noodzaak om fysieke firewall hardware op elke locatie te implementeren, patchen en beheren. Beleidsregels worden centraal gedefinieerd en afgedwongen bij het dichtstbijzijnde Point of Presence. Voor organisaties in het middensegment met meerdere locaties kan dit alleen al weken implementatietijd en aanzienlijke hardwarekosten besparen voor elke nieuwe locatie.
CASB: cloud applicatiebeheer
De Cloud Access Security Broker ontdekt en controleert het gebruik van SaaS-toepassingen. Het werkt in twee modi. De Inline-modus inspecteert verkeer in realtime wanneer gebruikers toegang krijgen tot cloudservices, dwingt DLP-beleidsregels af, blokkeert ongeautoriseerd delen van bestanden en detecteert afwijkend gedrag. De API-modus maakt rechtstreeks verbinding met SaaS-platforms zoals Microsoft 365 of Salesforce om gegevens in rust te scannen, machtigingen voor delen te controleren en compliance-regels af te dwingen. CASB is de component die schaduw-IT zichtbaar maakt. Zonder CASB hebben IT-teams geen betrouwbare manier om te weten welke cloudservices medewerkers daadwerkelijk gebruiken.
Uitgebreide componenten in 2025-2026
Moderne SASE-platforms zijn groter geworden dan de oorspronkelijke vijf. Veelgebruikte toevoegingen zijn Remote Browser Isolation (RBI), die websitecode uitvoert in een cloudcontainer zodat geen actieve inhoud het eindpunt bereikt. Data Loss Prevention (DLP) scant op gevoelige gegevenspatronen in al het verkeer. Digital Experience Monitoring (DEM) meet end-to-end prestaties van gebruikersapparaat tot applicatie. DNS-beveiliging filtert schadelijke domeinen voordat verbindingen tot stand worden gebracht. Sommige leveranciers integreren ook detectiemogelijkheden voor endpoints, maar dit verschilt sterk per platform.
| Onderdeel | Functie | Wat het vervangt |
|---|---|---|
| SD-WAN | Intelligente site-to-site routering | MPLS, statische routers |
| ZTNA | Identiteitsgebaseerde toegang per applicatie | VPN-concentrators |
| SWG | Webfiltering en bescherming tegen bedreigingen | On-prem web proxy appliances |
| FWaaS | Cloud firewall met IPS | Branche firewall hardware |
| CASB | SaaS-zichtbaarheid en DLP | Standalone CASB-toepassingen |
| RBI | Inhoud van browser isoleren | Geen directe voorganger |
| DEM | Monitoring van eindgebruikerservaring | Aparte APM-tools |
Hoe gegevens door een SASE-architectuur stromen
Dit is het gedeelte dat de meeste leveranciers overslaan. Begrijpen wat er werkelijk gebeurt met een pakket als het door het systeem beweegt, maakt het verschil tussen het evalueren van marketingclaims en het evalueren van de architectuur.
SASE scheidt het besturingsvlak van het gegevensvlak. Het besturingsvlak is waar de beleidslijnen zich bevinden. Een gecentraliseerde, cloud-hosted controller bevat het complete plaatje van je netwerktopologie, gebruikersidentiteiten, apparaatposture regels en beveiligingsbeleid. Als je een regel definieert die zegt “geef het financiële team alleen toegang tot het ERP-systeem vanaf beheerde apparaten waarop schijfversleuteling is ingeschakeld”, dan leeft die instructie op het besturingsvlak en wordt hij naar elk handhavingspunt gepusht. Het gegevensvlak is waar pakketten daadwerkelijk bewegen. Gedistribueerde aanwezigheidspunten handelen het fysieke werk af van het ontvangen van verkeer, het inspecteren ervan en het doorsturen naar de bestemming.
Stap 1: verbinding maken
Het apparaat van de gebruiker, waarop een lichtgewicht SASE-agent draait, maakt via een versleutelde tunnel verbinding met het dichtstbijzijnde Point of Presence. Voor bijkantoren zet een SD-WAN apparaat deze tunnel op. Voor agentloze apparaten, zoals printers, sensoren of industriële apparatuur, stuurt een speciaal inline isolatieapparaat, zoals Jimber’s NIAC, het verkeer namens hen door.
