Cosa si intende per SASE (Secure Access Service Edge)? Il SASE (Secure Access Service Edge) è un framework per l'architettura di rete che unisce le tecnologie di sicurezza native del cloud, in particolare SWG, CASB, ZTNA e FWaaS, alle funzionalità della WAN (Wide Area Network), per connettere in modo sicuro utenti, sistemi ed endpoint ad applicazioni e servizi in ogni luogo. Per supportare le operazioni agili di oggi, queste funzionalità vengono fornite come servizio sul cloud e possono essere gestite in modo centralizzato.

Cosa significa SASE?

Il termine SASE indica l'intera architettura e non una tecnologia specifica. Nel suo report del 2019 dal titolo "The Future of Network Security is in the Cloud", Gartner definisce questo framework come una soluzione di sicurezza informatica con base cloud che combina in modo completo le funzionalità della WAN con le funzioni di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA) per supportare le esigenze di accesso sicuro e dinamico delle aziende digitali.

Il SASE è diverso dal Security Service Edge (SSE), che viene definito da Gartner come un sottoinsieme del SASE che si concentra specificamente sui servizi di sicurezza necessari per una piattaforma SASE sul cloud.

Come funziona il SASE?

L'architettura SASE combina una SD-WAN (Software-Defined Wide Area Network) o un'altra WAN con molteplici funzionalità di sicurezza (ad esempio, CASB e antimalware) per proteggere il traffico di rete.

Gli approcci legacy all'ispezione e alla verifica, come l'inoltro del traffico attraverso un servizio MPLS (Multiprotocol Label Switching) ai firewall del data center, sono efficaci solo se anche gli utenti si trovano nella stessa posizione. Oggi, al contrario, con così tanti utenti che operano da sedi in remoto, uffici domestici e così via, questo "hairpinning" (l'inoltro del traffico degli utenti in remoto al data center per ispezionarlo e quindi inviarlo di nuovo indietro), tende a ridurre la produttività e a danneggiare l'esperienza dell'utente finale.

Il SASE è sicuro e diretto, e questo è ciò che lo distingue dalle soluzioni indipendenti e da altre strategie per la sicurezza della rete. Anziché fare affidamento sulla sicurezza del data center, il traffico proveniente dai dispositivi degli utenti viene ispezionato in un punto di presenza nelle vicinanze (il punto di applicazione) e da lì viene inviato alla rispettiva destinazione. In questo modo si ottiene un accesso più efficiente alle applicazioni e ai dati, il che rende questo approccio la soluzione migliore per proteggere la forza lavoro distribuita e i dati nel cloud.

Il SASE è solo marketing?

Il SASE ha attirato molta attenzione da parte dei provider e dei media che si occupano di reti e sicurezza, ma ciò che lo rende più interessante è il principio su cui si basa, secondo cui la sicurezza e le architetture di rete incentrate sul data center non sono più efficienti. Non si tratta quindi solo di un accattivante slogan di marketing; al contrario, è un concetto che ha ricevuto un forte sostegno da parte del settore.

Quindi, cosa contraddistingue una soluzione SASE dalle tradizionali soluzioni di sicurezza della rete aziendale, in cui gli uffici sono collegati tramite reti private e il traffico viene instradato attraverso Secure Web Gateway e firewall?

Come sottolinea Gartner, i modelli tradizionali, in cui connettività e sicurezza si basano sul data center, dovrebbero invece focalizzarsi sull'identità di utenti e dispositivi. Secondo il report, nel mondo del lavoro digitale moderno, che ruota intorno alle soluzioni cloud, gli utenti, i dispositivi e le applicazioni per cui è richiesto l'accesso sicuro sono distribuiti ovunque.

