Zpedia 

/ Cosa si intende per SASE (Secure Access Service Edge)?

Cosa si intende per SASE (Secure Access Service Edge)?

Il SASE (Secure Access Service Edge) è un framework per l'architettura di rete che unisce le tecnologie di sicurezza native del cloud, in particolare SWG, CASB, ZTNA e FWaaS, alle funzionalità della WAN (Wide Area Network), per connettere in modo sicuro utenti, sistemi ed endpoint ad applicazioni e servizi in ogni luogo.

Cosa significa SASE?

Il SASE, o Secure Access Service Edge, è stato definito per la prima volta da Gartner nel report del 2019 "The Future of Network Security is in the Cloud" (Il futuro della sicurezza della rete è sul cloud) e si fonda sulla convergenza delle funzionalità della WAN con quelle di sicurezza della rete, per offrire alle aziende maggiore agilità, prestazioni di rete più solide e affidabili, visibilità e controllo più avanzati e granulari sugli ambienti IT eterogenei e molto altro.

Il SASE è diverso dal Security Service Edge (SSE), che viene definito da Gartner come un sottoinsieme del SASE che si concentra specificamente sui servizi di sicurezza necessari per una piattaforma SASE sul cloud.

Come funziona il SASE?

L'architettura SASE combina una SD-WAN (Software-Defined Wide Area Network) o un'altra WAN con molteplici funzionalità di sicurezza (ad esempio, CASB e antimalware) per proteggere il traffico di rete.

Gli approcci tradizionali all'ispezione e alla verifica del traffico, come l'inoltro ai firewall nel data center attraverso un servizio MPLS (Multiprotocol Label Switching), sono efficaci se è lì che si trovano anche gli utenti. Oggi però, con così tanti utenti che lavorano da remoto, questo "hairpinning" (ovvero l'inoltro del traffico degli utenti in remoto al data center per ispezionarlo e quindi inviarlo di nuovo indietro) tende a ridurre la produttività e a danneggiare l'esperienza dell'utente finale.

Il SASE si contraddistingue dalle soluzioni singole e dalle altre strategie di sicurezza della rete perché è sicuro e diretto. Invece di fare affidamento sulla sicurezza del data center, il traffico proveniente dai dispositivi degli utenti viene ispezionato in un PoP nelle vicinanze, quindi inviato a destinazione. Questo si traduce in un accesso più efficiente alle applicazioni e ai dati, rendendo questa opzione di gran lunga più efficiente per la protezione della forza lavoro distribuita e dei dati sul cloud.

Il SASE è solo marketing?

Il SASE ha attirato molta attenzione da parte dei provider e dei media che si occupano di reti e sicurezza, ma ciò che lo rende più interessante è il principio su cui si basa, secondo cui la sicurezza e le architetture di rete incentrate sul data center non sono più efficienti. Non si tratta quindi solo di un accattivante slogan di marketing; al contrario, è un concetto che ha ricevuto un forte sostegno da parte del settore.

Quindi, cosa contraddistingue una soluzione SASE dalle tradizionali soluzioni di sicurezza della rete aziendale, in cui gli uffici sono collegati tramite reti private e il traffico viene instradato attraverso Secure Web Gateway e firewall?

Come sottolinea Gartner, i modelli tradizionali, in cui connettività e sicurezza si basano sul data center, dovrebbero invece focalizzarsi sull'identità di utenti e dispositivi. Secondo il report, nel mondo del lavoro digitale moderno, che ruota intorno alle soluzioni cloud, gli utenti, i dispositivi e le applicazioni per cui è richiesto l'accesso sicuro sono distribuiti ovunque.

In altre parole, i flussi di lavoro, i modelli di traffico e i casi d'uso di oggi sono molto diversi rispetto a quando le reti hub-and-spoke sono state concepite. Questo perché:

  • Il traffico degli utenti si muove sempre più spesso verso i servizi cloud e non verso i data center
  • Il lavoro viene eseguito sempre più spesso fuori dalla rete, invece che sulla rete
  • Sempre più carichi di lavoro sono in esecuzione nei servizi cloud e non nei data center
  • Si usano sempre più applicazioni SaaS rispetto a quelle ospitate localmente
  • Ci sono più dati sensibili sui servizi cloud che non sulla rete aziendale

Testimonianza

Il perimetro di sicurezza non è più racchiuso in una scatola all'edge del data center, è ormai esteso e abbraccia qualsiasi luogo, pertanto l'azienda necessita di un'architettura SASE basata su policy e creata dinamicamente.

