Presentazione di Zero Trust SASE

L'evoluzione del lavoro e dell'IT

Gli ambienti di lavoro sono in rapida evoluzione, e il lavoro ibrido è diventato la nuova normalità. Le architetture di rete legacy sono state progettate attorno a un modello di lavoro statico, in cui gli utenti operavano da postazioni fisse. Le filiali di oggi hanno un aspetto molto diverso, e possono includere scrivanie di hotel, spazi di coworking, forza lavoro mobile e connettività incentrata su Internet. Se le filiali continuano a evolversi, deve evolversi anche l'infrastruttura di rete utilizzata per collegarle: non esiste più una soluzione unica adatta a tutti.

Le reti legacy introducono rischi e complessità

Il modello tradizionale di connettività è prevalentemente incentrato sulla rete: utenti, dispositivi e server si connettono a una rete, e quest'ultima garantisce l'accesso a tutti gli altri dispositivi presenti su di essa. Questo modello si basa fortemente sull'attendibilità implicita, la quale prevede che qualsiasi dispositivo possa comunicare con qualsiasi altro dispositivo o server; questo consente il movimento laterale di minacce e attacchi come i ransomware. 

La connettività incentrata sulla rete richiede inoltre l'estensione di quest'ultima ai cloud pubblici e agli utenti terzi utilizzando tunnel VPN che possono estendere la superficie di attacco a infrastrutture su cui non si ha un controllo diretto. Con la proliferazione dei dispositivi IoT nelle organizzazioni, la gestione delle superfici di attacco diventa sempre più complessa. Inoltre, affidarsi a overlay di routing e protocolli di routing tradizionali accresce ulteriormente la complessità delle reti.

La SD-WAN tradizionale non è zero trust

Anche le SD-WAN adottano un approccio incentrato sulla rete e creano overlay instradati utilizzando tunnel VPN site-to-site e protocolli di routing. Sebbene consentano alle organizzazioni di abbandonare le costose reti MPLS e risolvere molte sfide operative, esse introducono anche rischi per la sicurezza, in quanto facilitano il movimento laterale. Il controllo di questi rischi richiede una segmentazione basata sulla rete, che spesso rende necessari ulteriori dispositivi firewall in filiale e complesse policy di sicurezza basate sulla rete.

Lo zero trust è una strategia di sicurezza informatica che presuppone che nessuna entità sia automaticamente attendibile e che consente l'accesso solo a determinate risorse in base all'identità, al contesto e al profilo di sicurezza. Si tratta quindi di un modello totalmente contrapposto a quello delle reti tradizionali. Possiamo limitare l'attendibilità insita nelle reti tradizionali attraverso tecniche come la segmentazione e il controllo degli accessi, ma questi approcci possono accrescere significativamente la complessità.

È ora di adottare un nuovo approccio basato sui principi dello zero trust.

Presentazione della SD-WAN Zero Trust

Precedentemente, ho annunciato i nostri dispositivi Branch Connector per connettere le filiali tramite Zero Trust Exchange. Oggi, sono entusiasta di annunciare Zero Trust SD-WAN, la prima soluzione zero trust del settore per connettere in modo sicuro filiali, stabilimenti produttivi, ospedali, punti vendita e data center, che elimina i rischi per la sicurezza generati dalle SD-WAN tradizionali. Utilizzando macchine virtuali leggere o dispositivi plug & play abbinati a Zscaler Zero Trust Exchange, Zero Trust SD-WAN fornisce un networking zero trust sicuro, in entrata e in uscita e per tutte le sedi, senza routing di overlay, dispositivi firewall aggiuntivi o policy incoerenti. Completamente integrato nella nostra piattaforma SSE leader del settore, il servizio Zero Trust SD-WAN garantisce una sicurezza robusta e semplifica la gestione della rete delle filiali.

Siamo inoltre lieti di annunciare la disponibilità dei nostri dispositivi plug & play Z-Connector: ZT 400, ZT 600 e ZT 800. Oltre a essere macchine virtuali leggere, questi dispositivi sono in grado di supportare un'ampia varietà di requisiti dei clienti, che vanno da 200 Mbps a multi-gigabit. Grazie a modelli di configurazione predefiniti e al provisioning zero touch, la distribuzione in una nuova filiale può essere semplice come avviare una connessione a Internet.

