Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per SASE

Cosa si intende per SASE (Secure Access Service Edge)?

Cosa si intende per SASE?

Il Secure Access Service Edge (SASE) è un framework definito da Gartner per connettere in modo sicuro utenti, sistemi e dispositivi endpoint ad applicazioni e servizi, indipendentemente dalla loro posizione. Il SASE quindi non è una sola tecnologia. Nel suo rapporto del 2019 dal titolo "The Future of Network Security is in the Cloud", Gartner definisce questo framework come una soluzione di sicurezza informatica con base cloud, "che combina le funzionalità WAN con le funzioni di sicurezza di rete (come SWG, CASB, FWaaSZTNA), per supportare le esigenze dinamiche di accesso sicuro delle aziende digitali".

Il SASE è diverso dal Security Service Edge (SSE), che Gartner definisce come un sottoinsieme del SASE, e che invece si concentra specificamente sui servizi di sicurezza necessari a una piattaforma SASE cloud.

 

Come funziona il SASE

L'architettura SASE combina una SD-WAN (Software-Defined Wide Area Network) o un'altra WAN con molteplici funzionalità di sicurezza (ad esempio, CASB e antimalware), proteggendo così il traffico di rete.

Gli approcci legacy all'ispezione e alla verifica, come l'inoltro del traffico attraverso un servizio MPLS (Multiprotocol Label Switching) ai firewall del data center, sono efficaci solo se anche gli utenti si trovano nella stessa posizione. Oggi, al contrario, con così tanti utenti che operano da sedi in remoto, home office e così via, questo "hairpinning" (e cioè l'inoltro del traffico degli utenti in remoto al data center per ispezionarlo e quindi inviarlo di nuovo indietro), tende a ridurre la produttività e a danneggiare l'esperienza dell'utente finale.

Il SASE è sicuro e diretto, e questo è ciò che lo distingue dalle soluzioni indipendenti e da altre strategie per la sicurezza della rete. Anziché fare affidamento sulla sicurezza del data center, il traffico proveniente dai dispositivi degli utenti viene ispezionato in un punto di presenza nelle vicinanze (il punto di applicazione) e da lì viene inviato alla rispettiva destinazione. In questo modo si ottiene un accesso più efficiente alle applicazioni e ai dati, il che rende questo approccio la soluzione migliore per proteggere la forza lavoro distribuita e i dati nel cloud.

Il SASE è solo un termine che va di moda?

Sebbene il SASE abbia attirato molta attenzione da parte di provider e media che si occupano di reti e sicurezza, ciò che lo rende interessante è il principio su cui si basa, secondo cui la sicurezza e le architetture di rete incentrate sul data center non sono più efficienti. Non si tratta quindi solo di una moda o di un accattivante slogan di marketing; al contrario, è un concetto che ha ricevuto un forte sostegno da parte del settore. Quindi, cosa rende una soluzione SASE di maggior valore rispetto alle soluzioni di sicurezza tradizionali della rete aziendale, in cui gli uffici sono collegati tramite reti private e il traffico viene instradato attraverso Secure Web Gateway e firewall?

Come sottolinea Gartner, i modelli tradizionali, in cui connettività e sicurezza si basano sul data center, dovrebbero focalizzarsi sull'identità di utenti e dispositivi. Secondo il report, nel mondo del lavoro digitale moderno, che ruota intorno alle soluzioni cloud, gli utenti, i dispositivi e le applicazioni per cui è richiesto l'accesso sicuro sono distribuiti ovunque. In altre parole, i flussi di lavoro, i modelli di traffico e i casi d'uso di oggi sono molto diversi rispetto a quando le reti hub-and-spoke sono state concepite. Ecco perché:

