SASE en SD-WAN uitgelegd: zo zet je je netwerk opnieuw op

Interstellar Vierkant
Interstellar Team 30.06.2026 • 4 minuten leestijd

Het Interstellar Content Team bestaat uit verschillende auteurs met een passie voor technologie.

Toen je huidige netwerkarchitectuur op tafel kwam, zaten de meeste medewerkers op kantoor, stonden je applicaties in het eigen datacenter en was VPN dé manier om van buiten naar binnen te komen. Dat plaatje klopte. Het werkte. En je beheerde het met een handvol collega's vanuit één centrale plek.

Bij Interstellar zien wij dat steeds meer organisaties volledig naar Microsoft-cloud verhuizen. Hierdoor volstaat de klassieke manier van beveiligen niet meer. In dit blog zet je de eerste stappen naar een netwerk dat bij past bij hoe je nu werkt.

Het kantoor is verdwenen, je verkeer niet

Mensen werken thuis, op klantlocaties en in de trein, applicaties zitten in meerdere clouds en data verspreidt zich over SaaS-omgevingen waar IT zelden de eigenaar is; alleen je netwerkschema is nog hetzelfde.

De meeste organisaties werken inmiddels in een hybride cloudomgeving, terwijl de klassieke netwerktopologie al je verkeer nog via een centraal kantoor stuurt: iemand in Eindhoven stuurt zijn verkeer eerst naar het hoofdkantoor in Amsterdam, door een firewall, en dan pas naar de cloud. Een omweg die traag is voor de gebruiker, duur in bandbreedte en kwetsbaar, terwijl security vooral in het gevoel van een centrale poort zit.

Manuel Speksnijder, verantwoordelijk voor het portfoliomanagement bij Interstellar, ziet die verschuiving dagelijks terug:

"Een traditionele infrastructuur was eigenlijk een kasteel met een poort en een brug over de slotgracht. Je ziet nu dat steeds meer organisaties volledig in de Microsoft-cloud werken, en dan spelen er hele andere dingen rondom security."

Manuel SpeksnijderManager Portfolio, Interstellar

Tegelijk verdwijnt het netwerk niet: “Elke vestiging waar wifi nodig is, heeft accesspoints en switches nodig, en zo’n locatie wil je ook op een veilige manier ontsluiten naar de cloud.” De vraag is dus niet óf je nog een netwerk hebt, maar hoe slim en veilig je het inricht.

Waarom VPN en MPLS tekortschieten

Multi-Protocol Label Switching (MPLS) en Virtual Private Network (VPN) waren prima oplossingen voor hun tijd, maar allebei vertrekken ze vanuit één aanname: applicaties staan binnen, mensen moeten naar binnen. Vandaag staan veel applicaties juist buiten, en wie zijn verkeer eerst naar binnen haalt om het daarna naar de cloud te sturen, bouwt een trechter waar niemand op zit te wachten. Bovendien verleent een VPN-tunnel vaak brede toegang: ben je eenmaal binnen, dan zie je meer dan nodig is. Dat is precies de denkfout die Zero Trust wil rechtzetten.

SD-WAN: applicatie-bewust routeren

Software-Defined WAN (SD-WAN) maakt je netwerk slim: in plaats van vaste routes neemt het in real time beslissingen op basis van applicatie, prestaties en beleid. Teams gaat rechtstreeks naar Microsoft, je interne ERP loopt via je datacenter, gevoelig verkeer krijgt extra controles. Omdat de intelligentie in software zit, schaal je makkelijker: een nieuwe vestiging voeg je toe in een centraal dashboard in plaats van fysieke routers per koerier te sturen.

Speksnijder vat het schaalvoordeel praktisch samen. “Als je twee vestigingen hebt, maak je een verbinding van de één naar de ander en vice versa. Maar bij twintig vestigingen ben je wel even bezig om dat allemaal met de hand te configureren.” Het SD-WAN-concept neemt dat werk uit handen: “Elke keer als we een locatie toevoegen, weet die meteen van alle andere locaties af.”

SASE: security en netwerk in dezelfde laag

Secure Access Service Edge (SASE) zet de volgende stap en brengt netwerk en security samen in één cloud-geleverd platform. Firewalling, dataclassificatie en web-filtering zitten op dezelfde laag als de routering: verkeer wordt niet eerst geroute en daarna geïnspecteerd, het gebeurt tegelijk, met volledige context over gebruiker, apparaat en applicatie. Volgens Gartner is 60 procent van de organisaties in 2025 bezig met een SASE-strategie (Gartner, Hype Cycle for Network Security, 2022): minder losse leveranciers, meer geïntegreerde architectuur.