Nuove funzionalità gateway

La soluzione SD-WAN Zero Trust può essere distribuita in due modalità: come Forwarder o come Gateway. La modalità Forwarder consente ai clienti con soluzioni WAN esistenti di implementare un overlay zero trust distribuendo i dispositivi Z-Connector accanto ai router e agli switch esistenti. Il traffico rilevante può quindi essere indirizzato agli Z-Connector tramite la risoluzione DNS condizionale o il routing basato su policy.

La modalità Gateway invece interrompe la connessione ISP direttamente sul dispositivo Z-Connector, eliminando la necessità di router o firewall aggiuntivi. Z-Connector agisce quindi da gateway predefinito per quella sede e inoltra tutto il traffico a Zscaler Zero Trust Exchange, che fornisce una connettività sicura a Internet, SaaS e applicazioni private.

La modalità Gateway supporta funzionalità avanzate di gestione WAN e LAN, tra cui terminazione dual ISP, selezione del percorso sensibile alle app con monitoraggio dell'ISP, alta disponibilità (attivo-attivo, attivo-passivo), più sottoreti LAN, firewall locale, server DHCP integrato e gateway DNS.

Le funzionalità Gateway di Zero Trust SD-WAN saranno disponibili a partire da febbraio 2024.

La SD-WAN Zero Trust riduce la complessità e i rischi

La SD-WAN Zero Trust risolve molte sfide critiche dei nostri clienti. Ecco alcuni casi d'uso:

1. Sostituzione delle VPN site-to-site: evita di configurare VPN complesse e gestire tabelle di routing ed elimina il rischio associato al movimento laterale delle minacce.
2. Accelerazione delle integrazioni di fusioni e acquisizioni: connetti trasversalmente gli utenti alle app delle diverse organizzazioni senza unire i domini di routing o distribuire gateway NAT, e riduci la tempistica dell'integrazione da mesi a giorni.
3. Connettività OT sicura: elimina le VPN e le porte esposte per consentire l'accesso remoto dei fornitori alle risorse OT.
4. Rilevamento e classificazione dell'IoT: rileva e proteggi i dispositivi IoT sulla rete con motori di classificazione basati sull'IA

Per saperne di più su questi casi d'uso, leggi il nostro articolo di blog su come portare lo zero trust nelle filiali.

La prima piattaforma SASE del settore basata sullo zero trust

Secure Access Service Edge (SASE) è un termine coniato da Gartner per descrivere la convergenza tra rete e sicurezza affinché si allineino con l'infrastruttura IT e i modelli di lavoro moderni. Il SASE adotta i principi dello zero trust, ma bisogna ricordare che molte soluzioni SASE sul mercato si limitano semplicemente a collegare la SD-WAN tradizionale a un servizio SSE; così facendo, i principi dello zero trust vengono applicati solamente all'accesso da utente ad app. Questo modello lascia comunque le sedi esposte a causa dell'attendibilità implicita che viene attribuita in modo troppo permissivo.

Con l'introduzione della SD-WAN Zero Trust, Zscaler è orgogliosa di poter offrire la prima piattaforma SASE single-vendor del settore basata sullo zero trust e sull'IA. Zero Trust SASE consente alle organizzazioni di estendere lo zero trust al di là degli utenti, per raggiungere filiali, stabilimenti produttivi e data center. Fondato sui punti di forza della nostra piattaforma SSE Zero Trust Exchange, il servizio Zero Trust SASE consente di ridurre i costi e la complessità, eliminando le soluzioni tradizionali per la sicurezza e la rete.

Trasforma le reti delle tue filiali

Le architetture WAN legacy non sono più efficienti. Le rivoluzioni che hanno interessato il settore, dal lavoro ibrido alla sicurezza zero trust, rappresentano un'opportunità unica per ripensare e trasformare l'architettura di rete. La SD-WAN Zero Trust e il modello SASE adottano un approccio radicalmente diverso per connettere utenti, dispositivi e app senza il rischio di subire il movimento laterale delle minacce.

Visita la nostra pagina sul SASE per ulteriori informazioni, white paper e video sui prodotti, oppure leggi di più sulle funzionalità della SD-WAN Zero Trust qui.