Le vulnerabilità delle VPN ti preoccupano? Scopri come usufruire della nostra offerta per eliminare le VPN che include 60 giorni di prova gratuiti.

Parla con un esperto

Cosa si intende per Security Service Edge (SSE)?

Il Security Service Edge (SSE), secondo quanto definito da Gartner, consiste nella convergenza di diversi servizi di sicurezza della rete, che vengono forniti tramite una piattaforma cloud appositamente progettata. Il modello SSE può essere considerato un sottoinsieme del framework SASE (Secure Access Service Edge), con un'architettura incentrata sui servizi di sicurezza. I principali servizi dell'SSE includono: Secure Web Gateway (SWG), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) e firewall as a service (FWaaS).

Scarica il Magic Qquadran di Gartner per il Security Service Edge
Approfondimenti su SSE: come prevenire le violazioni dei dati
Guarda

Perché l'SSE è importante?

Una tendenza in crescita nel settore, il Security Service Edge risolve le sfide fondamentali che le aziende si trovano a dover affrontare per gestire il lavoro da remoto, il cloud, l'edge computing sicuro e la trasformazione digitale. I dati delle aziende che adottano soluzioni SaaS, IaaS e altre app cloud sono sempre più distribuiti al di fuori dei data center locali. Inoltre, sempre più utenti lavorano con dispositivi mobili e da remoto, connettendosi alle app e ai dati cloud da qualsiasi luogo e con qualsiasi connessione.

È difficile garantire la protezione delle app cloud e degli utenti mobili tramite gli approcci tradizionali alla sicurezza di rete, perché:

  • in quanto ancorate al data center, le tecnologie legacy non sono in grado di seguire le connessioni tra utenti e app cloud;
  • l'inoltro ("hairpinning") del traffico degli utenti a un data center tramite una VPN tradizionale per l'ispezione rallenta tutto il processo;
  • l'amministrazione e la manutenzione dell'hardware rappresentano spese non indifferenti per i data center tradizionali;
  • le VPN sono facili da compromettere a causa della mancanza di patch.

Come se non bastasse, le soluzioni di sicurezza usate nei data center di oggi sono cresciute fino a diventare insiemi complessi di prodotti difficili da integrare. Questa complessità genera delle lacune tra le varie soluzioni, e incrementa ulteriormente il rischio di subire danni a causa di minacce avanzate o attacchi ransomware.

I vantaggi dell'SSE

  • Sicurezza con base cloud più solida e uniforme, che estende la protezione alla sede centrale, alle filiali in remoto e agli utenti di dispositivi mobili
  • Prestazioni di rete e sicurezza ottimizzate e a bassa latenza, in quanto il traffico non viene indirizzato a un data center centrale per l'esecuzione dei controlli
  • Scalabilità per adattarsi alle mutevoli esigenze dell'organizzazione, come l'adozione di nuovi servizi cloud e la crescita o le fluttuazioni della forza lavoro
  • Gestione semplificata della sicurezza e della rete, attraverso una piattaforma centralizzata fornita sul cloud che offre i servizi critici per la sicurezza
  • Costi più prevedibili e spese operative più basse, in quanto si riduce al minimo la necessità di ricorrere a distribuzioni hardware on-premise

Qual è la differenza tra SASE e SSE?

Nell'architettura SASE, i servizi di rete e di sicurezza devono essere forniti con un approccio unificato e distribuito sul cloud. Gli aspetti relativi alla rete e alla sicurezza delle soluzioni SASE hanno l'obiettivo di migliorare l'esperienza da utente ad app cloud e di ridurre al contempo i costi e la complessità.

Le piattaforme SASE possono essere considerate come l'unione di due elementi. La componente SSE, da un lato, riunisce tutti i servizi di sicurezza, tra cui SWG, ZTNA, CASB, FWaaS e altro.Quella dell'edge WAN, dall'altro, unifica invece i servizi di rete, tra cui SD-WAN (Software-Defined Wide Area Network), ottimizzazione della WAN, qualità del servizio (QoS) e altro, per migliorare l'instradamento verso le app cloud.

