Vuoi provarlo in prima persona? Scopri di più sulla nostra soluzione SASE e su come può aiutare la tua azienda.
Il termine SASE indica l'intera architettura e non una tecnologia specifica. Nel suo report del 2019 dal titolo "The Future of Network Security is in the Cloud", Gartner definisce questo framework come una soluzione di sicurezza informatica con base cloud che combina in modo completo le funzionalità della WAN con le funzioni di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA) per supportare le esigenze di accesso sicuro e dinamico delle aziende digitali.
Il SASE è diverso dal Security Service Edge (SSE), che viene definito da Gartner come un sottoinsieme del SASE che si concentra specificamente sui servizi di sicurezza necessari per una piattaforma SASE sul cloud.
L'architettura SASE combina una SD-WAN (Software-Defined Wide Area Network) o un'altra WAN con molteplici funzionalità di sicurezza (ad esempio, CASB e antimalware) per proteggere il traffico di rete.
Gli approcci legacy all'ispezione e alla verifica, come l'inoltro del traffico attraverso un servizio MPLS (Multiprotocol Label Switching) ai firewall del data center, sono efficaci solo se anche gli utenti si trovano nella stessa posizione. Oggi, al contrario, con così tanti utenti che operano da sedi in remoto, uffici domestici e così via, questo "hairpinning" (l'inoltro del traffico degli utenti in remoto al data center per ispezionarlo e quindi inviarlo di nuovo indietro), tende a ridurre la produttività e a danneggiare l'esperienza dell'utente finale.
Il SASE è sicuro e diretto, e questo è ciò che lo distingue dalle soluzioni indipendenti e da altre strategie per la sicurezza della rete. Anziché fare affidamento sulla sicurezza del data center, il traffico proveniente dai dispositivi degli utenti viene ispezionato in un punto di presenza nelle vicinanze (il punto di applicazione) e da lì viene inviato alla rispettiva destinazione. In questo modo si ottiene un accesso più efficiente alle applicazioni e ai dati, il che rende questo approccio la soluzione migliore per proteggere la forza lavoro distribuita e i dati nel cloud.
Il SASE ha attirato molta attenzione da parte dei provider e dei media che si occupano di reti e sicurezza, ma ciò che lo rende più interessante è il principio su cui si basa, secondo cui la sicurezza e le architetture di rete incentrate sul data center non sono più efficienti. Non si tratta quindi solo di un accattivante slogan di marketing; al contrario, è un concetto che ha ricevuto un forte sostegno da parte del settore.
Quindi, cosa contraddistingue una soluzione SASE dalle tradizionali soluzioni di sicurezza della rete aziendale, in cui gli uffici sono collegati tramite reti private e il traffico viene instradato attraverso Secure Web Gateway e firewall?
Come sottolinea Gartner, i modelli tradizionali, in cui connettività e sicurezza si basano sul data center, dovrebbero invece focalizzarsi sull'identità di utenti e dispositivi. Secondo il report, nel mondo del lavoro digitale moderno, che ruota intorno alle soluzioni cloud, gli utenti, i dispositivi e le applicazioni per cui è richiesto l'accesso sicuro sono distribuiti ovunque.
In altre parole, i flussi di lavoro, i modelli di traffico e i casi d'uso di oggi sono molto diversi rispetto a quando le reti hub-and-spoke sono state concepite. Questo perché:
Gartner, The Future of Network Security Is in the Cloud, 30 agosto 2019, Lawrence Orans, Joe Skorupa, Neil MacDonald
Il SASE può essere suddiviso in sei elementi essenziali in base alle relative funzionalità e tecnologie:
1. SD-WAN (Software-Defined Wide Area Network)
La SD-WAN è un'architettura in overlay che riduce la complessità e ottimizza l'esperienza utente, selezionando il percorso migliore per consentire al traffico di raggiungere Internet, le app cloud e il data center. Consente inoltre di distribuire rapidamente nuove app e servizi e permette di gestire agevolmente le policy da un numero elevato di sedi diverse.
2. SWG (Secure Web Gateway)
Gli SWG impediscono al traffico Internet non sicuro di entrare nella rete interna. Inoltre, impediscono ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi da Internet, malware e altre minacce informatiche.
3. CASB (Cloud Access Security Broker)
I CASB prevengono perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità, garantendo un utilizzo sicuro delle app e dei servizi cloud. Essi proteggono le app cloud ospitate su cloud pubblici (IaaS), cloud privati o distribuite come servizi SaaS.
4. FWaaS (Firewall as a service)
I firewall come servizio (FWaaS) aiutano a sostituire gli apparecchi firewall fisici con firewall cloud, che offrono le funzionalità avanzate dei firewall Layer 7/di nuova generazione (NGFW), tra cui controlli degli accessi, come il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza del DNS.
