Cosa si intende per Security Service Edge? Secondo la definizione di Gartner, il Security Service Edge (SSE) rappresenta la convergenza dei servizi di sicurezza della rete, che vengono forniti tramite una piattaforma cloud appositamente progettata. Il modello SSE può essere considerato un sottoinsieme del framework SASE (Secure Access Service Edge), con un'architettura incentrata sui servizi di sicurezza. L'SSE è costituito da tre servizi principali: un secure web gateway (SWG), un CASB (Cloud Access Security Broker) e un framework ZTNA (Zero Trust Network Access).

Perché il Security Service Edge è necessario?

Una tendenza in crescita nel settore, il Security Service Edge risolve le sfide fondamentali che le aziende si trovano a dover affrontare per gestire il lavoro da remoto, il cloud, l'edge computing sicuro e la trasformazione digitale. I dati delle aziende che adottano soluzioni SaaS, IaaS e altre app cloud sono sempre più distribuiti al di fuori dei data center locali. Inoltre, sempre più utenti lavorano con dispositivi mobili e da remoto, connettendosi alle app e ai dati cloud da qualsiasi luogo e con qualsiasi connessione.

È difficile garantire la protezione delle app cloud e degli utenti mobili tramite gli approcci tradizionali alla sicurezza di rete, perché:

• in quanto ancorate al data center, le tecnologie legacy non sono in grado di seguire le connessioni tra utenti e app cloud;
• l'inoltro ("hairpinning") del traffico degli utenti a un data center tramite una VPN tradizionale per l'ispezione rallenta tutto il processo;
• l'amministrazione e la manutenzione dell'hardware rappresentano spese non indifferenti per i data center tradizionali;
• le VPN sono facili da compromettere a causa della mancanza di patch.

Come se non bastasse, le soluzioni di sicurezza usate nei data center di oggi sono cresciute fino a diventare insiemi complessi di prodotti difficili da integrare. Questa complessità genera delle lacune tra le varie soluzioni, e incrementa ulteriormente il rischio di subire danni a causa di minacce avanzate o attacchi ransomware.

Differenza tra SASE (Secure Access Service Edge) ed SSE (Security Service Edge)

Nell'architettura SASE, i servizi di rete e di sicurezza devono essere forniti con un approccio unificato e distribuito sul cloud. Le componenti relative a rete e sicurezza delle soluzioni SASE hanno l'obiettivo di migliorare l'esperienza da utente ad app cloud e di ridurre al contempo costi e complessità.

Le piattaforme SASE possono essere considerate l'unione di due elementi. La componente SSE unifica tutti i servizi di sicurezza, tra cui SWG, CASB e ZTNA. La componente di edge WAN unifica i servizi di rete, tra cui SD-WAN (Software-Defined Wide Area Network), ottimizzazione WAN, qualità del servizio (QoS) e altro, per migliorare l'instradamento verso le app cloud.

Fonte: CXO REvolutionaries, "Il Security Service Edge (SSE) riflette un mercato in evoluzione: ecco cosa c'è da sapere"

I vantaggi di una piattaforma SSE rispetto alla sicurezza di rete tradizionale

Distribuito da una piattaforma unificata con base cloud, il servizio SSE consente alle aziende di lasciarsi alle spalle i problemi tipici della sicurezza della rete tradizionale. L'SSE offre quattro principali vantaggi:

1. Migliore riduzione dei rischi

Il modello SSE offre sicurezza senza essere legato a una rete. La sicurezza viene infatti fornita tramite una piattaforma cloud in grado di seguire le connessioni da utente ad app, indipendentemente dalla posizione. La fornitura di tutti i servizi di sicurezza in modo unificato riduce i rischi, perché elimina le lacune spesso associate all'utilizzo di prodotti ad hoc, che hanno una portata limitata.

Il modello SSE migliora anche la visibilità sugli utenti e sui dati, indipendentemente dalla posizione e dai canali a cui si accede. Inoltre, applica automaticamente gli aggiornamenti di sicurezza al cloud senza i tipici ritardi derivanti dalla gestione manuale da parte dell'IT.

2. Accesso zero trust

Le piattaforme SSE (insieme alle piattaforme SASE) devono supportare l'accesso a privilegi minimi degli utenti alle app cloud o private, con una rigorosa policy zero trust basata su quattro fattori: utenti, dispositivi, applicazioni e contenuti. Nessun utente deve essere ritenuto automaticamente attendibile, e l'accesso deve essere concesso in base all'identità e alla policy.

Connettendo in modo sicuro utenti e app su Internet utilizzando le policy aziendali, è possibile garantire un'esperienza più sicura da remoto, perché gli utenti non vengono mai collocati sulla rete. Allo stesso tempo, le minacce non possono spostarsi lateralmente e le applicazioni rimangono al sicuro dietro alla piattaforma SSE. Le app non sono visibili su Internet e non possono essere individuate; questo consente di ridurre la superficie di attacco, rafforzando la sicurezza e riducendo ulteriormente i rischi per l'azienda.

