Cos'è il Secure Access Service Edge (SASE)?

La differenza fondamentale tra SASE e la sicurezza di rete tradizionale è che, invece di instradare tutto il traffico verso un data center per applicare politiche di sicurezza, SASE fornisce funzionalità di sicurezza e altri servizi più vicini al punto in cui utenti ed endpoint si connettono, sulla rete locale.

Il modello SASE offre l'opportunità di rafforzare la sicurezza della rete, semplificare la gestione delle prestazioni della rete e migliorare l'esperienza complessiva dell'utente.

Man mano che sempre più organizzazioni intraprendono la trasformazione digitale e adottano sempre più ambienti cloud, edge computing e modelli di lavoro da casa o ibridi, sempre più utenti e risorse IT risiederanno al di fuori del perimetro di rete tradizionale. SASE consente alle organizzazioni di fornire connessioni dirette, sicure e a bassa latenza tra gli utenti e queste risorse, indipendentemente da dove si trovano.

SASE sarà anche una tecnologia relativamente nuova, l'analista di settore Gartner ha coniato il termine nel 2019, ma molti esperti di sicurezza ritengono che rappresenti il futuro della sicurezza di rete.

SASE è la combinazione, o convergenza, di due tecnologie principali: Software-defined Wide Area Networking, o SD-WAN, e Secure Service Edge, o SSE. È più facile capire come funziona SASE capendo prima cosa fa ciascuna di queste tecnologie.

Una SD-WAN è una rete WAN che è stata virtualizzata, più o meno allo stesso modo in cui vengono virtualizzati i server. Separa la funzionalità di rete dall'hardware sottostante (connessioni, commutatori, router, gateway) per creare un pool di capacità di rete e funzionalità di sicurezza di rete che possono essere divise, aggregate e applicate al traffico sotto il controllo del software.

Le tradizionali reti WAN (Wide Area Network) sono state progettate per connettere gli utenti delle filiali aziendali alle applicazioni presenti nel data center aziendale centrale, solitamente tramite connessioni di rete con linee dedicate, private e costose. I router installati in ogni filiale controllavano e gestivano le priorità del traffico per garantire prestazioni ottimali alle applicazioni più importanti. Le funzioni di sicurezza, come l'ispezione dei pacchetti e la crittografia dei dati, erano applicate al data center centrale.

La SD-WAN è stata sviluppata originariamente per consentire alle organizzazioni di duplicare le proprie funzionalità WAN su un'infrastruttura internet meno costosa e più scalabile. Ma la domanda di SD-WAN è aumentata man mano che sempre più aziende hanno iniziato ad adottare servizi cloud prima di essere pronte a fidarsi della sicurezza di internet. Il modello di sicurezza WAN è stato messo alla prova: il routing di volumi sempre crescenti di traffico destinato a internet attraverso il data center aziendale ha creato un costoso collo di bottiglia e sia le prestazioni della rete che l'esperienza degli utenti sono peggiorate.

La SD-WAN elimina questo collo di bottiglia consentendo l'applicazione della sicurezza al traffico nel punto di connessione, anziché reindirizzare il traffico in modo forzato verso la sicurezza. Consente alle organizzazioni di stabilire connessioni dirette, sicure e ottimizzate tra gli utenti e tutto ciò di cui hanno bisogno: le app software-as-a-service (SaaS), le risorse cloud o i servizi internet pubblici.

Un altro termine coniato da Gartner è SSE, ovvero "la parte di SASE incentrata sulla sicurezza". Gartner definisce l'SSE come la convergenza di tre tecnologie chiave di sicurezza cloud-native:

Secure web gateway (SWG). Un SWG è un vigile del traffico internet bidirezionale. Impedisce che il traffico dannoso raggiunga le risorse di rete, utilizzando tecniche quali il filtraggio del traffico e il sistema dei nomi di dominio (DNS) per identificare e bloccare malware, ransomware e altre minacce informatiche. Inoltre, impedisce agli utenti autorizzati di connettersi a siti web sospetti: anziché connettersi direttamente a internet, gli utenti e gli endpoint si connettono all'SWG, attraverso il quale possono accedere solo alle risorse approvate (ad es. data center on-premise, applicazioni aziendali e applicazioni e servizi cloud).

