Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per Firewall as a Service?

Cosa si intende per Firewall as a Service?

Definizione di Firewall as a Service

Un Firewall as a service (FWaaS) è una soluzione di sicurezza basata su un firewall cloud che offre funzionalità avanzate di Layer 7/firewall di nuova generazione (NGFW), tra cui controlli degli accessi, come il filtraggio degli URL, prevenzione delle minacce avanzate, sistemi di prevenzione delle intrusioni (IPS) e sicurezza del DNS.

Il concetto di FWaaS non è semplicemente la virtualizzazione di un apparecchio firewall di rete. Un FWaaS consente alle organizzazioni di eliminare gli apparecchi firewall, semplificare l'infrastruttura IT e migliorare la sicurezza informatica generale. Con un FWaaS, la gestione viene centralizzata in un'unica console, così le organizzazioni possono superare le sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle finestre di interruzione e alla gestione delle policy associate agli apparecchi NGFW, offrendo al contempo policy uniformi in tutta l'organizzazione, ovunque si trovino gli utenti.

 

Qual è la differenza tra un FWaaS e un normale firewall?

I firewall tradizionali on-premise sono stati progettati e programmati per ispezionare il traffico di rete degli uffici aziendali. Come suggerisce il nome, un FWaaS viene fornito tramite il cloud; la differenza principale tra i due è che i firewall on-premise faticano a scalare e ad adattarsi alle mutevoli esigenze della rete e a un panorama di minacce in costante evoluzione. Un FWaaS, invece, è nativo del cloud, e può fare entrambe le cose, offrendo alle organizzazioni uno strumento molto più utile per la protezione dei dati, la sicurezza degli endpoint e l'esecuzione di ispezioni approfondite della sicurezza.

In passato, quando le aziende operavano solo dagli uffici, i firewall tradizionali offrivano una sicurezza di rete adeguata. Dato che la portata delle minacce era limitata agli uffici aziendali, dove i dipendenti si trovavano per il 99% del tempo, non era necessario che i team di sicurezza e IT estendessero i servizi di un firewall oltre il sito di installazione.

Oggi, sempre più organizzazioni sfruttano servizi cloud come SaaS; inoltre, con gli endpoint distribuiti ovunque e le nuove minacce che emergono continuamente, i firewall non possono più risiedere nel data center. Devono essere collocati sul cloud e adattare le proprie prestazioni per proteggere le risorse e i dipendenti, ovunque.

 

L'ascesa dei FWaaS

Il backhauling del traffico verso un NGFW situato in un data center aziendale o regionale aveva senso quando le applicazioni risiedevano in questi data center e la maggior parte dei lavoratori operava dall'ufficio. Tuttavia, man mano che le applicazioni hanno iniziato a uscire dal data center e a spostarsi sul cloud, e con la crescita delle filiali e del lavoro da remoto, gli NGFW si sono rivelati del tutto inefficaci.

Inoltre, quando la pandemia di COVID-19 ha costretto i lavoratori a uscire dalla rete aziendale e a connettersi da altri luoghi, gli approcci tradizionali alla rete e alla sicurezza, compreso quello rappresentato dall'NGFW, sono diventati insufficienti. Questo perché gli NGFW, proprio come gli altri apparecchi fisici, non sono mai stati concepiti per il cloud.

Non basta semplicemente trasferire gli strumenti e le funzionalità di sicurezza tradizionali e attivarli sul cloud. È necessario assicurarsi di avere a disposizione la tecnologia giusta.
Frederick Janssen, VP of Global IT Infrastructure Portfolio, Siemens

FWaaS e NGFW a confronto

Le applicazioni cloud, come Salesforce e Microsoft 365, sono state progettate per l'accesso diretto tramite Internet. Il traffico Internet deve quindi essere instradato localmente per assicurare un'esperienza utente veloce. Instradare il traffico verso gli NGFW nei data center aziendali, per poi farlo uscire su Internet, non ha più senso.

