Il SASE (Secure Access Service Edge), composto da un approccio software-defined alla gestione della rete Wide-Area Network (SD-WAN) e dal componente di sicurezza cloud-delivered Security Service Edge (SSE), è un’architettura di rete diventata molto nota nel settore della sicurezza. Per chi non è un esperto di cybersecurity potrebbero sembrare solo parole buttate lì, ma i professionisti dell’IT sanno bene che il SASE, una soluzione che offre alla forza lavoro ibrida una cybersecurity di livello aziendale costante, indipendentemente dalla sua ubicazione, è composta da questi due elementi.
Anche approfondendo il tema, però, c’è ancora confusione sul significato di SSE e su quali soluzioni di sicurezza cloud-delivered siano necessarie per un approccio SASE completo. La mancata comprensione di ogni elemento e del modo in cui essi lavorano insieme per proteggere la forza lavoro ibrida può lasciare l’organizzazione con una soluzione incompleta, problemi di gestione e, potenzialmente, costose violazioni.
Sicurezza cloud-delivered all’interno del SASE
L’SSE è una soluzione di sicurezza distribuita nel cloud che unisce quattro componenti: Firewall-as-a-Service (FWaaS), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Zero Trust Network Access (ZTNA). Ognuno di questi prodotti lavora insieme per proteggere gli utenti, i dispositivi e gli edge delle applicazioni, indipendentemente dalla loro ubicazione.
FWaaS, una soluzione unica per tutti
L’FWaaS consente alle organizzazioni di spostare la security inspection, parzialmente o integralmente, su un’infrastruttura cloud. Con la sicurezza nel cloud, la soluzione è gestita dal provider del cloud, che mantiene l’infrastruttura hardware che alimenta la soluzione. Molte aziende desiderano un’architettura service-based perché in questo modo hanno la libertà di espandere la copertura della sicurezza senza dover fornire nuovo hardware. L’FWaaS è un’opzione che si adatta a tutti, indipendentemente dalle dimensioni dell’organizzazione.
Con l’FWaaS, i siti e gli utenti distribuiti di un’organizzazione sono collegati a un unico firewall globale con una politica di sicurezza unificata e consapevole delle applicazioni, consentendo di scalare meglio la sicurezza. L’FWaaS offre le funzionalità dei firewall di nuova generazione (Next-generation firewall, NGFW), tra cui il web filtering e l’intrusion prevention system (Sistema di rilevamento delle intrusioni (IPS), sicurezza Domain Name System (DNS), filtraggio dei file, protezione dalle minacce) senza gli elevati costi associati all’investimento in un’infrastruttura WAN on-premise. La tecnologia FWaaS consente inoltre l’ispezione SSL (Secure Sockets Layer) ad alte prestazioni e il rilevamento avanzato delle minacce tramite il cloud, mantiene connessioni sicure e analizza il traffico in entrata e in uscita senza impattare sull’esperienza dell’utente.
SWG, per proteggersi dalle cyber-minacce avanzate trasmesse dal web
L’SWG protegge dagli attacchi provenienti da Internet, nello specifico le connessioni degli utenti e, poiché le minacce diventano sempre più sofisticate, gli aggressori fanno gli straordinari per infiltrarsi nelle reti e rimanere nascosti il più a lungo possibile.
Per una protezione completa contro gli attacchi provenienti da Internet, l’SWG dovrebbe avere le seguenti caratteristiche: intrusion prevention, per bloccare le minacce; DNS filtering, per proteggere dalle minacce sofisticate basate su DNS; e sandboxing, per isolare il codice potenzialmente dannoso. Tradizionalmente, l’SWG è stato fornito con firewall on-premise o appliance proxy dedicate, ma con il SASE, l’SWG viene fornito come proxy basato su cloud all’interno dell’SSE.
CASB, per proteggere le risorse in cloud
Il CASB si colloca tra gli utenti e le loro applicazioni cloud Software-as-a-Service (SaaS) per applicare i criteri di sicurezza quando gli utenti accedono alle risorse basate sul cloud. I quattro pilastri del CASB sono: visibilità per tutte le applicazioni cloud, sicurezza dei dati integrata, protezione avanzata dalle minacce e conformità in base al settore (ad esempio, con l’Health Insurance Portability and Accountability Act (HIPAA), per la sanità; e con la Financial Industry Regulatory Authority (FINRA), per gli istituti finanziari).