Stap 2: verificatie van identiteit en apparaat
De PoP verifieert de identiteit van de gebruiker via SSO/IdP-integratie met behulp van SAML- of OIDC-protocollen. Tegelijkertijd wordt de toestand van het apparaat gecontroleerd: is het besturingssysteem up-to-date? Is schijfversleuteling actief? Is endpointbeveiliging actief? Wordt het apparaat beheerd of geregistreerd? Context wordt verzameld: locatie, tijd van de dag, netwerktype. Al deze signalen worden meegenomen in de toegangsbeslissing.
Stap 3: Zero Trust beleidsevaluatie
De ZTNA-engine evalueert of deze specifieke identiteit, op dit specifieke apparaat, in deze specifieke context, toestemming heeft voor toegang tot de gevraagde bron. Toegang wordt verleend per toepassing volgens het least-privilege principe. De gebruiker wordt nooit lid van een netwerksegment. Ze bereiken alleen de toepassing die het beleid toestaat.
Stap 4: eenmalige beveiligingsinspectie
Dit is waar de SASE architectuur het meest verschilt van legacy benaderingen. Verkeer wordt eenmaal gedecodeerd en vervolgens gelijktijdig door alle beveiligingsengines geïnspecteerd: NGFW/FWaaS voor poort-, protocol- en applicatieregels. SWG voor URL-categorisatie en webbedreigingen. IPS voor bekende aanvalshandtekeningen. Anti-malware voor het scannen van bestanden. DLP voor gevoelige gegevenspatronen. CASB voor beleid voor cloudapplicaties. DNS-beveiliging voor domeinreputatie. Na inspectie wordt verkeer eenmaal opnieuw versleuteld.
Oude architecturen “ketende” deze functies, waarbij het verkeer bij elke stap werd ontsleuteld en opnieuw ontsleuteld. Vijf tools achter elkaar betekende vijf decrypteren-inspecteren-en-crypteren cycli, die elk vertraging toevoegden. Single-pass inspectie elimineert deze overhead volledig.
Stap 5: geoptimaliseerde routering
Het geïnspecteerde verkeer wordt via het meest efficiënte pad naar zijn bestemming geleid. Het verkeer van SaaS-toepassingen verlaat de PoP die het dichtst bij de regio van de provider ligt en vermijdt de backhaul die legacy VPN-architecturen traag maakt. Datacenterverkeer loopt via de backbone van de leverancier. Internetverkeer breekt direct uit vanaf de PoP.
Stap 6: logging en analyse
Elke sessie genereert een logboekvermelding: identiteit van de gebruiker, resultaat van de apparaatinstelling, toepassing die werd geopend, beveiligingsoordeel, overgedragen gegevens, duur van de sessie. Dit alles komt terecht in een verenigd data lake. Voor organisaties die onder NIS2 werken, is deze gecentraliseerde logging niet optioneel. Het is het controlespoor dat proportionele toegangscontroles en de mogelijkheid om incidenten in te dammen bewijst.
Hoe gegevensstroom varieert per verkeerstype
Niet alle verkeer volgt hetzelfde pad. De architectuur verwerkt drie fundamenteel verschillende scenario’s.
Gebruiker op afstand naar SaaS-applicatie. Een werknemer in Brussel opent een CRM gehost in Frankfurt. Hun SASE-agent maakt verbinding met de dichtstbijzijnde PoP. Identiteit en apparaatstatus worden geverifieerd. SWG, CASB en DLP inspecteren het verkeer in één keer. Het verkeer verlaat de PoP het dichtst bij de SaaS provider. Totale latentie: ongeveer 12 ms. Dezelfde verbinding via een legacy VPN-architectuur, backhauled via een centraal datacenter, zou 80-120 ms langer zijn.
Vestiging naar datacenter. Een SD-WAN-appliance in een filiaal stuurt het verkeer door een versleutelde tunnel naar de dichtstbijzijnde PoP. Het SASE-platform past applicatiebewuste QoS-classificatie toe, waarbij real-time verkeer zoals spraak en video voorrang krijgt op achtergrondtaken. Volledige beveiligingsinspectie vindt plaats op de PoP. Het verkeer gaat vervolgens via de backbone van de leverancier naar de PoP die het dichtst bij het datacenter is en gaat vervolgens naar de bestemming.
