Bespaart je VPN echt geld? 7 Redenen waarom het je meer kost!
Veel bedrijven kiezen bij hun overstap naar de cloud automatisch voor een VPN om via hun internetverbinding verbinding te maken met de cloud. Het lijkt een voordelige keuze, toch? Helaas is dat niet altijd het geval. Hoewel een VPN op het eerste gezicht goedkoper kan lijken dan bijvoorbeeld een vaste verbinding, komen er vaak verborgen kosten bij kijken die al snel de schijnbare besparingen overstijgen. Ook hier geldt: wat goedkoop lijkt, kan uiteindelijk duurder uitpakken.
We merken dat VPN-verbindingen vaak voor uitdagingen zorgen. Het gaat daarbij niet alleen om kleine ongemakken, maar soms om flinke verstoringen. In een eerder blog beschreef ik al hoe handhelds regelmatig vastliepen door VPN-problemen, wat lastig op te sporen bleek. Recent hadden we nog een klant waarbij de VPN wekenlang storingen veroorzaakte. Het hoeft niet altijd compleet mis te gaan, maar juist die sporadische problemen maken het moeilijk om de oorzaak te vinden. En als de verbinding langzaam steeds trager wordt, merk je het productiviteitsverlies misschien niet direct op, maar uiteindelijk kan dat flink in de papieren lopen.
We zien ook steeds vaker dat bedrijven VPN's gebruiken om vestigingen met elkaar te verbinden, zowel binnen Nederland als internationaal. Het lijkt een voordelig alternatief voor huurlijnen en MPLS, omdat de verbindingen zelf veel goedkoper zijn. Toch lopen veel bedrijven al snel tegen de beperkingen van VPN’s aan, waardoor de kosten eerder stijgen dan dalen en de problemen toenemen.
Maar hoe komt het dat een VPN zoveel verborgen kosten met zich meebrengt? Laten we de 7 belangrijkste redenen samen doornemen.
Een VPN is niet schaalbaar
Een VPN fungeert als een zogenaamd 'serialisatiepunt.' Stel je voor dat verkeer op een snelweg met 60 rijbanen plotseling wordt teruggebracht naar slechts één rijbaan. Het resultaat? Een file. Dit komt door de manier waarop data versleuteld wordt: elk datapakket moet afzonderlijk worden versleuteld en dat gebeurt één voor één, waardoor de snelheid afneemt. Zonder te diep in de technologie te duiken, is dit vergelijkbaar met hoe blockchain werkt – het eerste blok moet volledig voltooid zijn voordat het volgende kan beginnen.
Omdat alle datapakketten achter elkaar door de VPN moeten, ontstaat er al snel een opstopping, ook al lijkt de belasting niet hoog. Zelfs wanneer je VPN slechts 15 seconden voor 60% wordt belast, beginnen gebruikers het al te merken. Bij 70% wordt het vervelend, en bij 80% leidt het tot serieuze verstoringen.
VPN’s zijn simpelweg niet ontworpen om grote hoeveelheden gelijktijdige verbindingen te verwerken. Heb je 100 gebruikers en 6 applicaties in de cloud? Dan heb je al 600 verbindingen, meer dan genoeg om je VPN aanzienlijk te vertragen.
Je Internet verbinding heeft geen verkeersregelaar
Je internetverbinding is ooit aangelegd om toegang te krijgen tot het internet – gewoon, voor het bezoeken van websites en het versturen van e-mails. Maar dat is heel anders dan het benaderen van je bedrijfsapplicaties, zelfs als die webgebaseerd zijn.
Internetdiensten zoals YouTube en Netflix zijn ontworpen om te werken zonder verkeersregelaar, dankzij slimme technieken zoals buffering. Je bedrijfsapplicaties hebben die voordelen echter niet. Bovendien is buffering bij videoconferenties geen optie, tenzij je het niet erg vindt om iemand pas 15 seconden later te horen.
Zonder een verkeersregelaar kan het nog werken als er slechts een paar gelijktijdige gebruikers zijn, bijvoorbeeld wanneer je gewoon websites bezoekt. Maar zodra je meerdere zakelijke applicaties tegelijk over diezelfde lijn laat lopen, wordt de belasting aanzienlijk groter. Dan heb je niet 20, maar misschien wel 500 'gebruikers' op dezelfde lijn. En zonder effectieve verkeersregeling zal je verbinding al snel vastlopen.
Hogere latency is de boosdoener
Wanneer je applicaties via een WAN benadert, krijg je al te maken met meer latency dan via een lokaal netwerk (LAN). Voeg daar een VPN aan toe, en de latency neemt nog verder toe. Voor wie niet bekend is met latency: als bandbreedte de breedte van de weg is, dan is latency de lengte ervan. Hoe hoger de latency, hoe langer het duurt voordat je data de andere kant bereikt, ongeacht hoeveel bandbreedte je hebt.
WAN-verbindingen hebben van nature al een hogere latency dan een LAN op kantoor, maar een VPN maakt dit nog erger. Uit onze metingen blijkt dat de latency met een VPN vaak tweeënhalf keer zo hoog is als zonder. Dat betekent ook dat je applicaties tweeënhalf keer zo traag kunnen reageren. Wat zou jij liever hebben? Twee seconden wachten op een scherm of vijf seconden?