In particolare, il CASB offre una visibilità completa dell’utilizzo delle applicazioni cloud, come le informazioni sui dispositivi e sulla posizione, per aiutare le organizzazioni a salvaguardare i dati, la proprietà intellettuale e gli utenti. Inoltre, fornisce cloud discovery analysis, che consente alle organizzazioni di valutare il rischio dei servizi cloud e di decidere se concedere agli utenti l’accesso alle applicazioni. Le soluzioni CASB devono includere strumenti di Data Loss Prevention (DLP), in modo che le organizzazioni possano monitorare le informazioni sensibili che si spostano tra gli ambienti on-premise e quelli cloud, per evitare fughe di dati.
I CASB consentono inoltre alle organizzazioni di proteggersi dagli attacchi insider da parte di utenti autorizzati. Possono creare modelli di utilizzo completi, da utilizzare come base per l’identificazione di comportamenti anomali, consentendo alle organizzazioni di rilevare accessi impropri o tentativi di furto di dati non appena si verificano.
ZTNA, salvaguardia delle connessioni alle risorse private
Le soluzioni ZTNA verificano tutti gli utenti e i dispositivi quando tentano di accedere alle applicazioni e ai dati aziendali e continua anche dopo che l’utente ha ottenuto l’accesso e si muove attraverso la rete. L’utilizzo dell’approccio ZTNA per l’accesso alle applicazioni consente alle organizzazioni di abbandonare i tradizionali tunnel della virtual private network (VPN) che consentono un accesso illimitato all’intera rete aziendale. L’implementazione dello ZTNA richiede solide capacità di autenticazione, potenti strumenti di controllo degli accessi alla rete e politiche di accesso alle applicazioni pervasive. Per capire la differenza, si pensi, ad esempio, a una persona che si registra in un hotel e che viene dotata di una chiave magnetica per accedere alla propria stanza; è così che funziona lo ZTNA. Al contrario, la VPN è più simile a una persona che riceve una chiave che apre tutte le stanze dell’hotel.
L’approccio Single-Vendor SASE
L’ESS è un componente critico del SASE, ma è solo una parte. SD-WAN è l’altra parte ed è fondamentale perché fornisce una connettività efficiente e un’esperienza ottimale tra utente e applicazione.
La sicurezza cloud-delivered deve funzionare perfettamente con la soluzione SD-WAN per un’implementazione SASE completa e facile da gestire. L’approccio single-vendor è il migliore per:
- offrire una sicurezza integrata per tutti gli utenti, le applicazioni e i dispositivi;
- semplificare la gestione fornendo un’unica console di gestione per tutte le funzioni di sicurezza e di rete;
- migliorare le prestazioni, ottimizzando il flusso di traffico tra gli utenti, le applicazioni e il cloud, riducendo la latenza;
- ridurre i costi eliminando la necessità di gestire più fornitori e i loro prodotti.
Bisogna però fare attenzione alla pubblicità ingannevole. Quando il SASE è stato introdotto sul mercato, conteneva più di 20 componenti. Per approfittare della domanda di questa nuova soluzione, più di 70 vendor hanno dichiarato di fornire il SASE, mentre in realtà offrivano solo una funzionalità come l’SD-WAN o l’SWG. Negli ultimi anni, la definizione di SASE e SSE è stata semplificata per riflettere le tecnologie convergenti e le realtà del lavoro ibrido, ma ci sono ancora molti vendor che dichiarano di fornire il SASE e che nella pratica non lo fanno.
Alcuni vendor hanno persino acquisito funzionalità per poter affermare di avere un SASE single-vendor, pur richiedendo ai clienti di utilizzare client e console diversi per gestire la loro soluzione, il che mina i vantaggi di un approccio single-vendor.
La diffusione del SASE continuerà a crescere
Il SASE è ancora una soluzione relativamente nuova, quindi continua a evolversi e non è più solo una parola d’ordine. Offre un modo più snello ed efficiente per gestire e proteggere il traffico di rete, soprattutto nel contesto di una forza lavoro ibrida. Una soluzione correttamente implementata protegge le connessioni da e verso Internet, nonché le applicazioni SaaS e private.
Per assicurarsi che nessuna minaccia avanzata penetri nelle reti, nei dispositivi o negli edge, le soluzioni di sicurezza cloud-delivered all’interno del SASE devono essere mantenute aggiornate per includere gli ultimi sviluppi per la protezione contro le cyber-minacce emergenti e in continua evoluzione.