Agentloos apparaat naar cloud. Een aangesloten printer, IoT-sensor of industriële PLC kan geen SASE-agent uitvoeren. Het maakt verbinding met het lokale netwerk, waar een speciaal netwerkisolatie-apparaat het verkeer doorstuurt. Jimber gebruikt hiervoor NIAC-hardware, waarbij elk apparaat achter een inline isolatielaag wordt geplaatst die precies controleert welke upstream systemen het kan bereiken. Het apparaat wordt geïdentificeerd door middel van AI-gestuurde fingerprinting op basis van MAC-adres, verkeerspatronen en DPI-handtekeningen. Microsegmentatiebeleid beperkt het apparaat om alleen te communiceren met de aangewezen upstream systemen. Behavioural baselining controleert op afwijkingen. Als het apparaat verbindingen probeert te maken buiten de toegestane flows, wordt de toegang onmiddellijk beperkt.
Dit derde scenario wordt door de meeste leveranciers genegeerd. Maar voor organisaties met productieapparatuur, gebouwbeheersystemen, medische apparatuur of andere omgevingen met agentless hardware is dit de belangrijkste gegevensstroom om te begrijpen. Het is ook het punt waarop de architectuur van Jimber het meest verschilt van die van concurrenten: NIAC is een speciaal gebouwd component, geen bijkomstigheid die wordt toegevoegd aan een agent-first ontwerp.
De rol van aanwezigheidspunten in SASE
Points of Presence zijn de gedistribueerde cloud nodes waar de SASE stack draait. Elke PoP bevat meestal meerdere rekenknooppunten voor redundantie, de volledige beveiligingsinspectiestack, SD-WAN routeringsintelligentie, verbindingen met tier-1 ISP’s en internet exchange points, en peeringovereenkomsten met grote cloudproviders.
Het aantal PoP’s is de metriek die leveranciers het meest benadrukken. Grote Amerikaanse leveranciers beweren dat er wereldwijd tussen de 85 en 330+ PoP’s zijn. Maar het aantal ruwe PoP’s is misleidend. Onderzoek van grote SASE-leveranciers zelf toont aan dat de nabijheid van PoP’s goed is voor ruwweg 5% van de end-to-end latentie. Applicatie-kant latentie en middle-mile routing dragen veel meer bij. Onafhankelijke reviews hebben ook aangetoond dat het aantal PoP’s dat door sommige leveranciers wordt geclaimd niet overeenkomt met het aantal dat daadwerkelijk per klant kan worden gebruikt. Het gaat er niet om hoeveel PoP’s een leverancier wereldwijd heeft, maar of ze een dichte dekking hebben in de regio’s waar uw gebruikers en toepassingen wonen en of die PoP’s verkeer verwerken onder de juiste juridische jurisdictie.
Voor Europese organisaties betekent dit dat ze specifieke vragen moeten stellen. Waar zijn de PoP’s in de Benelux, DACH en Nordics? Worden beveiligingsinspecties, inclusief TLS-decodering, binnen de EU-grenzen uitgevoerd? Waar worden logs opgeslagen? Wie beheert de infrastructuur en onder welke jurisdictie vallen de wetten? Een provider met een Europees hoofdkantoor als Jimber beantwoordt deze vragen standaard: het verkeer blijft binnen de jurisdictie van de EU omdat het bedrijf en de infrastructuur onder EU-wetgeving opereren.
SASE inzetmodellen
Er is niet één manier om SASE in te zetten. De architectuur ondersteunt verschillende modellen, elk met afwegingen die van belang zijn afhankelijk van de grootte van de organisatie, bestaande investeringen en compliance-eisen.
Single-vendor SASE
Eén leverancier levert zowel de netwerk- (SD-WAN) als de beveiligingscomponenten (SSE) als één platform. Voordelen zijn onder andere een enkel beheervlak, een enkel gegevensmodel, consistente beleidshandhaving en geen integratiecomplexiteit tussen leveranciers. De afweging is het risico van vendor lock-in en de realiteit dat geen enkele vendor toonaangevend is in alle mogelijkheden.