Een VPN is een Single Point Of Failure (SPOF)
Als je VPN uitvalt, liggen al je cloudapplicaties plat. Maar het probleem gaat verder: als je ook je beveiliging via de cloud regelt, zoals Azure AD, dan kunnen zelfs je on-premise applicaties niet meer werken. Zelfs je WiFi valt uit, want ook die heeft tegenwoordig vaak de cloud nodig. Hoe lang kun je het veroorloven dat je complete IT-infrastructuur offline is?
Maar misschien denk je: “Mijn internetverbinding is dubbel uitgevoerd, dus ik zit wel goed.” Helaas geldt dat vaak niet voor VPN’s. Hoewel een VPN over een redundante lijn kan lopen, zitten de meeste problemen juist in het VPN zelf en niet in de fysieke verbinding.
Natuurlijk kun je ook een volledig redundant VPN opzetten, maar dat is zo complex en duur dat het kostenvoordeel van het gebruik van een VPN snel verdwijnt.
Een VPN voegt veel complexiteit toe
Bij een VPN komt er flink wat complexiteit kijken: sleutels, certificaten, subnets, beheer, en verschillen in apparatuur tussen jou en je provider. Vergelijk dat eens met een huurlijn of MPLS-verbinding, waar je simpelweg een ethernetkabel inplugt en klaar bent. De provider regelt alle technische zaken achter de schermen, wat de hogere kosten verklaart.
Met een VPN krijg je die complexiteit zelf op je bord. Je kunt iemand inhuren om dit te beheren, maar de complexiteit blijft. Je moet namelijk nog steeds jouw apparatuur, netwerktopologie en beveiliging afstemmen op die van je cloudprovider.
“Maar Hugo, dan koop ik toch gewoon dezelfde apparatuur als de cloudprovider?" Dat kan zeker een deel van het probleem oplossen. Maar ik weet wat die apparatuur kost, en voor dat bedrag kun je je MPLS-verbinding de komende jaren probleemloos betalen.
Een VPN klappert
Voor de beveiliging worden de sleutels die een VPN gebruikt regelmatig ververst, een proces dat 're-keying' heet. Tijdens dit verversen is het VPN even niet beschikbaar. Als je een complex VPN hebt – zoals vaak het geval is bij verbindingen met de cloud of meerdere vestigingen – kan dit proces soms zelfs minuten duren. In die tijd heb je geen verbinding, en dat is lang genoeg om bijvoorbeeld een back-up of een data-load van een datawarehouse te laten mislukken.
Re-keying gebeurt meestal om de 8 uur, maar het is lastig te plannen. Die 8 uur gaat namelijk pas in zodra de re-keying is voltooid. Dit betekent dat het moment waarop je verbinding een paar minuten wegvalt elke dag iets verschuift. Voor je het weet, gebeurt het midden in de kantoortijd of tijdens een belangrijk back-up window. En als je VPN-apparatuur opnieuw moet worden opgestart, begint de 8 uur opnieuw te tellen.
Deze verstoringen, die soms wel en soms niet optreden op onvoorspelbare momenten, zijn moeilijk op te sporen. En omdat het een 'normaal' onderdeel van de technologie is, kun je het ook niet zomaar oplossen.
Dubbele versleuteling biedt .. geen extra veiligheid
Een van de belangrijkste functies van een VPN is het versleutelen van je verkeer om het veilig te houden. Maar veel van dat verkeer, zoals HTTPS-verkeer naar een beveiligde website, is tegenwoordig al versleuteld. Dit betekent dat een VPN wel een laag versleuteling toevoegt, maar geen extra veiligheid biedt.
Wat het wél doet, is vertraging veroorzaken. Elke keer dat gegevens worden versleuteld en vervolgens weer ontsleuteld, kost dat tijd. Bovendien vraagt het meer bandbreedte van je verbinding, wat je prestaties kan vertragen zonder enig voordeel op het gebied van veiligheid.
Kortom, dubbel versleutelen helpt je niet, maar vertraagt je alleen.
Maar Hugo, wat moet ik dan?
Huurlijnen en MPLS-verbindingen blijven de meest betrouwbare opties. Met deze oplossingen krijg je garanties over de kwaliteit en de beschikbare bandbreedte.
Vaak hoor je dat SD-WAN een goede oplossing is, maar dat kan heel verschillend uitpakken. Bij sommige SD-WAN-oplossingen is het eigenlijk niet meer dan een VPN met wat extra beheer- en provisioning-tools eromheen, en die bieden geen verbetering ten opzichte van een gewone VPN. Andere versies kunnen wel verkeer prioriteren, waarbij kritisch verkeer over een snellere verbinding loopt en minder belangrijk verkeer over een goedkopere lijn. Maar de betere SD-WAN-oplossingen zijn vaak duur en ingewikkeld om goed in te richten en te beheren.
Met IPv6 kun je echter veel winst behalen via je internetverbinding. In een ander blog ga ik uitgebreid in op hoe IPv6 je kan helpen om VPN's overbodig te maken. Wij werken al zes jaar op die manier – snel en zonder storingen.
Moet je toch een VPN gebruiken? Zorg er dan voor dat het verkeer goed geregeld wordt. Dit heet technisch gezien Quality of Service (QoS). Daarmee krijgt belangrijk verkeer voorrang op minder kritisch verkeer. En vergeet niet je internetverkeer strikt te scheiden van je zakelijke verkeer naar de cloud of andere vestigingen, aangezien regulier internetverkeer niet onder deze verkeersregeling valt.
Benieuwd naar de beste oplossing voor jouw situatie? Maak dan een afspraak met mij. Met slechts 15 minuten van je tijd laat ik je zien hoe je een betrouwbare, snelle verbinding krijgt met je cloud en vestigingen.