Le funzionalità fondamentali dell'SSE

I quattro servizi cardine fondamentali per l'SSE sono:

  • Secure Web Gateway (SWG): si tratta di una soluzione di sicurezza che impedisce al traffico Internet non protetto di entrare nella rete interna di un'organizzazione.
  • Zero Trust Network Access (ZTNA): è un modello adattivo per la concessione dell'attendibilità, in cui l'attendibilità, o trust, non è mai implicita, così gli utenti in remoto possono accedere in modo sicuro alle app interne.
  • Cloud Access Security Broker (CASB): è un punto di applicazione della protezione dei dati e della protezione dalle minacce collocato tra gli utenti delle applicazioni cloud e i servizi cloud
  • Firewall as a Service (FWaaS): è una tecnologia di sicurezza della rete che offre funzionalità firewall avanzate Layer 7/di nuova generazione tramite il cloud

Il grafico sul Security Service Edge mostra una piattaforma di sicurezza cloud che consolida più funzionalità di sicurezza, tra cui SWG, ZTNA, CASB, protezione dati e isolamento remoto del browser.

Fonte: CXO REvolutionaries, "Il Security Service Edge (SSE) riflette un mercato in evoluzione: ecco cosa c'è da sapere"

I vantaggi di una piattaforma SSE rispetto alla sicurezza di rete tradizionale

Distribuito da una piattaforma unificata con base cloud, il servizio SSE consente alle aziende di lasciarsi alle spalle i problemi tipici della sicurezza della rete tradizionale. L'SSE offre quattro principali vantaggi:

1. Migliore riduzione dei rischi

Il modello SSE offre sicurezza senza essere legato a una rete. La sicurezza viene infatti fornita tramite una piattaforma cloud in grado di seguire le connessioni da utente ad app, indipendentemente dalla posizione. La fornitura di tutti i servizi di sicurezza in modo unificato riduce i rischi, perché elimina le lacune spesso associate all'utilizzo di prodotti ad hoc, che hanno una portata limitata.

Il modello SSE migliora anche la visibilità sugli utenti e sui dati, indipendentemente dalla posizione e dai canali a cui si accede. Inoltre, applica automaticamente gli aggiornamenti di sicurezza al cloud senza i tipici ritardi derivanti dalla gestione manuale da parte dell'IT.

2. Accesso zero trust

Le piattaforme SSE (insieme alle piattaforme SASE) devono supportare l'accesso a privilegi minimi degli utenti alle app cloud o private, con una rigorosa policy zero trust basata su quattro fattori: utenti, dispositivi, applicazioni e contenuti. Nessun utente deve essere ritenuto automaticamente attendibile, e l'accesso deve essere concesso in base all'identità e alla policy.

Connettendo in modo sicuro utenti e app su Internet utilizzando le policy aziendali, è possibile garantire un'esperienza più sicura da remoto, perché gli utenti non vengono mai collocati sulla rete. Allo stesso tempo, le minacce non possono spostarsi lateralmente e le applicazioni rimangono al sicuro dietro alla piattaforma SSE. Le app non sono visibili su Internet e non possono essere individuate; questo consente di ridurre la superficie di attacco, rafforzando la sicurezza e riducendo ulteriormente i rischi per l'azienda.

3. Esperienza utente

Secondo la definizione di Gartner, il servizio SSE deve essere completamente distribuito attraverso data center globali. Le migliori architetture SSE sono progettate appositamente per assicurare l'ispezione in ogni data center, a differenza dei provider che ospitano le proprie piattaforme SSE in infrastrutture IaaS.

L'architettura distribuita migliora le prestazioni e riduce la latenza, perché l'ispezione dei contenuti, che comprende la decriptazione e l'ispezione TLS/SSL, si verifica nel punto in cui l'utente finale si connette al cloud SSE. Insieme al peering su tutta la piattaforma SSE, questo offre agli utenti mobili la migliore esperienza possibile. Non dovendo più utilizzare lente VPN, l'accesso degli utenti alle app nei cloud pubblici e privati risulterà rapido e fluido.