Gartner voorspelt dat 50% van de nieuwe SASE-implementaties tegen 2028 uit één leverancier zal bestaan, tegenover ongeveer 30% in 2025. Uit de huidige adoptiegegevens blijkt echter dat momenteel slechts ongeveer 17% van de bedrijven één leverancier gebruikt, terwijl 58% nog steeds vertrouwt op drie of meer leveranciers. De kloof tussen ambitie en realiteit is groot.
Voor organisaties in het middensegment heeft single-vendor SASE een duidelijk voordeel: eenvoud. Met twee tot vijf IT-medewerkers die de hele omgeving beheren, is de operationele overhead van het coördineren van meerdere leveranciers verhoudingsgewijs veel hoger dan voor enterprise teams met speciale netwerk- en beveiligingsgroepen. Platformen van één leverancier worden meestal ook sneller geïmplementeerd, wat belangrijk is als het alternatief een integratieproject van meerdere maanden is. Het platform van Jimber is rond dit principe opgebouwd: ZTNA, SWG, FWaaS, SD-WAN en apparaatstatus in één console, met implementatietijdlijnen die worden gemeten in weken in plaats van kwartalen.
Dual-vendor SASE
SD-WAN van de ene leverancier plus SSE van een andere, geïntegreerd via API’s en tunnels. Dit komt vaak voor bij organisaties die al hebben geïnvesteerd in SD-WAN en die cloudbeveiliging willen toevoegen zonder de bestaande infrastructuur te verwijderen. De aanpak biedt flexibiliteit en de beste selectie van mogelijkheden. De afweging is gescheiden beheervlakken, complexere probleemoplossing en het risico van inconsistente beleidshandhaving tussen de twee platforms.
Beheerde SASE via servicepartners
Een servicepartner ontwerpt, implementeert en beheert de SASE architectuur namens de klant. Uit gegevens uit de sector blijkt dat meer dan 80% van de organisaties vertrouwt op externe partners voor de implementatie van SASE. Voor organisaties in het middensegment van de markt met beperkte interne capaciteit levert dit model een snellere time-to-value op en vermindert het de personeelslast die gepaard gaat met de dagelijkse exploitatie van het platform.
De afweging is een verminderde directe controle en afhankelijkheid van de expertise van de partner. Door te kiezen voor een platform dat is gebouwd voor multi-tenant operaties, met transparante prijzen en duidelijke tooling voor partners, wordt dit risico aanzienlijk beperkt. De architectuur van Jimber is ontworpen met het oog op partners: multi-tenantbeheer, API-automatisering en een prijsmodel dat servicepartners voorspelbare marges biedt voor hun hele klantenbestand.
Hybride SASE
Combineert door de cloud geleverde SASE met on-premises appliances voor specifieke use cases. Dit is het snelst groeiende segment, gedreven door organisaties die lokale handhaving nodig hebben voor OT-omgevingen, vereisten voor gegevenssoevereiniteit of luchtdichte netwerken. Hybride implementaties komen steeds vaker voor in de productie, gezondheidszorg en kritieke infrastructuur, waar bepaald verkeer een faciliteit niet mag verlaten.
| Model | Beste pasvorm | Belangrijkste voordeel | Belangrijkste afweging |
|---|---|---|---|
| Eén leverancier | Middenmarkt, greenfield, slanke IT-teams | Operationele eenvoud, snelste implementatie | Risico op lock-in leverancier |
| Dual-vendor | Ondernemingen met bestaande SD-WAN investering | Best-of-breed flexibiliteit | Integratie complexiteit |
| Beheerd (via servicepartner) | Organisaties met beperkte middelen | Snellere time-to-value, minder personeelsbelasting | Minder directe controle |
| Hybride | OT-omgevingen, soevereiniteitsvereisten | Lokale handhaving waar nodig | Complexere architectuur |
SASE vs SSE: het verschil in architectuur
SSE (Security Service Edge) is de alleen beveiligde subset van SASE. Het omvat SWG, CASB, ZTNA en FWaaS, maar geen SD-WAN. Gartner introduceerde de SSE-categorie in 2021 en publiceert afzonderlijke Magic Quadrants voor SSE en voor SASE-platforms.