  • Il traffico utente si muove sempre più verso i servizi cloud piuttosto che verso i data center
  • Il lavoro viene eseguito sempre più spesso fuori dalla rete, invece che sulla rete.
  • Sempre più carichi di lavoro sono in esecuzione nei servizi cloud, e non nei data center
  • Si usano sempre più applicazioni SaaS rispetto a quelle ospitate localmente
  • Ci sono più dati sensibili sui servizi cloud che non sulla rete aziendale
Il perimetro di sicurezza non è più racchiuso in una scatola all'edge del data center, è ormai esteso e abbraccia qualsiasi luogo, pertanto l'azienda necessita di un'architettura SASE basata su policy e creata dinamicamente.
Gartner, The Future of Network Security Is in the Cloud; 30 agosto 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

 

I componenti del modello SASE

È possibile scomporre il SASE in sei elementi essenziali, relativi a funzionalità e tecnologie.

 

1. SD-WAN (Software-Defined Wide Area Network)

L'SD-WAN è un'architettura overlay che riduce la complessità e ottimizza l'esperienza utente selezionando il percorso migliore per il traffico verso Internet, le app cloud e il data center. Consente inoltre una rapida distribuzione di nuove app e servizi e favorisce la gestione delle policy da un gran numero di sedi distribuite.

 

2. Secure Web Gateway (SWG)

L'SWG impedisce al traffico Internet non protetto di entrare nella rete interna. Impedisce ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi con Internet, malware e altre minacce informatiche.

 

3. CASB (Cloud Access Security Broker)

I CASB garantiscono un utilizzo sicuro di app e servizi cloud, per prevenire perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità. Essi proteggono le app cloud, indipendentemente dal fatto che siano ospitate su cloud pubblici (IaaS), cloud privati o distribuite come servizio SaaS.

 

4. FWaaS (Firewall as a service)

I FWaaS, o firewall come servizio, aiutano a sostituire gli apparecchi firewall fisici con dei firewall cloud, che offrono le funzionalità avanzate dei firewall Layer 7/di nuova generazione (NGFW), tra cui controlli dell'accesso, come il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza DNS.

 

5. ZTNA (Zero Trust Network Access)

I prodotti e i servizi ZTNA offrono agli utenti in remoto un accesso sicuro alle app interne. Grazie al principio dell'accesso a privilegi minimi, nel modello zero trust l'attendibilità non viene mai riconosciuta automaticamente, e l'accesso viene concesso sulla base di policy granulari. Lo ZTNA offre agli utenti in remoto una connettività sicura, senza collocarli sulla rete o esporre le app a Internet.

 

6. Gestione centralizzata

La gestione di tutti questi componenti da un'unica console consente di superare molte delle sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy, e offre al contempo l'applicazione di policy coerenti in tutta l'organizzazione, ovunque gli utenti si connettano.

 

3 vantaggi del modello SASE

In che modo un'azienda può riuscire ad applicare controlli di accesso e sicurezza tenendo conto anche delle esigenze reali? È qui che entrano in gioco le piattaforme SASE, che includono funzionalità WAN (SD-WAN) e servizi di sicurezza completi. Il SASE in cloud offre vantaggi significativi alle aziende che mettono da parte la tradizionale infrastruttura on-premise della rete e della sicurezza, e permette di ottenere tutti i vantaggi dei servizi cloud, della mobilità e di altri aspetti della trasformazione digitale.

 

1. Il SASE riduce i costi e la complessità dell'IT

Mentre si adoperano per consentire l'accesso sicuro ai servizi cloud, proteggere utenti e dispositivi in remoto e colmare altre lacune nella loro sicurezza, le aziende sono state costrette ad adottare una vasta gamma di soluzioni per la sicurezza, incrementando così significativamente le spese e i costi di gestione. Nonostante questo, il modello on-premise di sicurezza della rete non è comunque efficace in un mondo digitale. Invece di cercare di utilizzare un concetto legacy per risolvere un problema moderno, il SASE rivoluziona l'approccio alla sicurezza. Il SASE non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. In base al concetto di edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza di un'organizzazione, questo approccio consente o nega in modo dinamico le connessioni ad applicazioni e servizi.