4. Vantaggi del consolidamento

L'unificazione di tutti i servizi di sicurezza principali consente di ridurre i costi e la complessità. Il modello SSE è in grado di fornire in un'unica piattaforma molti dei principali servizi di sicurezza, come: SWG, CASB, ZTNA, firewall cloud (FWaaS), sandbox cloud, prevenzione della perdita di dati cloud (DLP), CSPM (Cloud Security Posture Management) e isolamento del browser cloud (CBI). Inoltre, se non hai subito bisogno di tutti questi servizi, hai la possibilità di aggiungerli in seguito in base alle esigenze dell'azienda.

Con la protezione unificata in un'unica policy, tutti i canali attraversati dagli utenti e dai dati sono sempre protetti uniformemente.

I principali casi d'uso del modello SSE

1. Accesso sicuro ai servizi cloud e al web

L'applicazione del controllo delle policy sugli accessi a Internet, al web e alle applicazioni cloud degli utenti, che in passato avveniva con un SWG, è uno dei principali casi d'uso del Security Service Edge. Il controllo delle policy del Security Service Edge aiuta a mitigare i rischi quando gli utenti finali accedono ai contenuti in rete e fuori dalla rete. Un altro fattore importante per questo caso d'uso è l'applicazione di policy aziendali per Internet e per il controllo degli accessi, per garantire la conformità su Iaas, PaaS e SaaS.

Un'altra importante funzionalità è la gestione del profilo di sicurezza cloud, o CSPM (Cloud Security Posture Management), che protegge l'organizzazione da rischiosi errori di configurazione che possono causare violazioni.

2. Rilevamento e mitigazione delle minacce

Il rilevamento delle minacce e la prevenzione degli attacchi su Internet, sul web e sui servizi cloud sono elementi trainanti per l'adozione di una piattaforma SSE e, in misura minore, di una piattaforma SASE. Poiché gli utenti finali accedono ai contenuti da qualsiasi tipo di connessione o dispositivo, le aziende hanno bisogno di un approccio difensivo che sia robusto e avanzato, e che consenta di tutelarsi da malware, phishing e altre minacce.

La piattaforma SSE deve disporre di funzionalità di prevenzione delle minacce avanzate, tra cui firewall cloud (FWaaS), sandbox cloud, rilevamento dei malware e isolamento del browser cloud. I CASB consentono di ispezionare i dati all'interno delle app SaaS e sono in grado di identificare e mettere in quarantena i malware esistenti prima che questi provochino danni. Un altro elemento fondamentale è il controllo adattivo degli accessi, che determina il profilo di sicurezza del dispositivo dell'utente finale e regola l'accesso di conseguenza.

3. Connessione e protezione dei lavoratori da remoto

La moderna forza lavoro deve poter accedere in remoto ai servizi cloud e alle applicazioni private senza i rischi associati alle VPN. La possibilità di accedere alle applicazioni, ai dati e ai contenuti senza ottenere l'accesso alla rete è un aspetto fondamentale dello zero trust, perché consente di eliminare le potenziali conseguenze derivanti dal collocamento degli utenti su una rete flat.

È quindi fondamentale fornire un accesso sicuro alle app private e cloud, senza dover definire liste di controllo degli accessi nei firewall o esporre le app a Internet. Le piattaforme SSE devono poter supportare in modo nativo una connettività che vada dalle app verso l'esterno e mantenga quest'ultime invisibili a Internet. Un approccio ZTNA deve inoltre offrire scalabilità su una rete globale di punti di accesso e fornire a tutti gli utenti un'esperienza rapida, indipendentemente dalle richieste di connessione.