5. ZTNA (Zero Trust Network Access)
I prodotti e i servizi ZTNA offrono agli utenti in remoto un accesso sicuro alle app interne. In un modello zero trust, l'attendibilità non viene mai riconosciuta automaticamente, e l'accesso a privilegi minimi viene concesso sulla base di policy granulari. Lo ZTNA offre agli utenti in remoto una connettività sicura senza collocarli sulla rete o esporre le app a Internet.
6. Gestione centralizzata
La gestione di tutti questi componenti da un'unica console consente di superare molte delle sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy, e permette di applicare queste ultime in modo uniforme in tutta l'organizzazione, ovunque siano gli utenti.
In che modo un'azienda può riuscire ad applicare controlli di accesso e sicurezza tenendo conto di queste realtà comuni? È qui che entrano in gioco le piattaforme SASE, che includono funzionalità WAN (SD-WAN) e servizi di sicurezza completi. Il SASE con base cloud offre vantaggi significativi alle organizzazioni che mettono da parte la tradizionale infrastruttura on-premise della rete e della sicurezza, e permette loro di sfruttare appieno tutti i benefici dei servizi cloud, della mobilità e di altri aspetti della trasformazione digitale.
Mentre si adoperano per consentire l'accesso sicuro ai servizi cloud, proteggere utenti e dispositivi in remoto e colmare altre lacune nella loro sicurezza, le organizzazioni si ritrovano ad adottare una vasta gamma di soluzioni per la sicurezza, incrementando così le spese e i costi di gestione. Nonostante questo, il modello on-premise di sicurezza della rete non è comunque efficace in un mondo digitale.
Invece di cercare di utilizzare un concetto legacy per risolvere un problema moderno, il SASE rivoluziona l'approccio alla sicurezza. Non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. Basati sul concetto dell'edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza di un'organizzazione, questo approccio consente o nega in modo dinamico le connessioni ad applicazioni e servizi.
Quando gli utenti erano sulla rete e l'IT gestiva del tutto le app e l'infrastruttura, l'esperienza utente era facile da controllare e prevedere. Oggi, anche negli ambienti multicloud distribuiti, molte aziende utilizzano comunque le VPN per connettere gli utenti alle loro reti e ottenere maggiore sicurezza. Tuttavia, le VPN offrono un'esperienza utente scadente ed estendono la superficie di attacco di un'organizzazione, esponendo gli indirizzi IP.
In risposta a questa inefficienza, il SASE consente di ottimizzare le operazioni grazie all'applicazione della sicurezza in prossimità di ciò che deve essere protetto: quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, in quanto gestisce in modo intelligente e in tempo reale le connessioni in corrispondenza degli Internet Exchange e ottimizza le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.
In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi insiti nella nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Collocando la sicurezza, tra cui la protezione dalle minacce e la prevenzione della perdita di dati (DLP), al centro del modello di connettività, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente dalla posizione, dall'app o dalla crittografia.
Un componente chiave dell'architettura SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori da remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.
La trasformazione digitale del business richiede maggiore agilità e scalabilità, una riduzione della complessità e una sicurezza migliore. Inoltre, le aziende moderne devono poter garantire ai propri utenti esperienze di utilizzo ottimali, ovunque questi si trovino.
Queste circostanze hanno reso il SASE una necessità, non più un optional. Ecco perché:
Tutti questi fattori hanno portato i provider di servizi di rete e sicurezza ad accozzare le proprie versioni di un'architettura SASE, e molti di essi sostengono di aver progettato un prodotto distribuito sul cloud, ma in realtà in molti casi si tratta solo di piattaforme cloud basate su hardware legacy.
Solo un fornitore è in grado di offrire un modello SASE realmente distribuito sul cloud. Perché? Perché abbiamo creato la nostra piattaforma sul cloud e per il cloud.
Gartner, Il futuro della sicurezza di rete è nel cloud
Zscaler Zero Trust Exchange™ è la nostra soluzione SASE, che offre alle organizzazioni un modello rapido, flessibile, semplice e sicuro per connettere utenti e dispositivi. La nostra piattaforma è facile da distribuire e gestire, perché è un servizio automatizzato e fornito sul cloud; inoltre, grazie al fatto che è distribuita a livello globale, gli utenti saranno sempre a un passo dalle loro applicazioni.
Ecco cosa contraddistingue la nostra soluzione SASE:
Attraverso il peering con centinaia di partner nei principali scambi Internet di tutto il mondo, Zero Trust Exchange offre prestazioni e affidabilità ottimali agli utenti.
Vuoi provarlo in prima persona? Scopri di più sulla nostra soluzione SASE e su come può aiutare la tua azienda.
Una vera soluzione SASE richiede un'architettura incentrata sul cloud
Leggi il blogTavola rotonda con Gartner: il futuro della sicurezza della rete è il SASE
Guarda on demandZscaler SASE: un'architettura moderna per un mondo mobile e incentrato sul cloud
Scopri di più