Cos’è la SASE (Secure Access Service Edge)?

Il Secure Access Service Edge (SASE) è una tecnologia emergente che combina l’infrastruttura IT tradizionale e i servizi cloud per supportare una serie di utenti e le loro sedi. Invece di richiedere agli utenti di autenticarsi singolarmente su più piattaforme, SASE fornisce agli utenti l’accesso a tutti i servizi cloud tramite data center. Questi centri dati forniscono controlli di accesso in cui gli amministratori possono gestire gli utenti e le risorse cloud. Tradizionalmente, gli utenti si connettono a una rete entro il perimetro delle loro scrivanie, ma la transizione globale verso il lavoro da casa ha cambiato il volto dell’IT e della cybersecurity.

In una rete WAN tradizionale, gli amministratori creano “point solutions” in diverse sedi. Ogni segmento WAN ha i propri firewall, componenti di rete e gestione degli utenti. Ogni segmento si collega a un segmento di controllo centralizzato, dove è possibile configurare i server e altri tipi di gestione degli accessi.

Invece, in un progetto SASE, le soluzioni point vengono spostate nei data center, evitando che gli amministratori debbano gestire dispositivi fisici. Il cloud provider offre firewall e strumenti di gestione degli accessi, per cui gli amministratori hanno un carico di lavoro ridotto. Gli amministratori devono ancora gestire i servizi cloud, ma il cloud provider gestisce l’hardware fisico.

Gli utenti si collegano alla rete, ma invece di utilizzare dispositivi WAN individuali, si connettono ai data center che ospitano la rete aziendale. Gli amministratori possono monitorare e controllare tutti i servizi nel cloud e autorizzare gli utenti ad accedervi, invece di gestire servizi diversi su Internet.

Quando l’infrastruttura IT cambia, la sicurezza deve essere progettata intorno ad essa per garantire la sicurezza delle applicazioni e dei dati aziendali. Il modello di sicurezza SASE cerca di risolvere i problemi di cybersecurity legati all’architettura WAN tradizionale e a qualsiasi nuova risorsa cloud fornita per il nuovo ambiente.

I componenti di rete e di sicurezza utilizzati in un modello SASE sono in gran parte costituiti da tecnologie più recenti, ma progettate per funzionare con le WAN integrate nel cloud. L’aggiunta di funzionalità SASE è necessaria per un ambiente utente stabile. Le tecnologie utilizzate nel modello SASE comprendono:

• SD-WAN: Una SD-WAN basata su software connette tutti gli utenti remoti e gestisce la loro rete privata. La SD-WAN collega gli utenti ai centri dati. I fornitori di servizi cloud di solito forniscono data center con più punti di presenza (PoP). La posizione dell’utente determina su quale centro dati (o gruppo di centri dati) l’utente si connette. Collegando gli utenti a data center vicini alla loro posizione, le prestazioni migliorano. La latenza diminuisce perché il traffico di rete viaggia attraverso i centri dati invece che su Internet.
• Zero trust: in un ambiente tradizionale, le aziende si fidano intrinsecamente degli utenti connessi alla rete. Tuttavia, le minacce interne sono diventate un problema reale per le aziende, dove gli utenti installano, intenzionalmente o meno, malware o divulgano dati agli aggressori. Pertanto, una politica di zero-trust all’interno di una WAN è essenziale. In un modello di sicurezza SASE, la zero trust viene implementata in tutti i segmenti di rete e nell’accesso ai dati, dove vengono applicati gli standard di minor privilegio per l’autorizzazione.
• Cloud services: L’implementazione di servizi cloud non è una novità per il networking, ma in un modello SASE gli utenti non si collegano direttamente al servizio cloud dai loro computer di lavoro. Si collegano invece alla rete aziendale ospitata nei data center del cloud e utilizzano le risorse della rete aziendale per collegarsi alle applicazioni. In questo modo gli amministratori possono monitorare gli accessi e centralizzare i controlli di accesso.
• Identity access management (IAM): Obbligando gli utenti a connettersi alla rete prima di accedere alle risorse cloud, gli amministratori possono controllare l’accesso utilizzando la gestione delle identità (IAM) invece degli indirizzi IP. Gli amministratori possono aggiungere utenti ai gruppi e autorizzare l’accesso ai gruppi. L’organizzazione dell’autorizzazione per gruppi rende più facile per gli amministratori gestire l’accesso a diverse risorse e revocare i privilegi quando necessario.