Ciononostante, applicare un approccio di sicurezza tradizionale ai punti di accesso a Internet locali significherebbe replicare il set di servizi di sicurezza aziendale in ogni posizione. Questo richiederebbe la distribuzione di NGFW o di set di servizi di sicurezza in ogni filiale, un'opzione semplicemente non praticabile a causa dei costi e della complessità della relativa distribuzione e gestione.

È bene ripeterlo: gli NGFW non sono mai stati progettati per supportare le applicazioni cloud. Gli NGFW vengono facilmente sopraffatti dalle app cloud, perché non sono in grado di garantire la scalabilità necessaria per supportare l'elevato volume di connessioni di lunga durata generato da queste app. Inoltre, non sono in grado di gestire in modo nativo il traffico criptato con SSL, un aspetto sempre più importante, vista la sua crescita esponenziale negli ultimi anni.

Per eseguire l'ispezione SSL, gli NGFW devono ricorrere a funzionalità proxy che eseguono l'ispezione SSL nel software anziché a livello di chip, con un impatto significativo sulle prestazioni e un'esperienza utente scadente.

Le soluzioni FWaaS sono perfettamente in grado di eseguire funzionalità come l'ispezione avanzata dei pacchetti, e sono molto più adatti a prevenire la perdita di dati, perché sono nativi del cloud. In quanto soluzione nativa del cloud, un FWaaS consente alle organizzazioni di scalare la propria sicurezza sfruttando modalità impraticabili per gli NGFW, anche se i provider di firewall di nuova generazione diranno altrimenti. Nella maggior parte dei casi, le loro soluzioni di sicurezza consistono in realtà di apparecchi firewall virtualizzati, che possono agire come dei buoni buffer, ma che non sono stati sviluppati per supportare la sicurezza sul cloud a lungo termine e la forza lavoro ibrida.

 

Perché le aziende hanno bisogno di un FWaaS?

Anche quando le aziende si rivolgono a provider di infrastrutture cloud, come AWS, per aumentare la scalabilità, devono comunque fornire funzionalità firewall di livello aziendale a tutta l'organizzazione, per tutti gli utenti e in tutte le sedi. Purtroppo, gli NGFW sono stati progettati più di dieci anni fa e non sono stati concepiti per supportare le applicazioni cloud o i requisiti dinamici del cloud computing in generale. Le loro controparti, i firewall virtuali, presentano molte delle limitazioni e sfide degli apparecchi NGFW tradizionali, e per questo la loro efficacia contro gli attacchi informatici moderni è ridotta. È quindi logico che i firewall seguano le applicazioni sul cloud.

 

Come funziona un FWaaS?

Un FWaaS consente alle organizzazioni di creare punti di accesso locali sicuri per tutte le applicazioni, senza apparecchi di sicurezza da acquistare, distribuire o gestire. Le funzionalità di sicurezza, incluso il firewall completo Layer 7, vengono fornite sotto forma di servizio cloud scalabile in modo elastico, per gestire l'ispezione SSL, l'incremento della larghezza di banda e della domanda degli utenti e il traffico delle applicazioni cloud con connessioni di lunga durata.

La gestione centralizzata da un'unica console consente alle organizzazioni di offrire una protezione identica a qualsiasi utente, su qualsiasi dispositivo e in qualsiasi posizione, sia che si trovi presso l'ufficio aziendale, una filiale locale o che lavori da casa.

Firewall di nuova generazione e IPS fanno parte del passato?