4. Identificazione e protezione dei dati sensibili

Il Security Service Edge consente di individuare e verificare i dati sensibili, indipendentemente da dove risiedano. Unificando le tecnologie principali di protezione dati, le piattaforme SSE offrono maggiore visibilità e semplicità su tutti i canali in cui passano i dati. Cloud DLP consente di individuare, classificare e proteggere in tutta semplicità i dati sensibili (ad es. le informazioni personali) per garantire il rispetto degli standard PCI e di altre normative. Inoltre, il Security Service Edge semplifica la protezione dati, in quanto consente di creare policy di protezione dei dati una sola volta e di applicarle al traffico inline e ai dati inattivi nelle app cloud tramite i CASB.

Le piattaforme SSE più efficaci offrono inoltre un'ispezione TLS/SSL ad alte prestazioni per analizzare anche il traffico criptato (in cui viaggiano gran parte dei dati in movimento). Un altro elemento importante per questo caso d'uso è il rilevamento dello shadow IT, che permette alle organizzazioni di bloccare le applicazioni rischiose o autorizzate su tutti gli endpoint.

Suggerimenti per scegliere la giusta piattaforma SSE

Ciò di cui hai bisogno è una piattaforma SSE che offra una sicurezza rapida e scalabile e un'esperienza utente fluida e basata sullo zero trust.

Cerca una piattaforma:

Sviluppata appositamente per offrire un'esperienza di utilizzo rapida per utenti e app cloud

Per un accesso rapido e sicuro, è necessaria un'architettura nativa del cloud distribuita a livello globale attraverso molti data center diffusi. Le piattaforme SSE create per l'ispezione offrono un vantaggio rispetto a quelle ospitate su cloud IaaS; queste ultime, infatti, non sono progettate specificamente per soddisfare la necessità di ispezionare i contenuti in tempo reale. Con ogni singolo data center che costituisce un nodo di ispezione, la sicurezza è sempre veloce e locale per l'utente, indipendentemente dalla sua posizione. Inoltre, ti consigliamo di rivolgerti a provider SSE in grado di fornire un peering rapido e solido, in modo che l'esperienza di utilizzo delle app cloud sia sempre ottimizzata.

Costruita da cima a fondo con un'architettura zero trust

Il controllo degli accessi deve essere governato dall'identità e non deve collocare mai gli utenti sulla rete. Ti consigliamo di cercare provider che supportino l'accesso zero trust per tutti gli utenti, i dispositivi, compresi quelli IoT, le app cloud e i carichi di lavoro. Anche in questo caso, un provider con una presenza globale di data center garantirà agli utenti un'esperienza sempre veloce, senza le problematiche tipiche delle VPN. L'approccio ZTNA del provider al Security Service Edge deve essere basato su una solida esperienza con distribuzioni globali di grandi dimensioni, perché la scalabilità è fondamentale per la produttività degli utenti in remoto.

In grado di eseguire un'ispezione proxy scalabile e inline

L'ispezione proxy termina entrambe le connessioni: dal dispositivo e dall'app cloud. La collocazione tra queste due connessioni permette di eseguire un'ispezione SSL completa e di impedire il passaggio "pass-through". Tutto questo offre maggiore sicurezza e un'ispezione più completa rispetto ai firewall tradizionali. Ti consigliamo di concentrarti sulle piattaforme SSE in grado di fornire un'ispezione dei contenuti e del traffico TLS/SSL su scala globale. Dato che l'ispezione inline viene solitamente eseguita sul traffico critico per l'azienda, le interruzioni dovute ai problemi di scalabilità possono avere un impatto molto significativo. È quindi necessario assicurarsi che il provider SSE selezionato abbia solidi accordi sul livello del servizio ed esperienza nell'ispezione del traffico inline per aziende globali di grandi dimensioni.

Proiettata verso l'innovazione e la crescita del Security Service Edge

Se da un lato le aziende adottano il Security Service Edge come piattaforma unificata, dall'altro, funzionalità e servizi di sicurezza aggiuntivi garantiranno che questa piattaforma SSE sia a prova di futuro. Un servizio che sta iniziando a spostarsi sul Security Service Egde è quello del monitoraggio dell'esperienza digitale, che consente ai reparti IT di individuare rapidamente i problemi di connettività tra utenti e app cloud.