SASE offre un approccio avanzato alla sicurezza delle reti che sta diventando sempre più vitale. Con la SASE security, le aziende possono connettere in modo sicuro gli utenti a qualsiasi applicazione per fornire la migliore esperienza all’utente, proteggendo al contempo la rete e le risorse basate su cloud da qualsiasi luogo e dispositivo.

SASE incorpora le architetture di sicurezza SD-WAN e cloud, fornendo un percorso di accesso sicuro e diretto all’utente che riduce la latenza. Ciò si ottiene proteggendo il DIA (accesso diretto a Internet), che è il percorso di accesso più diretto per l’utente, impedendo il traffico dannoso e intervenendo prima che raggiunga l’azienda. SASE può anche mitigare gli attacchi DDoS e consentire uno stack di sicurezza completo in qualsiasi punto della rete.

La SASE funge da struttura per un’architettura di rete che riunisce in un’unica piattaforma le tecnologie di sicurezza cloud-native, tra cui SWG (secure web gateway), CASB (cloud access security broker), ZTNA (zero-trust network access) e FWaaS (firewall-as-a-service). Questa integrazione consente una gamma completa di funzionalità di sicurezza per migliorare la visibilità e il controllo.

La SASE contribuisce inoltre a semplificare la sicurezza della rete consolidando più funzioni di sicurezza in una piattaforma unificata, riducendo la complessità e i costi. Semplificando i protocolli di sicurezza, le organizzazioni possono gestire facilmente le loro reti, migliorare la sicurezza e ridurre il rischio di minacce informatiche. È diventato uno strumento fondamentale per le organizzazioni che desiderano una rete sicura e risorse basate su cloud, garantendo al contempo un’esperienza utente ottimale.

Un cambiamento nell’infrastruttura IT comporta un costo iniziale, pertanto le aziende si preoccupano di conoscerne i vantaggi prima di affrontare la ristrutturazione della rete. Nonostante i costi iniziali, una soluzione SASE consente inevitabilmente di risparmiare denaro e offre numerosi altri vantaggi che le organizzazioni possono sfruttare:

Riduzione dei costi

Invece di gestire e acquistare più prodotti puntuali per servire e proteggere diversi segmenti WAN, l’organizzazione può ridurre i costi utilizzando le risorse del data center e un sistema di gestione centralizzato.

Prestazioni migliorate

La rete aziendale all’interno dei data center dispone di una propria infrastruttura e dorsale di rete. Gli utenti si collegano a un data center vicino alla loro posizione, riducendo così la latenza della rete.

Complessità ridotta

Con l’infrastruttura tradizionale, l’IT deve gestire ogni componente attraverso i segmenti WAN. Con SASE, il network opera nel cloud del data center, riducendo i componenti gestiti dagli amministratori e la complessità della rete.

Prevenzione delle minacce

L’architettura SASE offre funzionalità di sicurezza complete, come l’occultamento di applicazioni e risorse, la segmentazione e la valutazione del rischio basata su utente/dispositivo/locazione (UEBA). Inoltre, la crittografia/decrittografia in linea, il controllo distribuito e i piani dati garantiscono l’ispezione e la protezione di tutte le connessioni.

Consistent Policy

L’architettura SASE offre servizi UTM completi, applica criteri coerenti e abilita dinamicamente le connessioni in base all’autenticazione, all’identità e alle regole aziendali, offrendo un’esperienza utente client-cloud sicura e coerente.

Nuovi scenari di business

SASE utilizza un accesso sicuro indipendentemente dal luogo in cui si trova, consentendo un lavoro sicuro da qualsiasi luogo, l’adozione di SaaS senza soluzione di continuità e ambienti multi-cloud flessibili. La loro architettura scalabile, incentrata sul cloud e conveniente elimina i problemi e supporta la crescita.

Migliore IAM

Invece di gestire gli indirizzi IP, gli amministratori gestiscono gli utenti e i gruppi di utenti. Questo IAM centralizzato e organizzato garantisce una maggiore sicurezza e un migliore controllo degli accessi.