Het onderscheid is om een praktische reden belangrijk. SSE beveiligt verkeer, maar beheert niet hoe dat verkeer de beveiligingsstapel bereikt. Als uw organisatie al over een goed functionerende SD-WAN-implementatie beschikt en alleen cloud-gebaseerde beveiliging hoeft toe te voegen, kan SSE voldoende zijn. Als u een verouderde MPLS-infrastructuur vervangt, een nieuwe start maakt of één enkel beheersvlak wilt voor zowel externe gebruikers als bijkantoren, dan is volledige SASE het completere antwoord.
Gartner’s langetermijnvisie is gericht op volledige convergentie. De grondgedachte: netwerkbeslissingen en beveiligingsbeslissingen zijn steeds meer dezelfde beslissingen. Het efficiënt routeren en consistent inspecteren van verkeer vereist dezelfde context over gebruikers, apparaten en toepassingen. Het scheiden van deze functies in verschillende platformen introduceert opnieuw de integratiecomplexiteit die SASE juist moest elimineren. Voor een gedetailleerd overzicht van hoe SASE, SSE en SD-WAN zich tot elkaar verhouden, zie de vergelijking SASE vs SSE vs SD-WAN.
Europese overwegingen: gegevenssoevereiniteit en NIS2
Europese organisaties die een SASE-architectuur evalueren, worden geconfronteerd met twee vragen die in de meeste content van leveranciers niet aan bod komen. Beide hebben gevolgen voor de architectuur, niet alleen voor de compliance.
Waar vindt TLS-inspectie plaats?
SASE-platforms beëindigen TLS-verbindingen op hun Points of Presence. Dat betekent dat verkeer wordt gedecodeerd, geïnspecteerd en opnieuw gecodeerd op infrastructuur die door de leverancier wordt beheerd. Als die PoP’s worden beheerd door een bedrijf met hoofdkantoor in de VS, kunnen die gegevens onder de Amerikaanse CLOUD Act vallen, ongeacht waar de PoP zich fysiek bevindt. Een PoP in Frankfurt die wordt beheerd door een Amerikaanse leverancier zorgt niet automatisch voor Europese gegevenssoevereiniteit.
Dit is geen theoretische zorg. Artikel 32 van de GDPR vereist passende beveiligingsmaatregelen, en het inspecteren van versleuteld verkeer op bedreigingen is een legitieme en aantoonbaar noodzakelijke beveiligingsmaatregel. Maar dezelfde regelgeving vereist dat persoonlijke gegevens rechtmatig worden verwerkt en worden beschermd tegen ongeautoriseerde toegang. TLS-inspectie uitvoeren via infrastructuur die onderhevig is aan buitenlandse inlichtingenwetgeving creëert een spanningsveld dat besturen en DPO’s steeds vaker opgelost willen zien.
Vanuit architecturaal oogpunt is het antwoord SASE-platforms die worden beheerd door leveranciers met een Europees hoofdkantoor, waar het verkeer volledig binnen de jurisdictie van de EU wordt verwerkt, geïnspecteerd en gelogd. Dit elimineert de blootstelling aan de CLOUD Act, terwijl de veiligheidsinspectie die GDPR vereist nog steeds mogelijk is. Jimber biedt dit als Belgisch bedrijf standaard. Verkeersinspectie, logging en beleidshandhaving vinden plaats binnen de EU-grenzen omdat het bedrijf zelf onder EU-wetgeving opereert. Er is geen secundaire jurisdictie om je zorgen over te maken.
De bredere markt is deze realiteit aan het inhalen. Gartner voorspelt dat Europa in 2027 Noord-Amerika zal overtreffen in soevereine cloudbestedingen. Verschillende leveranciers in de VS hebben hierop gereageerd door “soevereine” productlijnen te lanceren, maar dit zijn uitbreidingen op architecturen die niet zijn ontworpen met Europese gegevenssoevereiniteit als uitgangspunt. Voor organisaties waar jurisdictie van belang is, is het onderscheid tussen soevereiniteit-door-ontwerp en soevereiniteit-door-add-on belangrijk.