3. Esperienza utente

Secondo la definizione di Gartner, il servizio SSE deve essere completamente distribuito attraverso data center globali. Le migliori architetture SSE sono progettate appositamente per assicurare l'ispezione in ogni data center, a differenza dei provider che ospitano le proprie piattaforme SSE in infrastrutture IaaS.

L'architettura distribuita migliora le prestazioni e riduce la latenza, perché l'ispezione dei contenuti, che comprende la decriptazione e l'ispezione TLS/SSL, si verifica nel punto in cui l'utente finale si connette al cloud SSE. Insieme al peering su tutta la piattaforma SSE, questo offre agli utenti mobili la migliore esperienza possibile. Non dovendo più utilizzare lente VPN, l'accesso degli utenti alle app nei cloud pubblici e privati risulterà rapido e fluido.

4. Vantaggi del consolidamento

L'unificazione di tutti i servizi di sicurezza principali consente di ridurre i costi e la complessità. Il modello SSE è in grado di fornire in un'unica piattaforma molti dei principali servizi di sicurezza, come: SWG, CASB, ZTNA, firewall cloud (FWaaS), sandbox cloud, prevenzione della perdita di dati cloud (DLP), CSPM (Cloud Security Posture Management) e isolamento del browser cloud (CBI). Inoltre, se non hai subito bisogno di tutti questi servizi, hai la possibilità di aggiungerli in seguito in base alle esigenze dell'azienda.

Con la protezione unificata in un'unica policy, tutti i canali attraversati dagli utenti e dai dati sono sempre protetti uniformemente.

I principali casi d'uso del modello SSE

1. Accesso sicuro ai servizi cloud e al web

L'applicazione del controllo delle policy sugli accessi a Internet, al web e alle applicazioni cloud degli utenti, che in passato avveniva con un SWG, è uno dei principali casi d'uso del Security Service Edge. Il controllo delle policy del Security Service Edge aiuta a mitigare i rischi quando gli utenti finali accedono ai contenuti in rete e fuori dalla rete. Un altro fattore importante per questo caso d'uso è l'applicazione di policy aziendali per Internet e per il controllo degli accessi, per garantire la conformità su Iaas, PaaS e SaaS.

Un'altra importante funzionalità è la gestione del profilo di sicurezza cloud, o CSPM (Cloud Security Posture Management), che protegge l'organizzazione da rischiosi errori di configurazione che possono causare violazioni.

2. Rilevamento e mitigazione delle minacce

Il rilevamento delle minacce e la prevenzione degli attacchi su Internet, sul web e sui servizi cloud sono elementi trainanti per l'adozione di una piattaforma SSE e, in misura minore, di una piattaforma SASE. Poiché gli utenti finali accedono ai contenuti da qualsiasi tipo di connessione o dispositivo, le aziende hanno bisogno di un approccio difensivo che sia robusto e avanzato, e che consenta di tutelarsi da malware, phishing e altre minacce.

La piattaforma SSE deve disporre di funzionalità di prevenzione delle minacce avanzate, tra cui firewall cloud (FWaaS), sandbox cloud, rilevamento dei malware e isolamento del browser cloud. I CASB consentono di ispezionare i dati all'interno delle app SaaS e sono in grado di identificare e mettere in quarantena i malware esistenti prima che questi provochino danni. Un altro elemento fondamentale è il controllo adattivo degli accessi, che determina il profilo di sicurezza del dispositivo dell'utente finale e regola l'accesso di conseguenza.

3. Connessione e protezione dei lavoratori da remoto

La moderna forza lavoro deve poter accedere in remoto ai servizi cloud e alle applicazioni private senza i rischi associati alle VPN. La possibilità di accedere alle applicazioni, ai dati e ai contenuti senza ottenere l'accesso alla rete è un aspetto fondamentale dello zero trust, perché consente di eliminare le potenziali conseguenze derivanti dal collocamento degli utenti su una rete flat.

È quindi fondamentale fornire un accesso sicuro alle app private e cloud, senza dover definire liste di controllo degli accessi nei firewall o esporre le app a Internet. Le piattaforme SSE devono poter supportare in modo nativo una connettività che vada dalle app verso l'esterno e mantenga quest'ultime invisibili a Internet. Un approccio ZTNA deve inoltre offrire scalabilità su una rete globale di punti di accesso e fornire a tutti gli utenti un'esperienza rapida, indipendentemente dalle richieste di connessione.