 

2. Il modello SASE offre un'esperienza utente rapida e senza interruzioni

Quando gli utenti erano sulla rete e l'IT gestiva del tutto le app e l'infrastruttura, l'esperienza utente era facile da controllare e prevedere. Oggi, anche negli ambienti multicloud distribuiti, molte aziende utilizzano comunque le VPN per connettere gli utenti alle loro reti e ottenere maggiore sicurezza. Tuttavia, le VPN offrono un'esperienza utente scadente ed estendono la superficie di attacco di un'organizzazione, esponendo gli indirizzi IP. In risposta a questa inefficienza, il SASE consente di ottimizzare le operazioni grazie all'applicazione della sicurezza in prossimità di ciò che deve essere protetto; quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, gestisce in modo intelligente le connessioni in corrispondenza degli Internet Exchange in tempo reale e ottimizza le connessioni alle applicazioni e ai servizi cloud, per garantire una bassa latenza.

 

3. Il SASE riduce i rischi

In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi della nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Definendo la sicurezza, che comprende la protezione dalle minacce e la prevenzione della perdita di dati (DLP), come un componente centrale del modello di connettività, e non come una funzione separata, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente da dove si connettano gli utenti, dalle app a cui devono accedere o dal tipo crittografia utilizzata. Un componente chiave dell'architettura SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori in remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.

Perché il SASE è un elemento chiave nella trasformazione digitale

La trasformazione digitale del business ha portato all'esigenza di maggiore agilità e scalabilità e di una riduzione della complessità. Le aziende si stanno rendendo conto di avere bisogno di fornire un accesso uniforme e sicuro a livello globale a dati, applicazioni e servizi aziendali, indipendentemente da dove si trovino gli utenti o da quali dispositivi stiano utilizzando. La soluzione SASE di Zscaler offre alle aziende un modello completamente nuovo per connettere utenti e dispositivi fornendo rapidità, flessibilità, semplicità e sicurezza. Con l'aiuto di un provider di servizi SASE nativo del cloud, le organizzazioni che adottano il SASE disporranno della velocità e dell'agilità necessarie per trasformarsi nel futuro del digitale.

Entro il 2024, almeno il 40% delle imprese avrà messo a punto strategie definitive per l'adozione del modello SASE; alla fine del 2018, questa percentuale non raggiungeva neppure l'1%.
Gartner, The Future of Network Security Is in the Cloud; 30 agosto 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

Zscaler e il modello SASE

Zscaler offre una soluzione SASE completa, creata per massimizzare prestazioni e scalabilità: Zero Trust Exchange™. In quanto basata su servizi automatizzati e forniti sul cloud, la nostra piattaforma è facile da distribuire e gestire; inoltre, grazie al fatto che è distribuita a livello globale, garantisce che gli utenti siano sempre a un passo dalle loro applicazioni. Nessun utente o applicazione viene ritenuto automaticamente attendibile; al contrario, prima che venga instaurata una connessione, il nostro motore delle policy definisce l'attendibilità determinando i livelli appropriati di accesso e le restrizioni in base all'utente, al dispositivo, all'applicazione, alla posizione e ai contenuti, per garantire la sicurezza degli utenti e dei dati.

un grafico che mostra i vantaggi di una piattaforma SASE con base cloud per le aziende

Cosa contraddistingue il nostro SASE

  • Un'architettura nativa del cloud e multitenant, in grado di adattare le prestazioni dinamicamente in base alla richiesta
  • Un'architettura proxy, per un'ispezione completa del traffico criptato su larga scala
  • Sicurezza e policy sono più vicine agli utenti, per eliminare il backhauling inutile
  • ZTNA (Zero Trust Network Access) per limitare l'accesso e fornire una segmentazione nativa delle applicazioni
  • L'azzeramento della superficie di attacco impedisce gli attacchi mirati, perché le reti di origine e le identità non vengono esposte a Internet

Attraverso il peering con centinaia di partner nei principali Internet Exchange in tutto il mondo, offre agli utenti prestazioni ottimali e affidabilità.