Wat vraagt NIS2 van je architectuur?
NIS2 is van toepassing op organisaties met 50 of meer werknemers of een jaaromzet van meer dan 10 miljoen euro die actief zijn in essentiële of belangrijke sectoren. Dit overlapt direct met het middensegment van de markt waar de toepassing van SASE het snelst groeit. Naar verwachting zullen meer dan 160.000 organisaties in de EU binnen het toepassingsgebied vallen.
Preambule 89 van NIS2 verwijst specifiek naar de Zero Trust principes, waardoor ZTNA een direct architectonisch antwoord is op een wettelijke vereiste, niet alleen een verbetering van de beveiliging. Naast Zero Trust vereist NIS2 incidentrapportage binnen 24 uur (gecentraliseerde SASE logging ondersteunt dit), voortdurende beveiligingsbewaking (DEM en analytics bieden dit), risicobeheer met gedocumenteerde controles (geünificeerd beleidsbeheer toont dit), beveiliging van de toeleveringsketen (SASE breidt consistent beleid uit naar toegang door derden) en netwerksegmentatie (microsegmentatie door ZTNA en inline isolatie leveren dit).
De single-console benadering van Jimber maakt het verzamelen van NIS2-bewijs praktisch voor slanke IT-teams. Beleidsversies, toegangslogs, apparaatstatusrecords en incidenttijdlijnen staan allemaal op één platform, klaar om geëxporteerd te worden wanneer de auditor belt. Bekijk de NIS2 compliance checklist voor IT-managers voor een praktische auditvoorbereiding.
Hoe Jimber de SASE-architectuur benadert
Jimber levert Real SASE in één cloud-beheerd platform dat is gebouwd voor Europese organisaties in het middensegment en de servicepartners die hen ondersteunen. Het platform verenigt ZTNA, SWG, FWaaS, SD-WAN en verificatie van de apparaatstatus in één console. Beleidsregels worden eenmalig gedefinieerd en consistent afgedwongen voor externe gebruikers, bijkantoren, cloudtoepassingen en agentless apparaten.
Drie architecturale beslissingen onderscheiden Jimber van de in de VS gevestigde leveranciers die de SASE-markt domineren.
Europese gegevenssoevereiniteit is ingebouwd in de architectuur. Als Belgische SASE-provider verwerkt, inspecteert en bewaart Jimber gegevens binnen de jurisdictie van de EU, waardoor de blootstelling aan de CLOUD-wet wordt geëlimineerd door het ontwerp, niet door toevoeging.
Agentless apparaatbeveiliging is een eersteklas zorg, geen bijzaak. NIAC-hardware biedt inline isolatie voor printers, IoT-sensoren, gebouwbeheersystemen en industriële apparatuur. Deze apparaten krijgen hun eigen microsegmenteringsbeleid, gedragsbewaking en gecontroleerde communicatiestromen, allemaal beheerd vanaf dezelfde console als het toegangsbeleid voor gebruikers. Voor organisaties met gemengde IT- en OT-omgevingen is dit de veilige brug tussen IT en OT die de meeste SASE-leveranciers gewoonweg niet slaan.
Transparante prijzen nemen de commerciële barrières weg die de overstap naar het middensegment van de markt vertragen. Prijzen per gebruiker zonder bandbreedtetoeslagen, geen verborgen extra’s en duidelijke margestructuren voor servicepartners. Dit maakt driejarige TCO-prognoses eenvoudig, zoals een Belgische vermogensbeheerder aantoonde die de beveiligingskosten met 58% verlaagde nadat hij een gefragmenteerde stack had vervangen door het uniforme platform van Jimber.
Klaar om te zien hoe de SASE architectuur in de praktijk werkt voor jouw omgeving? Boek een demo en krijg een walkthrough van het platform op maat.
FAQ
Wat zijn de vijf kernonderdelen van SASE?
De vijf componenten die Gartner in 2019 heeft gedefinieerd zijn SD-WAN, Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Firewall-as-a-Service (FWaaS) en Cloud Access Security Broker (CASB). Moderne platforms in 2025-2026 voegen daar meestal Remote Browser Isolation, Data Loss Prevention, Digital Experience Monitoring en DNS-beveiliging aan toe.