4. Identificazione e protezione dei dati sensibili

Il Security Service Edge consente di individuare e verificare i dati sensibili, indipendentemente da dove risiedano. Unificando le tecnologie principali di protezione dati, le piattaforme SSE offrono maggiore visibilità e semplicità su tutti i canali in cui passano i dati. Cloud DLP consente di individuare, classificare e proteggere in tutta semplicità i dati sensibili (ad es. le informazioni personali) per garantire il rispetto degli standard PCI e di altre normative. Inoltre, il Security Service Edge semplifica la protezione dati, in quanto consente di creare policy di protezione dei dati una sola volta e di applicarle al traffico inline e ai dati inattivi nelle app cloud tramite i CASB.

Le piattaforme SSE più efficaci offrono inoltre un'ispezione TLS/SSL ad alte prestazioni per analizzare anche il traffico criptato (in cui viaggiano gran parte dei dati in movimento). Un altro elemento importante per questo caso d'uso è il rilevamento dello shadow IT, che permette alle organizzazioni di bloccare le applicazioni rischiose o autorizzate su tutti gli endpoint.

Scegliere la soluzione SSE giusta

Cerca una piattaforma SSE che ti garantisca una sicurezza rapida e scalabile, un'esperienza utente fluida e basata sulla tecnologia zero trust. Questa piattaforma dovrà essere:

Sviluppata appositamente per offrire un'esperienza di utilizzo rapida per utenti e app cloud

Per un accesso rapido e sicuro, è necessaria un'architettura nativa del cloud distribuita attraverso molti data center diffusi. Le piattaforme SSE create per l'ispezione offrono un vantaggio rispetto a quelle ospitate su cloud IaaS; queste ultime, infatti, non sono progettate specificamente per soddisfare l'esigenza di ispezionare i contenuti in tempo reale. Con ogni singolo data center che costituisce un nodo di ispezione, la sicurezza è sempre veloce e locale per l'utente, indipendentemente dalla sua posizione. Inoltre, ti consigliamo di rivolgerti a provider SSE che siano in grado di fornire un peering rapido e solido, in modo che l'esperienza di utilizzo delle app cloud sia sempre ottimizzata.

Costruita da cima a fondo con un'architettura zero trust

Il controllo degli accessi deve essere governato dall'identità e non deve collocare mai gli utenti sulla rete. Ti consigliamo di cercare provider che supportino l'accesso zero trust per tutti gli utenti, i dispositivi, compresi quelli IoT, le app cloud e i carichi di lavoro. Anche in questo caso, un provider con una presenza globale di data center garantirà agli utenti un'esperienza sempre veloce, senza le problematiche tipiche delle VPN. L'approccio ZTNA del provider al Security Service Edge deve essere basato su una solida esperienza con distribuzioni globali di grandi dimensioni, perché la scalabilità è fondamentale per la produttività degli utenti in remoto.

In grado di eseguire un'ispezione proxy scalabile e inline

L'ispezione proxy termina entrambe le connessioni: dal dispositivo e dall'app cloud. La collocazione tra queste due connessioni permette di eseguire un'ispezione SSL completa e di impedire il passaggio "pass-through". Tutto questo offre maggiore sicurezza e un'ispezione più completa rispetto ai firewall tradizionali. Ti consigliamo di concentrarti sulle piattaforme SSE in grado di fornire un'ispezione dei contenuti e del traffico TLS/SSL su scala globale. Dato che l'ispezione inline viene solitamente eseguita sul traffico critico per l'azienda, le interruzioni dovute ai problemi di scalabilità possono avere un impatto molto significativo. È quindi necessario assicurarsi che il provider SSE selezionato abbia solidi accordi sul livello del servizio ed esperienza nell'ispezione del traffico inline per aziende globali di grandi dimensioni.

Proiettata verso l'innovazione e la crescita del Security Service Edge

Se da un lato le aziende adottano il Security Service Edge come piattaforma unificata, dall'altro, funzionalità e servizi di sicurezza aggiuntivi garantiranno che questa piattaforma SSE sia a prova di futuro. Un servizio che sta iniziando a spostarsi sul Security Service Egde è quello del monitoraggio dell'esperienza digitale, che consente ai reparti IT di individuare rapidamente i problemi di connettività tra utenti e app cloud.

Inoltre, come definito dall'architettura SASE, il consolidamento dei servizi di rete con una piattaforma SSE è fondamentale. Questo include un solido supporto della connettività per i servizi SD-WAN, per le filiali aziendali e per gli ambienti multicloud. Prendendo in considerazione i provider SASE che stanno anche innovando in ambito SSE, puoi assicurarti di scegliere una soluzione che si adatterà alla tua crescita senza aggiungere complessità al tuo ecosistema cloud.

Zscaler e il Security Service Edge

Zscaler risolve le sfide del cloud e della mobilità con una piattaforma rivoluzionaria che non si limita a offrire il Security Service Edge. Grazie allo zero trust, ti aiutiamo a ridurre i costi e la complessità, a eliminare la superficie di attacco e a offrire un'esperienza utente d'eccellenza.