Inoltre, come definito dall'architettura SASE, il consolidamento dei servizi di rete con una piattaforma SSE è fondamentale. Questo include un solido supporto della connettività per i servizi SD-WAN, per le filiali aziendali e per gli ambienti multicloud. Prendendo in considerazione i provider SASE che stanno anche innovando in ambito SSE, puoi assicurarti di scegliere una soluzione che si adatterà alla tua crescita senza aggiungere complessità al tuo ecosistema cloud.

Zscaler e il Security Service Edge

Zscaler risolve le sfide del cloud e della mobilità con una piattaforma rivoluzionaria che non si limita a offrire il Security Service Edge. Grazie allo zero trust, ti aiutiamo a ridurre i costi e la complessità, a eliminare la superficie di attacco e a offrire un'esperienza utente d'eccellenza.

Scopri di più sul Security Service Edge di Zscaler.

Consulta anche il Gartner Magic Quadrant 2023 per il Security Service Edge (SSE). Zscaler è orgogliosa di essere ancora una volta una Leader nel settore dell'SSE.

Risorse Suggerite

FAQs

Che cosa significa SASE?

SSE è l'acronimo di "Security Service Edge". La società di analisi Gartner ha introdotto questo termine nel 2021 per definire un sottoinsieme del Secure Access Service Edge (SASE), coniato da Gartner nel 2019. Come suggerisce il termine stesso, l'SSE si concentra specificamente sui servizi di sicurezza del modello SASE, e non sui servizi di accesso, per rispondere alle preferenze del mercato riguardo alla separazione di servizi di sicurezza e di rete.Vedi anche: Cos'è il SASE?

Qual è la differenza tra SWG ed SSE?

Un Secure Web Gateway (SWG) è una soluzione di sicurezza che impedisce al traffico Internet non protetto di entrare nella rete interna di un'organizzazione, proteggendo quindi gli utenti dall'accesso o dall'infezione da parte di virus, malware e altre minacce informatiche trasmesse attraverso Internet. Il Security Service Edge (SSE) è il risultato della convergenza di più servizi di sicurezza forniti attraverso il cloud, tra cui l'SWG, insieme al CASB e a un framework ZTNA

Perché l'SSE è importante?

Il framework Security Service Edge (SSE) è importante perché allinea le misure di sicurezza agli ambienti digitali moderni, dove workload, dispositivi e utenti sono in continuo movimento e dove i modelli di sicurezza tradizionali, basati sul perimetro, risultano inefficaci. Spostando la sicurezza più vicino agli utenti e ai dispositivi, l'SSE migliora la protezione, riduce la latenza e garantisce un accesso sicuro alle risorse cloud, tutti elementi fondamentali nell'attuale mondo del lavoro remoto e incentrato sul cloud.

Perché c'è bisogno di un Security Service Edge?

Il modello Security Service Edge (SSE) consente alle aziende moderne di soddisfare le esigenze della forza lavoro distribuita di oggi sfruttando un'architettura unificata e cloud per la sicurezza e la rete, in grado di proteggere utenti e dati ovunque. L'SSE offre una sicurezza più solida, una latenza ridotta, una scalabilità superiore e una gestione più semplice, il tutto attraverso un pacchetto operativo e un modello di costo più efficienti rispetto alle tradizionali distribuzioni di sicurezza on-premise.

In che modo l'SSE supporta la forza lavoro da remoto?

Il Security Service Edge (SSE) supporta la forza lavoro da remoto, proteggendola attraverso una sicurezza uniforme e coerente in tutta l'azione e offrendo un accesso sicuro, ovunque. Eliminando il backhauling al data center, l'SSE offre una latenza significativamente ridotta e prestazioni migliori. Inoltre, consente alle organizzazioni di applicare policy di sicurezza uniformi, monitorare le attività degli utenti e bloccare le minacce nell'intero ecosistema, supportando la sicurezza e la produttività dei lavoratori da remoto.