Ascolta il webinar
Guarda il webinar

Semplifica la trasformazione della rete grazie a Zscaler Cloud Firewall

Leggi l'eBook
Leggi l'eBook

Firewall cloud di nuova generazione di Zscaler

Guarda il video
Guarda il video

I vantaggi di un FWaaS

Un FWaaS offre molteplici vantaggi rispetto agli NGFW, tra cui:

  • Un'architettura basata su proxy: questo modello ispeziona dinamicamente il traffico per tutti gli utenti, le applicazioni, i dispositivi e le posizioni. Ispeziona in modo nativo il traffico SSL/TLS adattandosi alla domanda per rilevare i malware nascosti nel traffico criptato, e consente di applicare policy granulari per i firewall su più livelli, in base ad app di rete, app cloud, nome di dominio completo (FQDN) e URL.
  • IPS cloud: un sistema di prevenzione delle intrusioni (IPS) con base cloud offre protezione e copertura dalle minacce sempre attive, indipendentemente dal tipo di connessione o dalla posizione. Ispeziona tutto il traffico degli utenti all'interno e all'esterno della rete, compreso il traffico SSL difficile da monitorare, per ripristinare la piena visibilità su utenti, app e connessioni a Internet.
  • Sicurezza e controllo del DNS: come prima linea di difesa, un firewall con base cloud protegge gli utenti impedendo loro di raggiungere domini dannosi. Ottimizza la risoluzione DNS per fornire un'esperienza utente migliore e prestazioni ottimali con le applicazioni cloud, un aspetto fondamentale, specialmente per le app basate su CDN. Fornisce inoltre controlli granulari per rilevare e prevenire il tunneling del DNS.
  • Visibilità e gestione semplificata: un firewall con base cloud offre in tempo reale visibilità, controllo e l'applicazione immediata delle policy in tutta la piattaforma. Registra ogni sessione nel dettaglio e utilizza analisi avanzate per correlare gli eventi e fornire informazioni utili sulle minacce e sulle vulnerabilità per tutti gli utenti, le applicazioni, le API e le posizioni da un'unica console.
  • Supporto dello zero trust: quando si tratta di sicurezza sul cloud, non esiste un'opzione migliore di un'architettura zero trust. Sfruttando un FWaaS nell'ambito di una strategia zero trust, è possibile portare le policy di sicurezza agli utenti sui loro endpoint, in linea con il framework SASE (Secure Access Service Edge), un requisito indispensabile nell'era del lavoro da remoto. Inoltre, lo zero trust riduce la latenza, eliminando la necessità di accedere alla rete.

Ora che abbiamo stabilito che un FWaaS può migliorare il profilo di sicurezza, la prossima domanda potrebbe essere: "Come si procede verso l'adozione di un FWaaS?". È bene essere prudenti. Quando si tratta di FWaaS, sono molti i provider di servizi che offrono una protezione migliorata per dati, endpoint, cloud e IoT, ma c'è solo un fornitore che ha creato il proprio firewall sul cloud, per il cloud, e si tratta di Zscaler.

 

Ecco cosa può fare Zscaler Cloud Firewall

Zscaler Cloud Firewall, parte della soluzione integrata Zero Trust Exchange™ di Zscaler, offre controlli firewall di nuova generazione e una sicurezza avanzata a tutti gli utenti, in tutte le sedi, per tutte le porte e i protocolli. Inoltre, consente di creare punti di accesso a Internet locali, veloci e sicuri, e in quanto soluzione cloud al 100%, non richiede l'acquisto, la distribuzione o la gestione di hardware.

Gli NGFW ti obbligano a occuparti di innumerevoli funzionalità di sicurezza, creando un profilo complessivamente rigido e debole. Zscaler Cloud Firewall consente di:

  • Definire e applicare immediatamente policy granulari per i firewall
  • Passare dalla visibilità globale a informazioni di intelligence concrete in pochi secondi
  • Offri ai tuoi utenti l'IPS sempre attivo

Scopri la differenza

Spostare i firewall e la sicurezza sul cloud è la soluzione giusta? Richiedi una dimostrazione per scoprire in che modo il firewall cloud fornito come servizio può offrire maggiore sicurezza e agilità alla tua organizzazione. 

 

Risorse aggiuntive: