Cosa si intende per Security Service Edge?
Cosa si intende per Security Service Edge?
Il Security Service Edge (SSE), secondo quanto definito da Gartner, è una convergenza di servizi di sicurezza di rete, che vengono forniti tramite una piattaforma cloud appositamente progettata. Il modello SSE può essere considerato un sottoinsieme del framework SASE (Secure Access Service Edge), con un'architettura incentrata sui servizi di sicurezza. Offre tre servizi principali:
- Accesso sicuro a Internet e al web con un SWG (Secure Web Gateway)
- Accesso sicuro a SaaS e app cloud con un CASB (Cloud Access Security Broker)
- Accesso remoto sicuro alle app private con lo ZTNA (Zero Trust Network Access)
Perché il Security Service Edge è necessario?
Una tendenza in crescita nel settore, il Security Service Edge risolve le sfide fondamentali che le aziende si trovano a dover affrontare per gestire il lavoro da remoto, il cloud, l'edge computing sicuro e la trasformazione digitale. I dati delle aziende che adottano soluzioni SaaS, IaaS e altre app cloud sono sempre più distribuiti al di fuori dei data center locali. Inoltre, sempre più utenti lavorano con dispositivi mobili e da remoto, connettendosi alle app e ai dati cloud da qualsiasi luogo e con qualsiasi connessione.
È difficile garantire la protezione delle app cloud e degli utenti mobili tramite gli approcci tradizionali alla sicurezza di rete, perché:
- in quanto ancorate al data center, le tecnologie legacy non sono in grado di seguire le connessioni tra utenti e app cloud;
- l'inoltro ("hairpinning") del traffico degli utenti a un data center tramite una VPN tradizionale per l'ispezione rallenta tutto il processo;
- l'amministrazione e la manutenzione dell'hardware rappresentano spese non indifferenti per i data center tradizionali;
- le VPN sono facili da compromettere a causa della mancanza di patch.
Come se non bastasse, le soluzioni di sicurezza usate nei data center di oggi sono cresciute fino a diventare insiemi complessi di prodotti difficili da integrare. Questa complessità genera delle lacune tra le varie soluzioni, e incrementa ulteriormente il rischio di subire danni a causa di minacce avanzate o attacchi ransomware.
Differenza tra SASE (Secure Access Service Edge) ed SSE (Security Service Edge)
Nell'architettura SASE, i servizi di rete e di sicurezza devono essere forniti con un approccio unificato e distribuito sul cloud. Le componenti relative a rete e sicurezza delle soluzioni SASE hanno l'obiettivo di migliorare l'esperienza da utente ad app cloud e di ridurre al contempo costi e complessità. Le piattaforme SASE possono essere considerate come l'unione di due elementi. La componente SSE unifica tutti i servizi di sicurezza, tra cui SWG, CASB e ZTNA, mentre la componente di edge WAN unifica i servizi di rete, tra cui SD-WAN (Software-Defined Wide Area Network), ottimizzazione WAN, qualità del servizio (QoS) e altro per migliorare l'instradamento verso le app cloud.
Fonte: CXO REvolutionaries, "Il Security Service Edge (SSE) riflette un mercato in evoluzione: ecco cosa c'è da sapere"
I vantaggi di una piattaforma SSE rispetto alla sicurezza di rete tradizionale
Distribuito da un'unica piattaforma cloud, il servizio SSE consente alle aziende di lasciarsi alle spalle i problemi tipici della sicurezza di rete tradizionale. Le piattaforme SSE offrono 4 vantaggi principali:
1. Migliore riduzione dei rischi
Il modello SSE offre sicurezza senza essere legato a una rete. La sicurezza viene infatti fornita tramite una piattaforma cloud in grado di seguire le connessioni da utente ad app, indipendentemente dalla posizione. La fornitura di tutti i servizi di sicurezza in modo unificato riduce i rischi, perché elimina le lacune spesso associate all'utilizzo di prodotti ad hoc, che hanno una portata limitata. Il modello SSE migliora anche la visibilità sugli utenti, ovunque questi si trovino, e sui dati, indipendentemente dai canali a cui si accede. Inoltre, applica automaticamente gli aggiornamenti di sicurezza nel cloud, senza il tipico ritardo dovuto all'amministrazione manuale dei reparti IT.
2. Accesso zero trust
Le piattaforme SSE (insieme alle piattaforme SASE) devono supportare l'accesso a privilegi minimi degli utenti alle app cloud o private, con una rigorosa policy zero trust basata su quattro fattori: utenti, dispositivi, applicazioni e contenuti. Nessun utente deve essere ritenuto automaticamente attendibile, e l'accesso deve essere concesso in base all'identità e alla policy. Connettendo in modo sicuro utenti e app su Internet, puoi proteggere l'esperienza degli utenti in remoto, perché questi non vengono mai collocati sulla rete. Allo stesso tempo, le minacce non possono spostarsi lateralmente e le applicazioni rimangono al sicuro dietro alla piattaforma SSE. Le app non sono visibili su Internet e non possono essere individuate, e questo consente di ridurre la superficie di attacco, aumentando la sicurezza e riducendo ulteriormente i rischi aziendali.
3. Esperienza utente
Secondo la definizione di Gartner, il servizio SSE deve essere completamente distribuito attraverso data center globali. Le migliori architetture SSE sono progettate appositamente per assicurare l'ispezione in ogni data center, a differenza dei provider che ospitano le proprie piattaforme SSE in infrastrutture IaaS. L'architettura distribuita migliora le prestazioni e riduce la latenza, perché l'ispezione dei contenuti, che comprende la decriptazione e l'ispezione del traffico TLS/SSL, si verifica nel punto in cui l'utente finale si connette al cloud SSE. Insieme al peering su tutta la piattaforma SSE, questo offre agli utenti mobili la migliore esperienza possibile. Non è più necessario utilizzare VPN lente, e l'accesso alle app nei cloud pubblici e privati è rapido e fluido.
4. Consolidamento
Quando tutti i servizi di sicurezza principali sono unificati, i costi diminuiscono e la complessità si riduce. Il modello SSE è in grado di fornire in un'unica piattaforma molti dei principali servizi di sicurezza, come SWG, CASB, ZTNA, firewall cloud (FWaaS), sandbox cloud, prevenzione della perdita di dati cloud (Data Loss Prevention, DLP), CSPM (Cloud Security Posture Management) e isolamento del browser cloud (Cloud Browser Isolation, CBI). Inoltre, se non si necessita subito di tutti questi servizi, è possibile aggiungerli man mano che l'azienda cresce. Con la protezione unificata in un'unica policy, tutti i canali attraversati dagli utenti e dai dati ottengono una protezione sempre uniforme.
Rapporto di Gartner: roadmap strategica 2021 per la convergenza SASE
Leggi il report completo
Il Security Service Edge riflette un mercato in evoluzione: ecco cosa c'è da sapere
Leggi il nostro articolo di blog
Una panoramica su Zscaler SSE
Leggi il brief
Infografica sul Security Service Edge di Zscaler
Dai un'occhiata
LA SOLUZIONE DI SICUREZZA COMPLETA PER L'AZIENDA MODERNA
Per saperne di più
Intervento con la partecipazione di Gartner: Il futuro della sicurezza della rete è il SASE
Guarda il webinar
I principali casi d'uso del modello SSE
1. Accesso sicuro ai servizi cloud e all'utilizzo del web
L'applicazione del controllo delle policy sugli accessi a Internet, al web e alle applicazioni cloud degli utenti, che in passato avveniva con un SWG, è uno dei principali casi d'uso del Security Service Edge. Il controllo delle policy del Security Service Edge aiuta a mitigare i rischi quando gli utenti finali accedono ai contenuti in rete e fuori dalla rete. Un altro fattore importante per questo caso d'uso è l'applicazione di policy aziendali per Internet e per il controllo degli accessi, per garantire la conformità su Iaas, PaaS e SaaS.
Un'altra funzionalità chiave è quella di CSPM (Cloud Security Posture Management, gestione del profilo di sicurezza cloud), che protegge l'azienda dagli errori di configurazione rischiosi che possono portare a subire violazioni.
2. Rilevamento e mitigazione delle minacce
Il rilevamento delle minacce e la prevenzione degli attacchi su Internet, sul web e sui servizi cloud sono elementi trainanti per l'adozione di una piattaforma SSE e, in misura minore, di una piattaforma SASE. Poiché gli utenti finali accedono ai contenuti da qualsiasi tipo di connessione o dispositivo, le aziende hanno bisogno di un approccio difensivo che sia robusto e avanzato, e che consenta di tutelarsi da malware, phishing e altre minacce.
La piattaforma SSE deve disporre di funzionalità avanzate di prevenzione delle minacce, tra cui firewall cloud (FWaaS), sandbox cloud, rilevamento dei malware e isolamento del browser cloud. I CASB consentono di ispezionare i dati all'interno delle app SaaS e sono in grado di identificare e mettere in quarantena i malware esistenti prima che provochino danni. Un altro elemento significativo è il controllo adattivo degli accessi, che determina il profilo del dispositivo di un utente finale e regola l'accesso di conseguenza.
3. Connessione e protezione dei lavoratori da remoto
La moderna forza lavoro deve poter accedere in remoto ai servizi cloud e alle applicazioni private senza i rischi associati alle VPN. La possibilità di accedere alle applicazioni, ai dati e ai contenuti senza ottenere l'accesso alla rete è un aspetto fondamentale dello zero trust, perché consente di eliminare le potenziali conseguenze derivanti dal collocamento degli utenti su una rete flat.
È quindi fondamentale fornire un accesso sicuro alle app private e cloud, senza dover definire liste di controllo degli accessi nei firewall o esporre le app a Internet. Le piattaforme SSE devono poter supportare in modo nativo una connettività che si muova dalle app verso l'esterno e mantenga quest'ultime invisibili a Internet. Un approccio ZTNA deve inoltre offrire scalabilità su una rete globale di punti di accesso, fornendo a tutti gli utenti un'esperienza rapida indipendentemente dalle richieste di connessione.
4. Identificazione e protezione dei dati sensibili
Il Security Service Edge consente di individuare e verificare i dati sensibili, indipendentemente da dove risiedano. Unificando le tecnologie principali di protezione dati, le piattaforme SSE offrono maggiore visibilità e semplicità su tutti i canali in cui passano i dati. Cloud DLP consente di individuare, classificare e proteggere in tutta semplicità i dati sensibili (ad es. le informazioni personali) per garantire il rispetto degli standard PCI e di altre normative. Inoltre, il Security Service Edge semplifica la protezione dati, in quanto consente di creare policy di protezione dei dati una sola volta e di applicarle al traffico inline e ai dati inattivi nelle app cloud tramite i CASB.
Le piattaforme SSE più efficaci offrono inoltre l'ispezione TLS/SSL ad alte prestazioni, per analizzare anche il traffico criptato (che costituisce la maggior parte dei dati in transito). Un altro elemento importante di questo caso d'uso consiste nel rilevamento dello shadow IT, che permette alle aziende di bloccare applicazioni rischiose o autorizzate su tutti gli endpoint.
Scegliere la soluzione SSE giusta
Ti consigliamo di cercare una piattaforma SSE che garantisca una sicurezza rapida e scalabile e un'esperienza utente fluida, basata sulla tecnologia zero trust. È necessario che la piattaforma sia:
Sviluppata appositamente per offrire un'esperienza rapida per utenti e app cloud
Per un accesso rapido e sicuro è necessaria un'architettura nativa del cloud, distribuita attraverso una rete globale di data center. Le piattaforme SSE create per l'ispezione offrono un vantaggio rispetto a quelle ospitate su cloud IaaS, le quali non sono progettate specificamente per soddisfare l'esigenza di ispezione dei contenuti in tempo reale. Quando ogni data center costituisce un nodo di ispezione, la sicurezza è sempre veloce e locale per l'utente, in qualsiasi luogo. Inoltre, ti consigliamo di rivolgerti a provider SSE che siano in grado di fornire un peering rapido e robusto, in modo che l'esperienza di utilizzo dell'app cloud sia sempre ottimizzata.
Costruita completamente con un'architettura zero trust
Il controllo degli accessi deve essere governato dall'identità e non deve collocare mai gli utenti sulla rete. Ti consigliamo di cercare provider che supportino l'accesso zero trust per tutti gli utenti, i dispositivi, compresi quelli IoT, le app cloud e i carichi di lavoro. Anche in questo caso, un provider con una presenza globale di data center garantirà agli utenti un'esperienza sempre veloce, senza le problematiche tipiche delle VPN. L'approccio ZTNA del provider al Security Service Edge deve essere fondato su una comprovata esperienza nelle distribuzioni globali di grandi dimensioni, perché la scalabilità è fondamentale per la produttività degli utenti in remoto.
In grado di eseguire un'ispezione proxy scalabile e inline
L'ispezione proxy termina entrambe le connessioni: dal dispositivo e dall'app cloud. La collocazione tra queste due connessioni permette di eseguire un'ispezione SSL completa e di impedire il passaggio "pass-through". Tutto questo offre maggiore sicurezza e un'ispezione più completa rispetto ai firewall tradizionali. Ti consigliamo di concentrarti sulle piattaforme SSE in grado di fornire un'ispezione dei contenuti e del traffico TLS/SSL su scala globale. Dato che l'ispezione inline viene solitamente eseguita sul traffico critico per l'azienda, le interruzioni dovute ai problemi di scalabilità possono avere un impatto molto significativo. È quindi necessario assicurarsi che il provider SSE selezionato abbia solidi accordi sul livello del servizio ed esperienza nell'ispezione del traffico inline per le aziende globali di grandi dimensioni.
In grado di portare ad altre innovazioni e alla crescita del Security Service Edge
Se da un lato le aziende adottano il Security Service Edge come piattaforma unificata, dall'altro, funzionalità e servizi di sicurezza aggiuntivi garantiranno che questa piattaforma SSE sia a prova di futuro. Un servizio che sta iniziando a spostarsi sul Security Service Egde è quello del monitoraggio dell'esperienza digitale, che consente ai reparti IT di individuare rapidamente i problemi di connettività tra utenti e app cloud.
Inoltre, come definito dall'architettura SASE, il consolidamento dei servizi di rete con una piattaforma SSE è fondamentale. Questo include un solido supporto della connettività per i servizi SD-WAN, per le filiali aziendali e per gli ambienti multicloud. Prendendo in considerazione i provider SASE che stanno anche innovando in ambito SSE, puoi assicurarti di scegliere una soluzione che si adatterà alla tua crescita senza aggiungere complessità al tuo ecosistema cloud.
Zscaler e il Security Service Edge
Zscaler risolve le sfide del cloud e della mobilità con una piattaforma rivoluzionaria che non si limita a offrire il Security Service Edge. Grazie allo zero trust, ti aiutiamo a ridurre i costi e la complessità, a eliminare la superficie di attacco e a offrire un'esperienza utente d'eccellenza.
Scopri di più sul Security Service Edge di Zscaler.
Consulta anche il Magic Quadrant 2022 di Gartner per il Security Service Edge. Siamo orgogliosi di essere un'azienda leader per Gartner e di esserci classificati al vertice della classifica per "Capacità di esecuzione".