Waarin verschilt SASE van SSE?
SSE (Security Service Edge) omvat alleen de beveiligingscomponenten: SWG, CASB, ZTNA en FWaaS. SASE voegt SD-WAN-netwerken toe bovenop SSE. Als je zowel beveiligde connectiviteit tussen sites nodig hebt als cloud-geleverde beveiliging voor gebruikers, dan heb je volledige SASE nodig. Als u al een werkend SD-WAN hebt en alleen cloudbeveiliging nodig hebt, kan SSE voldoende zijn.
Hoe beveiligt SASE apparaten die geen agents kunnen draaien?
Apparaten zoals printers, IoT-sensoren en industriële apparatuur worden aangesloten via een speciaal inline isolatieapparaat. De NIAC-hardware van Jimber dient precies dit doel: het bevindt zich tussen het agentloze apparaat en de rest van het netwerk, identificeert apparaten via AI-gestuurde fingerprinting, past microsegmentatiebeleidslijnen toe die hen beperken tot alleen de aangewezen communicatiestromen en bewaakt het gedrag op afwijkingen. Op het apparaat zelf hoeft geen software te worden geïnstalleerd. Hierdoor vormt NIAC een praktische brug tussen IT- en OT-omgevingen zonder de productie te verstoren.
Is de SASE architectuur geschikt voor organisaties in het middensegment?
Ja. De adoptie in het middensegment van de markt groeit sneller dan die in grote ondernemingen, met gegevens uit de sector die een geplande adoptiegroei laten zien van meer dan 120% onder MKB-bedrijven en bedrijven in het middensegment van de markt. Single-vendor SASE is met name geschikt voor organisaties met 50-400 gebruikers en kleine IT-teams, omdat het een einde maakt aan de wildgroei van tools en de complexiteit van integratie die op die schaal onevenredig veel middelen vergen. Het platform van Jimber is specifiek ontworpen voor dit segment: één console, transparante prijzen en implementatie in weken in plaats van de maandenlange projecten die kenmerkend zijn voor SASE-leveranciers uit het bedrijfsleven.
Hoe lang duurt de implementatie van SASE?
Dat hangt af van het model. Enterprise-schaal dual-vendor implementaties kunnen 12-18 maanden duren. Single-vendor SASE voor organisaties in het middensegment kan binnen enkele dagen tot weken gaan van de eerste configuratie tot het beschermen van de eerste gebruikers, met een volledige uitrol over alle locaties in 6-12 weken. De gefaseerde aanpak van Jimber is typerend: begin met ZTNA voor een pilotgroep, breid de applicatiedekking uit en voeg dan SD-WAN toe voor de connectiviteit van de filialen. Een Belgisch vermogensbeheerbedrijf voltooide een volledige migratie in acht weken.
Vervangt SASE firewalls?
SASE vervangt de behoefte aan on-premise firewallhardware op filialen. FWaaS levert gelijkwaardige bescherming vanuit de cloud met gecentraliseerd beheer. Sommige organisaties behouden perimeter firewalls in datacenters voor specifieke noord-zuid verkeerscontroles tijdens de transitie, maar de architecturale richting voor de lange termijn is volledige consolidatie in door de cloud geleverde beveiliging.
Wat moeten Europese organisaties zoeken in een SASE leverancier?
Vijf criteria zijn het belangrijkst. Europese PoP dekking met in-EU verkeersinspectie. Jurisdictie van het hoofdkantoor van de verkoper, die de juridische blootstelling bepaalt onder de Amerikaanse CLOUD Act of vergelijkbare buitenlandse wetten op toegang. Op NIS2 afgestemde logging en rapportagemogelijkheden. GDPR-conforme TLS-inspectie met passende privacycontroles. En transparante prijzen die de aanschaf eenvoudig maken voor de publieke sector en gereguleerde industrieën. Jimber voldoet aan alle vijf door zijn ontwerp: Het hoofdkantoor in België, gegevensverwerking alleen in de EU, gecentraliseerde logboekregistratie en een voorspelbaar prijsmodel per gebruiker.