Gartner, The Future of Network Security Is in the Cloud, 30 agosto 2019, Lawrence Orans, Joe Skorupa, Neil MacDonald

I componenti del modello SASE

Il SASE può essere suddiviso in sei elementi essenziali in base alle relative funzionalità e tecnologie:

1. SD-WAN (Software-Defined Wide Area Network)

La SD-WAN è un'architettura di overlay che riduce la complessità e ottimizza l'esperienza utente. È progettata per selezionare il percorso migliore per consentire al traffico di raggiungere Internet, le app cloud e il data center. Aiuta inoltre a distribuire rapidamente nuove app e servizi e a gestire le policy in numerose sedi diverse.

2. SWG (Secure Web Gateway)

Gli SWG impediscono al traffico Internet non sicuro di entrare nella rete interna. Inoltre, impediscono ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi da Internet, malware e altre minacce informatiche.

3. CASB (Cloud Access Security Broker)

I CASB prevengono perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità, garantendo un utilizzo sicuro delle app e dei servizi cloud. Essi proteggono le app cloud ospitate su cloud pubblici (IaaS), cloud privati o distribuite come servizi SaaS.

4. FWaaS (Firewall as a service)

I firewall come servizio (FWaaS) aiutano a sostituire gli apparecchi firewall fisici con firewall cloud, che offrono le funzionalità avanzate dei firewall Layer 7/di nuova generazione (NGFW), tra cui controlli degli accessi, come il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza del DNS.

5. ZTNA (Zero Trust Network Access)

Le soluzioni ZTNA offrono agli utenti in remoto un accesso sicuro alle app interne. In un modello zero trust, l'attendibilità non viene mai data per scontata e l'accesso a privilegi minimi viene concesso in base a policy granulari. Questo approccio offre agli utenti in remoto una connettività sicura senza collocarli sulla rete o esporre le app a Internet.

6. Gestione centralizzata

La gestione di tutti questi componenti da un'unica console consente di superare molte delle sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy, e permette di applicare queste ultime in modo uniforme in tutta l'organizzazione, ovunque siano gli utenti.

3 vantaggi del modello SASE

In che modo un'azienda può riuscire ad applicare controlli di accesso e sicurezza tenendo conto di queste realtà comuni? È qui che entrano in gioco le piattaforme SASE, che includono funzionalità WAN (SD-WAN) e servizi di sicurezza completi. Il SASE con base cloud offre vantaggi significativi alle organizzazioni che mettono da parte la tradizionale infrastruttura on-premise della rete e della sicurezza, e permette loro di sfruttare appieno tutti i benefici dei servizi cloud, della mobilità e di altri aspetti della trasformazione digitale.

1. Riduzione dei costi e della complessità dell'IT

Per consentire un accesso sicuro ai servizi cloud, proteggere utenti e dispositivi in remoto e colmare altre lacune nella sicurezza, le organizzazioni hanno adottato svariate soluzioni di distinte, incrementando significativamente i costi e le spese di gestione. Questa strategia corrisponde però un modello di sicurezza di rete on-premise che si rivela del tutto inefficace in un mondo digitale.

Invece di cercare di utilizzare un concetto legacy per risolvere un problema moderno, il SASE rivoluziona l'approccio alla sicurezza. Non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. Basati sul concetto dell'edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza di un'organizzazione, questo approccio consente o nega in modo dinamico le connessioni ad applicazioni e servizi.

2. Esperienza utente rapida e fluida

Quando gli utenti erano sulla rete e l'IT gestiva del tutto le app e l'infrastruttura, l'esperienza utente era facile da controllare e prevedere. Oggi, anche negli ambienti multicloud distribuiti, molte aziende utilizzano comunque le VPN per connettere gli utenti alle loro reti e ottenere maggiore sicurezza. Tuttavia, le VPN offrono un'esperienza utente scadente ed estendono la superficie di attacco di un'organizzazione, esponendo gli indirizzi IP.

In risposta a questa inefficienza, il SASE consente di ottimizzare le operazioni grazie all'applicazione della sicurezza in prossimità di ciò che deve essere protetto: quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, in quanto gestisce in modo intelligente e in tempo reale le connessioni in corrispondenza degli Internet Exchange e ottimizza le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.

3. Riduzione del rischio

In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi insiti nella nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Collocando la sicurezza, tra cui la protezione dalle minacce e la prevenzione della perdita di dati (DLP), al centro del modello di connettività, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente dalla posizione, dall'app o dalla crittografia.

Un componente fondamentale del framework SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori in remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.

