Questo articolo di blog è il secondo di una serie in tre parti che prende in esame la nuova categoria di mercato di Gartner chiamata Security Service Edge (SSE). Nel primo articolo abbiamo descritto cosa si intende per piattaforma SSE, mentre in questa terza parte illustreremo le funzionalità che si dovrebbero ricercare durante la scelta di una piattaforma SSE.

Ora che abbiamo definito cos'è il nuovo Security Service Edge (SSE) di Gartner, è giunto il momento di scoprire come può essere applicato alle aziende e quali vantaggi può offrire. Alla base del modello SSE vi sono utenti e destinazioni, e sono questi due concetti a definire come il Security Service Edge può essere applicato in modo pratico a un'azienda. La verità è che la sicurezza della rete sta per scomparire: gli utenti e le destinazioni non sono più sulla rete aziendale, e questo è il motivo per cui anche la sicurezza dovrebbe spostarsi.

Il Security Service Edge può essere inteso come un mezzo per separare la sicurezza dalla rete e renderla un elemento sempre presente in grado di seguire gli utenti e le destinazioni con un Secure Web Gateway (SWG), un CASB (Cloud Access Security Broker) e lo ZTNA (Zero Trust Network Access). Fornito con una piattaforma cloud, il Security Service Edge segue gli utenti e inoltra le loro connessioni alle destinazioni, indipendentemente dal fatto che la destinazione sia Internet, un'applicazione SaaS o un'applicazione privata. Di seguito riportiamo un riepilogo dei principali casi d'uso del modello SSE.

Rilevazione e mitigazione delle minacce

Nella nuova realtà all'insegna di cloud e mobilità, il lavoro si svolge sempre di più attraverso le applicazioni Internet e cloud. Internet è ormai la rete aziendale, e le organizzazioni hanno bisogno di un approccio sicuro per ridurre i rischi. Ma che tipo di approccio? Una difesa avanzata è fondamentale per il successo, perché violazioni e ransomware possono colpire un'azienda in vari modi. Il problema degli approcci tradizionali è che è difficile coordinare molteplici soluzioni indipendenti e, man mano che la sicurezza viene trasferita da un prodotto all'altro, si generano lacune; inoltre, l'aggiornamento dei tradizionali dispositivi legacy è farraginoso e viene spesso trascurato, rendendo le strategie di sicurezza obsolete e producendo vulnerabilità.

La soluzione è l'utilizzo del modello SSE. Combinando SWG, CASB e ZTNA in un'unica piattaforma creata appositamente per affrontare queste sfide, il modello SSE offre il meglio della difesa avanzata, con:

funzionalità di protezione dalle minacce avanzate, per bloccare phishing, malware e altre minacce in entrata;
firewall cloud e un sistema di prevenzione delle intrusioni (IPS), per controllare gli accessi e proteggere le connessioni delle filiali;
sandbox cloud, per controllare le minacce nuove e sconosciute;
isolamento del browser, per proteggere i dispositivi non gestiti che accedono a contenuti web attivi dannosi;
raccolta di informazioni sulle minacce del cloud, che aiuta a migliorare la condivisione, in modo che le nuove minacce rilevate sulla piattaforma vengano identificate rapidamente e bloccate.

Il Security Service Edge è in cloud, e per questo offre scalabilità, sia in termini di copertura che di ispezione. Una piattaforma SSE ideale dovrebbe fornire una copertura globale completa, per garantire una connessione locale veloce a ogni utente e fornire un'ispezione del traffico SSL che sia scalabile e non abbia limitazioni, in modo da poter individuare tutte le minacce.

Connessione e protezione dei lavoratori da remoto

Con l'arrivo del lavoro ibrido, le aziende hanno dovuto ripensare il modo in cui svolgono le attività e le modalità attraverso cui proteggono i propri utenti e i dati. All'interno di questo processo trasformativo, le VPN legacy pongono dei problemi: non sono in grado di tenere il passo con l'aumento del traffico e presentano al contempo dei gravi difetti architetturali.