Cloud access security brokers (CASB). I CASB si trovano tra gli utenti e le applicazioni e le risorse cloud. I CASB applicano politiche di sicurezza aziendali come crittografia, controllo degli accessi e rilevamento del malware quando gli utenti accedono al cloud, indipendentemente da dove o come si connettono, e possono farlo senza installare software sul dispositivo endpoint, il che li rende ideali per proteggere BYOD (Bring Your Own Device) e altri casi d'uso di trasformazione della forza lavoro. Altri CASB, invece, possono applicare politiche di sicurezza quando gli utenti si connettono ad asset cloud sconosciuti.

Zero trust network access (ZTNA). Un approccio Zero Trust all'accesso alla rete è un approccio che presuppone l'assenza di fiducia e si basa sulla verifica costante di tutti gli utenti e le entità, all'esterno o all'interno della rete. Agli utenti e alle entità convalidati viene concesso il minimo accesso privilegiato necessario per completare i loro compiti. Tutti gli utenti e le entità sono costretti a sottoporsi nuovamente a una verifica ogni volta che il loro contesto cambia e ogni interazione con i dati viene autenticata pacchetto per pacchetto fino al termine della sessione di connessione.

ZTNA non è un prodotto di sicurezza in sé, ma un approccio alla sicurezza di rete implementato utilizzando una varietà di tecnologie tra cui la gestione delle identità e degli accessi (IAM), l'autenticazione a più fattori (MFA), l'analisi del comportamento di utenti ed entità (UEBA) e varie soluzioni di rilevamento e risposta alle minacce.

Le piattaforme SASE dei singoli fornitori possono includere altre funzionalità di prevenzione delle minacce e sicurezza, tra cui firewall as a service (FWaaS), prevenzione della perdita di dati (DLP), controllo degli accessi di rete (NAC) e piattaforme di protezione degli endpoint (EPP).

Le soluzioni SASE utilizzano la SD-WAN per fornire servizi di sicurezza SSE a utenti, dispositivi e altri endpoint dove o vicino a dove si connettono, sull'edge di rete.

In particolare, anziché inviare tutto il traffico a un data center centrale per l'ispezione e la crittografia, le architetture SASE indirizzano il traffico verso punti di presenza distribuiti (PoP) situati vicino all'utente finale o all'endpoint. (I PoP sono di proprietà del fornitore di servizi SASE o stabiliti presso il data center del fornitore terzo.) Il PoP protegge il traffico utilizzando i servizi SSE distribuiti nel cloud, quindi l'utente o l'endpoint è connesso a cloud pubblici e privati, applicazioni software-as-a-service (SaaS), internet pubblico o qualsiasi altra risorsa.

SASE offre importanti vantaggi aziendali per i team di sicurezza, il personale IT, gli utenti finali e l'organizzazione nel suo complesso.

Risparmio sui costi, in particolare meno spese in conto capitale. SASE è essenzialmente una soluzione di sicurezza SaaS: i clienti acquistano l'accesso al software per la configurazione e il controllo di SASE e ottengono tutti i vantaggi dell'hardware del fornitore di servizi cloud su cui viene fornito. Anziché indirizzare il traffico dal router di una filiale all'hardware di un data center on-premise per motivi di sicurezza, i clienti SASE indirizzano il traffico verso il cloud dalla connessione internet più vicina.

Le aziende possono anche utilizzare SASE come soluzione ibrida fornita sia nel cloud pubblico che nell'infrastruttura on-premise dell'organizzazione, integrando hardware di rete fisico, appliance di sicurezza e data center con le loro controparti virtualizzate cloud-native.