Poiché SASE è una nuova metodologia di architettura di rete, alcuni amministratori ne temono gli inconvenienti. Inseguire le tecnologie o i processi più recenti può essere costoso, soprattutto se non rappresentano un’alternativa migliore. Una tecnologia inadeguata può essere disastrosa per l’IT e complicare la gestione dei sistemi.

Gli svantaggi di SASE sono pochi, ma gli amministratori potrebbero riscontrare alcune difficoltà:

• Un single point of failure (singolo punto di guasto): se non viene configurata in modo appropriato, una soluzione SASE può rappresentare un singolo punto di guasto, soprattutto per gli utenti remoti. Gli utenti che non possono collegarsi alla rete locale non possono accedere agli strumenti o ai servizi di produttività necessari.
• Affidamento a un unico fornitore di cloud: una volta che la rete si affida ai data center cloud, l’organizzazione è vincolata a un unico fornitore. Eventuali variazioni di prezzo o modifiche all’architettura del provider cloud si ripercuotono sull’azienda e potrebbero costringere gli amministratori a modificare la configurazione della rete.
• Adozione e integrazione: sebbene la SASE security possa offrire molti vantaggi, le aziende che non hanno ancora abbracciato completamente l’adozione del cloud potrebbero trovare difficile far convergere la sicurezza di rete e l’accesso in un unico modello, con potenziali inconvenienti.
• Mantenere la continuità aziendale: l’ecosistema SASE può essere complesso e segmentato, rendendo difficili alcuni processi chiave per le organizzazioni che desiderano implementare la tecnologia.
• Coesione della rete: la scelta del giusto partner SASE e il coordinamento tra i professionisti del networking e della sicurezza può rappresentare una sfida, in quanto le aziende devono valutare attentamente le proprie opzioni e lavorare in modo collaborativo per ottenere un’implementazione di successo.

Queste sfide possono essere superate utilizzando un design multi-cloud in cui un provider può essere utilizzato come failover e un altro supporta la produttività quotidiana. Tuttavia, questo metodo è anche costoso. Le organizzazioni con diversi utenti remoti e risorse cloud possono trarre i migliori vantaggi da SASE, nonostante le sue sfide. I costi associati a un guasto catastrofico superano di gran lunga quelli del failover.

L’utilizzo di un framework SASE può ottimizzare le funzioni di rete, ridurre i costi e migliorare le prestazioni complessive, ma la scelta del fornitore giusto è fondamentale per sbloccare il suo potenziale. Ecco alcuni criteri chiave da considerare nella scelta di un fornitore SASE.

• Approccio cloud-nativo: assicurarsi che il fornitore della soluzione SASE abbia uno stack software cloud-nativo convergente nel proprio modello. Questo copre i bordi della rete on-site, mobile e cloud-based, a differenza delle appliance SD-WAN e di altre soluzioni “point”.
• Supporto di rete dinamico: con le condizioni di rete dinamiche tra le filiali remote o gli utenti/dispositivi e i gateway cloud, è possibile dare priorità alla connettività consapevole delle applicazioni, che supporta un’esperienza utente ottimale.
• Integrazione: scegli un fornitore di SASE che offra l’integrazione Zero Trust Network Access (ZTNA), la quale concede l’accesso alla rete in base alle applicazioni e alle identità degli utenti, consentendo così un approccio contestuale alla sicurezza della rete.
• Kit di strumenti completo: cerca fornitori esperti che offrano una soluzione completa, che comprenda: SD-WAN, FWaaS, ZTNA, CASB, SWG, DLP, dati sensibili, ispezione del malware e analisi del comportamento degli utenti.
• Scalabilità della rete: cerca un fornitore di SASE che fornisca una dorsale privata supportata da un service level agreement (SLA) globale, che garantisca alle aziende prestazioni di rete eccellenti su vasta scala.
• Interfaccia: alcuni fornitori offrono un’interfaccia facile da usare, che semplifica la sicurezza e la gestione quotidiana della rete, consentendo ai professionisti IT di concentrarsi maggiormente sulle funzioni aziendali e sulla risoluzione degli errori.
• Configurazione unificata: collabora con un fornitore di SASE che offra una gestione single-pane-of-glass per unificare la definizione e la gestione di: utenti, dispositivi, reti e criteri di sicurezza, per fornire informazioni in tempo reale e storiche con strumenti basati sull’intelligenza artificiale per una correlazione e una risoluzione dei problemi efficienti.