Zero Trust Network Access vervangt VPN

Een belangrijk onderdeel van SASE is Zero Trust Network Access (ZTNA): geen brede toegang tot ‘het netwerk’, maar gerichte toegang tot één applicatie, waarbij elke verbinding eerst wordt geverifieerd op gebruiker, apparaat en context. Je krijgt alleen toegang tot wat je nodig hebt, niet tot alles wat toevallig in hetzelfde subnet hangt. Voor de gebruiker voelt het simpeler dan VPN, voor de organisatie betekent het minder bewegingsruimte voor aanvallers als er ooit iets misgaat.

Hoe dat in de praktijk werkt, laat Interstellar in de zorg zien. Een zorgapplicatie als Nedap staat publiek in de cloud, maar mag alleen benaderd worden vanuit de beveiligde SASE-omgeving. Speksnijder: “We zeggen tegen die applicatie: jij mag alleen toegang verlenen als de verbinding vanuit onze SASE-omgeving komt. Ben je niet verbonden, dan kom je er gewoon niet in.”

Daar bovenop toetst Zero Trust continu of het apparaat in orde is. “We controleren of de virusscanner up-to-date is, of de Windows-updates geladen zijn en of het apparaat onderdeel is van de organisatie,” legt Speksnijder uit. “Verandert er iets, staat de virusscanner ineens uit, dan verbreken we de verbinding meteen, ook al is iemand midden in zijn werk.”

Drie use cases uit de praktijk

Thuiswerkers. Zonder SASE loopt thuisverkeer vaak nog via een centrale VPN, met trage Teams-calls en een zwaarbelaste internetuitgang. Met SASE en ZTNA gaat Teams rechtstreeks naar Microsoft en krijgt de medewerker alleen toegang tot wat ze nodig heeft, met centraal afdwingbaar beleid.

Multi-cloud. Met workloads in AWS en Azure plus een rij SaaS-toepassingen heeft zonder uniforme aanpak elke omgeving zijn eigen regels. Met SASE beheer je alle paden vanuit één platform, met consistent beleid en één plek voor logging.

Vestigingen. Waar je vroeger MPLS naar elke locatie trok met dure hardware, draaien vestigingen met SD-WAN op een goedkopere internetverbinding met een centraal beheerde edge. Een nieuw filiaal openen kost dagen, geen maanden.

De business case

De motivatie zit niet alleen in techniek. SD-WAN drukt je WAN-kosten, SASE bundelt functies die je nu bij vier of vijf losse leveranciers afneemt, en de NIS2-richtlijn vraagt om aantoonbare netwerksegmentatie en versleuteling (Richtlijn 2022/2555, artikel 21), wat SASE en ZTNA ingebouwd leveren. Ook het financiële plaatje verandert: een netwerkvernieuwing was lang een forse eenmalige investering, en juist dat houdt organisaties tegen. Interstellar verschuift daarom samen met leveranciers naar een MSP-model. Speksnijder: “Bij Fortinet gieten we met Fortiflex alle licenties in een flexmodel per maand. En bij sommige fabrikanten neem je een switch zelfs as-a-service af. Zo halen we de grootste blokker, die grote eenmalige investering, van tafel.”

Hoe een goede start eruitziet

Je hoeft niet morgen je hele netwerk om te bouwen. Begin met inventariseren: welk verkeer loopt nu door je kantoor terwijl het rechtstreeks naar de cloud kan, welke applicaties verdienen ZTNA in plaats van VPN, welke vestigingen kosten onevenredig veel beheer?

Vanuit die analyse bouw je stapsgewijs: eerst SD-WAN op een paar locaties, daarna ZTNA voor je belangrijkste applicaties, vervolgens de bredere SASE-architectuur. Onderweg verdwijnen tools, ziet je beheerteam één dashboard in plaats van vijf, en merken je gebruikers vooral dat het sneller werkt.

Liever advies op maat? Kom hieronder in contact!

Deel artikel

Do you want to talk Security & Compliance?

Manuel Speksnijder
Manuel Speksnijder Strategic Technology & Innovation Manager
Kom in contact
Gradient | Interstellar
Evolving IT around you
Interstellar Group B.V. KVK-nummer: 78084261 Delftechpark 35, 2628 XJ Delft