Gestione e operazioni semplificate. I framework SASE offrono un'unica soluzione coerente per proteggere tutto ciò che si connette o tenta di connettersi alla rete, non solo gli utenti, ma anche i dispositivi IoT (Internet of Things), le API, i microservizi containerizzati o le applicazioni serverless e persino le macchine virtuali (VM) che si avviano su richiesta. Inoltre, eliminano la necessità di gestire una serie di soluzioni di punti di sicurezza (router, firewall, ecc.) in ogni punto di connessione. I team IT o di sicurezza possono invece creare un'unica politica centrale per proteggere tutte le connessioni e le risorse sulla rete e gestire tutto da un unico punto di controllo.

Cybersecurity più solida. Se implementato correttamente, il SASE può migliorare la sicurezza a diversi livelli. La gestione semplificata rafforza la sicurezza, riducendo la possibilità di errori o configurazioni errate. Per proteggere il traffico degli utenti remoti, SASE sostituisce l'autorizzazione generalizzata e unica dell'accesso alla rete privata virtuale (VPN) con il controllo di accesso a grana fine, basato sull'identità e sul contesto, di ZTNA su applicazioni, directory, set di dati e workload. 

Esperienza utente migliore e più coerente. Con SASE gli utenti si collegano alla rete nello stesso modo, indipendentemente dal fatto che lavorino in sede, in una filiale, da casa o in viaggio e che si colleghino ad applicazioni e risorse ospitate nel cloud o on-premise. I servizi SD-WAN indirizzano automaticamente il traffico al PoP più vicino e, una volta applicate le politiche di sicurezza, ottimizzano le connessioni per ottenere le migliori prestazioni possibili.

SASE offre vantaggi a tutte le organizzazioni che stanno abbandonando il modello di distribuzione delle applicazioni basato su un data center centrale. Oggi, tuttavia, alcuni casi d'uso specifici ne stanno promuovendo l'adozione.

Protezione della forza lavoro ibrida senza colli di bottiglia VPN. Da quasi due decenni le VPN sono il mezzo più diffuso per proteggere gli utenti remoti o mobili. Le VPN, tuttavia, non sono scalabili in modo facile o economico, cosa che molte organizzazioni hanno imparato a proprie spese quando la loro forza lavoro è passata completamente al lavoro da remoto a causa della pandemia di COVID-19. Al contrario, SASE consente una scalabilità automatica per supportare i requisiti di sicurezza dei lavoratori da remoto in particolare e di una forza lavoro in evoluzione in generale.

Adozione dell'hybrid cloud e migrazione al cloud. L'hybrid cloud combina cloud pubblico, cloud privato e infrastruttura on-premise in un unico ambiente di elaborazione flessibile, dove i workload si muovono liberamente tra le infrastrutture man mano che cambiano le circostanze. Le soluzioni di sicurezza WAN non sono progettate per questo tipo di mobilità dei workload, ma SASE, che astrae le funzionalità di sicurezza dall'infrastruttura sottostante, protegge il traffico ovunque si diriga. Inoltre, offre alle organizzazioni la flessibilità di migrare i workload nel cloud a qualsiasi ritmo.

Edge computing e proliferazione dei dispositivi IoT/OT. L'edge computing è un modello di distributed computing che colloca le applicazioni e le risorse di elaborazione fuori dal data center centralizzato e più vicino alle fonti di dati, quali telefoni cellulari, dispositivi IoT o OT (Operational Technology) e server di dati. Questa vicinanza si traduce in tempi di risposta delle applicazioni migliorati e insight più rapidi, in particolare per applicazioni di intelligenza artificiale (AI) e machine learning che elaborano enormi volumi di dati in streaming in tempo reale.

Per abilitare queste applicazioni, le organizzazioni o i fornitori di soluzioni hanno distribuito migliaia di sensori IoT o dispositivi OT, molti dei quali con poca o nessuna configurazione di sicurezza. Ciò rende questi dispositivi i principali obiettivi degli hacker, che possono dirottarli per accedere a fonti di dati sensibili, interrompere le operazioni o organizzare attacchi DDoS (Distributed Denial-of-Service). SASE può applicare politiche di sicurezza a questi dispositivi mentre si connettono alla rete e fornire visibilità di gestione su tutti i dispositivi connessi da una dashboard centrale.