SASE heeft een AI-blinde vlek. Pakketten inspecteren is niet langer genoeg.

Jarenlang was het routeren van verkeer via cloudproxy’s goed genoeg. Vervolgens verplaatste het werk zich naar de browser, kwam AI in de workflow terecht en hield het inspectiemodel het niet meer bij.

Enterprise-workflows zijn nu beschikbaar in SaaS-applicaties, browsers en een groeiend ecosysteem van generatieve AI-tools, niet-goedgekeurde browserextensies en autonome agenten. Werknemers plakken routinematig intellectueel eigendom in openbare LLM’s voor code-optimalisatie, terwijl geautomatiseerde agenten interne documentatie opvragen en gegevens met machinesnelheid tussen systemen verplaatsen. De uitdaging is niet dat SASE heeft gefaald, maar dat data-interacties zijn verschoven naar de presentatielaag, een gebied waar netwerkgerichte architecturen nooit voor zijn ontworpen. Deze structurele paradigmaverschuiving wordt in detail onderzocht De gids voor moderne SASE-architectuur.

Waarom traditionele handhavingsstrijd

Traditionele SASE is afhankelijk van het terugsturen van verkeer naar cloudproxy’s voor decodering, inspectie en beleidshandhaving. Moderne internetprotocollen, met name TLS 1.3, HTTP/3 en het vastzetten van certificaten, zijn echter expliciet ontworpen om dit soort man-in-the-middle-onderschepping te blokkeren.

Wanneer een cloudproxy de decodering van een TLS 1.3-sessie probeert te forceren met certificaatpinning, verbreekt de clienttoepassing routinematig de verbinding. Om bedrijfskritische servicedowntime te voorkomen, zijn netwerkteams gedwongen om bypass-uitzonderingen te schrijven. Dit schept een structureel probleem: organisaties houden uiteindelijk enorme uitzonderingslijsten bij en verkleinen stilletjes hun beveiligingsperimeter, applicatie voor applicatie, alleen maar om de tools te laten functioneren.

Naast de veiligheidskloof introduceert dit model ook een zware prestatiestraf voor de beroepsbevolking. Het forceren van sessies via verre cloudinspectiepaden zorgt voor een ‘omwegbelasting’ van de latentie van applicaties en stotterende videogesprekken. Wanneer de beveiligingsinfrastructuur kritieke tools traag of onstabiel maakt, zoeken gebruikers actief naar schaduwoplossingen om productief te blijven, waardoor het aanvalsoppervlak dat IT probeert te beschermen wordt vergroot.

AI en het ‘moment van intentie’

AI en agentische workflows hebben ervoor gezorgd dat deze architectonische kloof onmogelijk te negeren is. Een traditionele netwerkproxy ziet een geldige, gecodeerde HTTPS-verbinding met een LLM-provider. Het kan de intentie van de payload niet zien, zoals een autonome AI-agent die gebruik maakt van model context protocol (MCP) tool-aanroepen om bedrijfseigen code of interne documentatie op te halen.

Tegen de tijd dat de gegevens een netwerkinspectiepunt bereiken, heeft de interactie al plaatsgevonden. Het moment van intentie is voorbij. Hierdoor zitten beveiligingsteams gevangen in een binair dilemma: blokkeer AI volledig en drijf gebruikers naar schaduw-IT, of laat het onbeperkt toe en accepteer totale ondoorzichtigheid van gegevens. De Gids voor moderne SASE-architectuur gaat uitgebreid in op de beoordelingskaders hiervoor.

De architectuurverschuiving

Om AI en moderne SaaS te kunnen besturen, moet handhaving plaatsvinden op het interactiepunt, op het apparaat: de browser en het eindpunt. Wanneer beveiliging of routering op netwerkniveau vereist is, moet het verkeer dynamisch naar de dichtstbijzijnde beschikbare edge-infrastructuur worden gestuurd, waardoor overbodige hops en prestatieverminderende omwegen worden geëlimineerd.

Het evalueren van beleid op de laatste mijl verandert het handhavingsmodel volledig:

  • Contextuele gegevensbescherming: Kopieer-, plak- en promptinhoud wordt lokaal geïnspecteerd voordat gegevens het apparaat ooit verlaten.
  • Protocol inheemse uitlijning: Moderne encryptieprotocollen functioneren native zonder invasieve decryptieworkflows.
  • Direct-path-prestaties: Tot 90% van het vertrouwde verkeer neemt het directe pad naar de bestemming, waardoor de proxy-“omwegbelasting” wordt geëlimineerd en de oorspronkelijke applicatiesnelheid voor de eindgebruiker wordt hersteld.

Deze verschuiving stimuleert de adoptie van de ‘Perfect Packet’-architectuur, een model dat de context op het eindpunt evalueert vóór routering, waarbij cloudinspectie alleen wordt ingeschakeld wanneer een sessie aanvullende verificatie vereist.

Meer informatie

Netwerkgerichte handhaving kan niet bepalen wat er gebeurt binnen een applicatietabblad of een AI-workflow. Om te zien hoe moderne architecturen de kloof in proxy-zichtbaarheid dichten en tegelijkertijd de native applicatieprestaties herstellen, kunt u downloaden Het perfecte pakket: een gids voor moderne SASE-architectuur.

Thijs Van der Does