Perché il SASE è necessario?

La trasformazione digitale del business richiede maggiore agilità e scalabilità, una riduzione della complessità e una sicurezza migliore. Inoltre, le aziende moderne devono poter garantire ai propri utenti esperienze di utilizzo ottimali, ovunque questi si trovino.

Queste circostanze hanno reso il SASE una necessità, non più un optional. Ecco perché:

  • Il SASE si adatta alla crescita del business: quando l'azienda cresce, sia la rete che la sicurezza devono essere in grado di gestire il conseguente aumento della domanda. Il SASE garantisce scalabilità al business, alla rete e alla sicurezza attraverso il modello di distribuzione sul cloud.
  • Il SASE favorisce il lavoro da qualsiasi luogo: le architetture hub-and-spoke tradizionali non sono in grado di tollerare la larghezza di banda necessaria per offrire ai dipendenti in remoto la flessibilità di cui hanno bisogno per rimanere produttivi. Il SASE invece sì, e lo fa offrendo una sicurezza di livello aziendale, che copre tutti gli utenti e i dispositivi, in qualsiasi luogo.
  • Il SASE risponde all'evoluzione delle minacce informatiche: i team addetti alla sicurezza sono costantemente in azione per contrastare le minacce più recenti. Il SASE li agevola fornendo loro una sicurezza e una semplicità di gestione di livello superiore, e offrendo loro la possibilità di gestire le minacce avanzate, da qualsiasi luogo esse provengano.
  • Il SASE è la base per l'adozione dell'IoT: l'IoT, o Internet delle cose, si sta rivelando una risorsa utile per le aziende di tutto il mondo, ma per adottare efficacemente questa tecnologia e le sue funzionalità, è necessaria costruirne l'ecosistema su una solida piattaforma. Il SASE permette di raggiungere i propri obiettivi con l'IoT grazie a una connettività e una sicurezza senza precedenti.

Tutti questi fattori hanno portato i provider di servizi di rete e sicurezza ad accozzare le proprie versioni di un'architettura SASE, e molti di essi sostengono di aver progettato un prodotto distribuito sul cloud, ma in realtà in molti casi si tratta solo di piattaforme cloud basate su hardware legacy.

Solo un fornitore è in grado di offrire un modello SASE realmente distribuito sul cloud. Perché? Perché abbiamo creato la nostra piattaforma sul cloud e per il cloud.

Testimonianza

"Entro il 2024, almeno il 40% delle imprese avrà messo a punto strategie definitive per l'adozione del modello SASE, una percentuale che alla fine del 2018 non raggiungeva neppure l'1%".

Gartner, Il futuro della sicurezza di rete è nel cloud

SASE di Zscaler

Zscaler Zero Trust Exchange™ è la nostra soluzione SASE, che offre alle organizzazioni un modello rapido, flessibile, semplice e sicuro per connettere utenti e dispositivi. La nostra piattaforma è facile da distribuire e gestire, perché è un servizio automatizzato e fornito sul cloud; inoltre, grazie al fatto che è distribuita a livello globale, gli utenti saranno sempre a un passo dalle loro applicazioni.

un grafico che mostra i vantaggi di una piattaforma SASE con base cloud per le aziende

Ecco cosa contraddistingue la nostra soluzione SASE:

  • Un'architettura nativa del cloud e multitenant, in grado di adattare le prestazioni dinamicamente in base alla richiesta
  • Un'architettura proxy, per un'ispezione completa del traffico criptato su larga scala
  • Sicurezza e policy sono più vicine agli utenti, per eliminare il backhauling inutile
  • Lo ZTNA (Zero Trust Network Access), che limita l'accesso e fornisce una segmentazione nativa delle applicazioni
  • L'azzeramento della superficie di attacco impedisce gli attacchi mirati, perché le reti di origine e le identità non vengono esposte a Internet

Attraverso il peering con centinaia di partner nei principali scambi Internet di tutto il mondo, Zero Trust Exchange offre prestazioni e affidabilità ottimali agli utenti.

Scopri come la nostra architettura SASE può aiutarti a ridurre i costi e la complessità dell'IT, migliorando al tempo stesso la sicurezza e l'esperienza degli utenti.

Risorse suggerite

Una vera soluzione SASE richiede un'architettura incentrata sul cloud
Leggi il blog
Tavola rotonda con Gartner: il futuro della sicurezza della rete è il SASE
Guarda on demand
Zscaler SASE: un'architettura moderna per un mondo mobile e incentrato sul cloud
Scopri di più
FAQ