Non è un caso che le vulnerabilità delle VPN facciano sempre più spesso notizia per il rischio a cui sottopongono le aziende. In primo luogo, le VPN sono individuabili su Internet e richiedono l'applicazione di patch, attività che spesso viene trascurata. Inoltre, per concedere agli utenti l'accesso alle applicazioni, li collocano sulla rete. Entrambi questi fattori di rischio aumentano in modo significativo il pericolo.

Il modello SSE fornisce un approccio zero trust migliore e più moderno, definito nell'ambito dello ZTNA. Lo ZTNA permette l'accesso da utente ad app senza collocare gli utenti sulla rete, ed è progettato per essere invisibile a Internet, grazie a connessioni di rete che si muovono dall'interno verso l'esterno, con la piattaforma cloud SSE che agisce da broker della connettività tra utente e applicazione.

Tornando ai due concetti principali alla base delle piattaforme SSE, utenti e destinazioni, risulta evidente la ragione per cui lo ZTNA è un elemento fondamentale: le applicazioni, sia SaaS che private, rappresentano comunque delle destinazioni, e gli utenti si trovano al di fuori dalla rete aziendale; nonostante questo, la connessione deve essere sicura e sempre attiva. Integrando lo ZTNA nell'architettura SSE, le aziende dispongono di un modo incredibilmente semplice per garantire una connettività sicura e zero trust da utente ad app; inoltre, lo ZTNA si integra con altri servizi di sicurezza necessari affinché le aziende possano difendersi dalle minacce e proteggere i dati.

Identificazione e protezione dei dati sensibili

I dati sono la linfa vitale delle aziende, ma con minacce informatiche e aggressori sempre più sofisticati, è difficile proteggere le risorse più preziose. Inoltre, i dati sono più distribuiti che mai, e questo aggiunge un ulteriore livello di complessità. Alcune delle difficoltà che accompagnano il cambiamento sono le seguenti:

Le applicazioni cloud sono ottime per la collaborazione, ma hanno bisogno di dati per funzionare, e molte aziende non dispongono ancora di strumenti per controllare i dati su SaaS.
Gli utenti che lavorano da remoto devono poter accedere ai dati, indipendentemente dalla loro posizione.
Le app SaaS di collaborazione sono progettate per la condivisione dei dati, che vengono scambiati fra gli utenti a livelli mai visti prima e lontano dalla visibilità dei tradizionali controlli di sicurezza.
BYOD: con il lavoro da casa, gli utenti accedono ai dati da dispositivi che potrebbero non essere gestiti. Spesso questo accade in modo legittimo, ma, una volta che i file vengono scaricati sui dispositivi, il controllo su questi dati si perde.

Queste realtà complesse, insieme alle difficoltà riguardanti i dati, stanno portando le aziende a comprendere che i dati devono essere estratti dal data center e spostati sul cloud. Una piattaforma cloud SSE consente il controllo completo dei dati, sia di quelli in movimento che di quelli inattivi. Cloud DLP gestisce i dati in movimento, identificando e bloccando i contenuti sensibili. Abbinando la funzione DLP al CASB, è possibile ottenere lo stesso livello di sicurezza e controllo all'interno delle applicazioni SaaS: la condivisione pericolosa dei file può essere monitorata e prevenuta, e i dati sensibili sono controllati e protetti. Infine, una piattaforma SSE deve essere in grado di proteggere i dispositivi BYOD senza complessità. È fondamentale assicurarsi che la propria piattaforma SSE utilizzi l'isolamento del browser cloud, per garantire la visibilità dei dati nei dispositivi BYOD senza perderne il controllo.

Conclusione

Sebbene sia facile confonderlo con il SASE o considerarlo semplicemente l'ennesimo acronimo del nostro settore, il modello SSE presenta moltissimi benefici che le aziende dovrebbero tenere a mente. Una piattaforma SSE in cloud creata appositamente per affrontare queste sfide, che combina la potenza di SWG, CASB e ZTNA, è in grado di proteggere le aziende rilevando e mitigando minacce in continua evoluzione e connettendo e proteggendo gli utenti che lavorano da qualsiasi luogo, identificando e salvaguardando allo stesso tempo i dati sensibili.

Non perdere il capitolo conclusivo della nostra serie di articoli sul modello SSE, che spiegherà a cosa fare attenzione durante la scelta di una piattaforma cloud SSE.