In altre parole, i flussi di lavoro, i modelli di traffico e i casi d'uso di oggi sono molto diversi rispetto a quando le reti hub-and-spoke sono state concepite. Questo perché:

• Il traffico degli utenti si muove sempre più spesso verso i servizi cloud e non verso i data center
• Il lavoro viene eseguito sempre più spesso fuori dalla rete, invece che sulla rete
• Sempre più carichi di lavoro sono in esecuzione nei servizi cloud e non nei data center
• Si usano sempre più applicazioni SaaS rispetto a quelle ospitate localmente
• Ci sono più dati sensibili sui servizi cloud che non sulla rete aziendale

I componenti del modello SASE

Il SASE può essere suddiviso in sei elementi essenziali in base alle relative funzionalità e tecnologie:

1. SD-WAN (Software-Defined Wide Area Network)

La SD-WAN è un'architettura in overlay che riduce la complessità e ottimizza l'esperienza utente, selezionando il percorso migliore per consentire al traffico di raggiungere Internet, le app cloud e il data center. Consente inoltre di distribuire rapidamente nuove app e servizi e permette di gestire agevolmente le policy da un numero elevato di sedi diverse.

2. SWG (Secure Web Gateway)

Gli SWG impediscono al traffico Internet non sicuro di entrare nella rete interna. Inoltre, impediscono ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi da Internet, malware e altre minacce informatiche.

3. CASB (Cloud Access Security Broker)

I CASB prevengono perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità, garantendo un utilizzo sicuro delle app e dei servizi cloud. Essi proteggono le app cloud ospitate su cloud pubblici (IaaS), cloud privati o distribuite come servizi SaaS.

4. FWaaS (Firewall as a service)

I firewall come servizio (FWaaS) aiutano a sostituire gli apparecchi firewall fisici con firewall cloud, che offrono le funzionalità avanzate dei firewall Layer 7/di nuova generazione (NGFW), tra cui controlli degli accessi, come il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza del DNS.

5. ZTNA (Zero Trust Network Access)

I prodotti e i servizi ZTNA offrono agli utenti in remoto un accesso sicuro alle app interne. In un modello zero trust, l'attendibilità non viene mai riconosciuta automaticamente, e l'accesso a privilegi minimi viene concesso sulla base di policy granulari. Lo ZTNA offre agli utenti in remoto una connettività sicura senza collocarli sulla rete o esporre le app a Internet.

6. Gestione centralizzata

La gestione di tutti questi componenti da un'unica console consente di superare molte delle sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy, e permette di applicare queste ultime in modo uniforme in tutta l'organizzazione, ovunque siano gli utenti.

3 vantaggi del modello SASE

In che modo un'azienda può riuscire ad applicare controlli di accesso e sicurezza tenendo conto di queste realtà comuni? È qui che entrano in gioco le piattaforme SASE, che includono funzionalità WAN (SD-WAN) e servizi di sicurezza completi. Il SASE con base cloud offre vantaggi significativi alle organizzazioni che mettono da parte la tradizionale infrastruttura on-premise della rete e della sicurezza, e permette loro di sfruttare appieno tutti i benefici dei servizi cloud, della mobilità e di altri aspetti della trasformazione digitale.

1. Riduzione dei costi e della complessità dell'IT

Mentre si adoperano per consentire l'accesso sicuro ai servizi cloud, proteggere utenti e dispositivi in remoto e colmare altre lacune nella loro sicurezza, le organizzazioni si ritrovano ad adottare una vasta gamma di soluzioni per la sicurezza, incrementando così le spese e i costi di gestione. Nonostante questo, il modello on-premise di sicurezza della rete non è comunque efficace in un mondo digitale.

Invece di cercare di utilizzare un concetto legacy per risolvere un problema moderno, il SASE rivoluziona l'approccio alla sicurezza. Non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. Basati sul concetto dell'edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza di un'organizzazione, questo approccio consente o nega in modo dinamico le connessioni ad applicazioni e servizi.

2. Esperienza utente rapida e fluida

Quando gli utenti erano sulla rete e l'IT gestiva del tutto le app e l'infrastruttura, l'esperienza utente era facile da controllare e prevedere. Oggi, anche negli ambienti multicloud distribuiti, molte aziende utilizzano comunque le VPN per connettere gli utenti alle loro reti e ottenere maggiore sicurezza. Tuttavia, le VPN offrono un'esperienza utente scadente ed estendono la superficie di attacco di un'organizzazione, esponendo gli indirizzi IP.

In risposta a questa inefficienza, il SASE consente di ottimizzare le operazioni grazie all'applicazione della sicurezza in prossimità di ciò che deve essere protetto: quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, in quanto gestisce in modo intelligente e in tempo reale le connessioni in corrispondenza degli Internet Exchange e ottimizza le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.

3. Riduzione del rischio

In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi insiti nella nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Collocando la sicurezza, tra cui la protezione dalle minacce e la prevenzione della perdita di dati (DLP), al centro del modello di connettività, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente dalla posizione, dall'app o dalla crittografia.

Un componente chiave dell'architettura SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori da remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.

Perché il SASE è necessario?

La trasformazione digitale del business richiede maggiore agilità e scalabilità, una riduzione della complessità e una sicurezza migliore. Inoltre, le aziende moderne devono poter garantire ai propri utenti esperienze di utilizzo ottimali, ovunque questi si trovino.

Queste circostanze hanno reso il SASE una necessità, non più un optional. Ecco perché:

• Il SASE si adatta alla crescita del business: quando l'azienda cresce, sia la rete che la sicurezza devono essere in grado di gestire il conseguente aumento della domanda. Il SASE garantisce scalabilità al business, alla rete e alla sicurezza attraverso il modello di distribuzione sul cloud.
• Il SASE favorisce il lavoro da qualsiasi luogo: le architetture hub-and-spoke tradizionali non sono in grado di tollerare la larghezza di banda necessaria per offrire ai dipendenti in remoto la flessibilità di cui hanno bisogno per rimanere produttivi. Il SASE invece sì, e lo fa offrendo una sicurezza di livello aziendale, che copre tutti gli utenti e i dispositivi, in qualsiasi luogo.
• Il SASE risponde all'evoluzione delle minacce informatiche: i team addetti alla sicurezza sono costantemente in azione per contrastare le minacce più recenti. Il SASE li agevola fornendo loro una sicurezza e una semplicità di gestione di livello superiore, e offrendo loro la possibilità di gestire le minacce avanzate, da qualsiasi luogo esse provengano.
• Il SASE è la base per l'adozione dell'IoT: l'IoT, o Internet delle cose, si sta rivelando una risorsa utile per le aziende di tutto il mondo, ma per adottare efficacemente questa tecnologia e le sue funzionalità, è necessaria costruirne l'ecosistema su una solida piattaforma. Il SASE permette di raggiungere i propri obiettivi con l'IoT grazie a una connettività e una sicurezza senza precedenti.

Tutti questi fattori hanno portato i provider di servizi di rete e sicurezza ad accozzare le proprie versioni di un'architettura SASE, e molti di essi sostengono di aver progettato un prodotto distribuito sul cloud, ma in realtà in molti casi si tratta solo di piattaforme cloud basate su hardware legacy.

Solo un fornitore è in grado di offrire un modello SASE realmente distribuito sul cloud. Perché? Perché abbiamo creato la nostra piattaforma sul cloud e per il cloud.

SASE di Zscaler

Zscaler Zero Trust Exchange™ è la nostra soluzione SASE, che offre alle organizzazioni un modello rapido, flessibile, semplice e sicuro per connettere utenti e dispositivi. La nostra piattaforma è facile da distribuire e gestire, perché è un servizio automatizzato e fornito sul cloud; inoltre, grazie al fatto che è distribuita a livello globale, gli utenti saranno sempre a un passo dalle loro applicazioni.

Ecco cosa contraddistingue la nostra soluzione SASE:

• Un'architettura nativa del cloud e multitenant, in grado di adattare le prestazioni dinamicamente in base alla richiesta
• Un'architettura proxy, per un'ispezione completa del traffico criptato su larga scala
• Sicurezza e policy sono più vicine agli utenti, per eliminare il backhauling inutile
• Lo ZTNA (Zero Trust Network Access), che limita l'accesso e fornisce una segmentazione nativa delle applicazioni
• L'azzeramento della superficie di attacco impedisce gli attacchi mirati, perché le reti di origine e le identità non vengono esposte a Internet

Attraverso il peering con centinaia di partner nei principali scambi Internet di tutto il mondo, Zero Trust Exchange offre prestazioni e affidabilità ottimali agli utenti.