SASE è un approccio alla sicurezza di rete che combina funzionalità di rete e sicurezza di rete in un unico servizio cloud. La principale differenza tra SASE e la sicurezza di rete tradizionale è che invece di reindirizzare tutto il traffico verso un data center per applicare le politiche di sicurezza, SASE offre funzionalità di sicurezza e altri servizi vicino ai punti in cui gli utenti e gli endpoint si connettono, al perimetro della rete.

Il modello SASE offre un grande potenziale per rafforzare la sicurezza della rete, semplificare la gestione delle prestazioni della rete e migliorare l'esperienza complessiva dell'utente.

Man mano che sempre più organizzazioni perseguono la trasformazione digitale — e adottano sempre più ambienti cloud, edge computing e modelli di lavoro da casa o ibridi —sempre più utenti e risorse IT risiederanno al di fuori del tradizionale perimetro della rete. SASE consente alle organizzazioni di fornire connessioni dirette, protette e a bassa latenza tra gli utenti e queste risorse, indipendentemente da dove si trovino. SASE potrebbe essere una tecnologia relativamente nuova — l'analista di settore Gartner ha definito il termine nel 2019 — ma, secondo molti esperti di sicurezza, rappresenta il futuro della sicurezza di rete.

SASE è la combinazione, o convergenza, di due tecnologie principali: SD-WAN (software-defined wide area networking) e SSE (secure service edge). Il funzionamento di SASE può essere compreso più facilmente se prima si comprende il funzionamento di ciascuna di queste tecnologie.

SD-WAN

Una SD-WAN è una WAN (wide-area network) che è stata virtualizzata, più o meno allo stesso modo in cui vengono virtualizzati i server. Separa le funzionalità di rete dall'hardware sottostante — connessioni, switch, router, gateway — per creare un pool di capacità di rete e capacità di sicurezza di rete che possono essere suddivise, aggregate e applicate al traffico sotto il controllo del software.

Le WAN tradizionali sono state progettate per collegare gli utenti per connettere gli utenti nelle filiali aziendali alle applicazioni in un data center aziendale centrale, solitamente tramite connessioni di rete dedicate, private e costose. I router installati presso ogni filiale controllavano e assegnavano la priorità al traffico per garantire prestazioni ottimali delle applicazioni più importanti. Le funzioni di sicurezza, come l'analisi dei pacchetti e la codifica dei dati, venivano applicate nel data center centrale.

Le SD-WAN sono state originariamente sviluppate per consentire alle organizzazioni di duplicare le proprie funzionalità WAN su un'infrastruttura internet più scalabile e meno costosa. Tuttavia, la domanda di SD-WAN è aumentata poiché sempre più aziende hanno iniziato ad adottare i servizi cloud prima ancora di essere del tutto pronte a fidarsi della sicurezza di Internet. Il modello di sicurezza WAN è stato messo in discussione: l'instradamento di volumi sempre crescenti di traffico destinato a Internet attraverso il data center aziendale ha creato un costoso collo di bottiglia, causando il peggioramento delle prestazioni e dell'esperienza utente.

SD-WAN elimina questo collo di bottiglia consentendo di applicare la sicurezza al traffico nel punto di connessione, invece di forzare l'instradamento del traffico verso la sicurezza. Consente alle organizzazioni di stabilire connessioni dirette, protette e ottimizzate tra gli utenti e tutto ciò di cui essi hanno bisogno — app Saas (software-as-a-service), risorse cloud o servizi internet pubblici.

SSE

Un altro termine coniato da Gartner, SSE è "la metà di sicurezza di SASE." Gartner definisce SSE come la convergenza di tre tecnologie chiave per la sicurezza nativa del cloud:

SWG (Secure web gateway). Un SWG è un controllo bidirezionale del traffico internet. Impedisce al traffico dannoso di raggiungere le risorse di rete, utilizzando tecniche come il filtraggio del traffico e l'ispezione delle query DNS (Domain Name System) per identificare e bloccare malware, ransomware e altre minacce informatiche. Inoltre, impedisce agli utenti autorizzati di collegarsi a siti Web sospetti: invece di collegarsi direttamente a Internet, gli utenti e gli endpoint si collegano all'SWG, attraverso il quale possono accedere solo alle risorse approvate (ad esempio data center on premise, applicazioni aziendali e servizi e applicazioni cloud).

CASB (Cloud access security broker). I CASB si trovano tra gli utenti e le applicazioni e le risorse cloud. I CASB applicano politiche di sicurezza aziendali come la codifica, il controllo degli accessi e il rilevamento di malware quando gli utenti accedono al cloud, indipendentemente da dove o dal modo in cui viene effettuata la connessione — e possono farlo senza installare software sul dispositivo endpoint; in questo modo, rappresentano la soluzione ideale per la protezione di BYOD (bring your own device) e altri casi d'uso di trasformazione della forza lavoro. Altri CASB possono applicare le politiche di sicurezza anche quando gli utenti si collegano a risorse cloud sconosciute.

ZTNA (Zero trust network access). Un approccio zero trust all'accesso alla rete è un tipo di approccio che convalida continuamente tutti gli utenti e le entità, siano essi all'esterno o già all'interno della rete. Agli utenti e alle entità convalidati viene concesso l'accesso con privilegi minimi necessario per completare le proprie attività. Tutti gli utenti e le entità sono obbligati a eseguire nuovamente la convalida ogni volta che il relativo contesto viene modificato, e ogni interazione di dati viene autenticata pacchetto per pacchetto fino al termine della sessione di connessione.

ZTNA non è un prodotto di sicurezza in sé, ma un approccio alla sicurezza di rete implementato utilizzando diverse tecnologie, tra cui IAM (identity and access management), MFA (multi-factor authentication), UEBA (user and entity behavior analytics) e varie soluzioni di rilevazione e risposta alle minacce.

Le piattaforme SASE dei singoli fornitori possono includere altre funzionalità di sicurezza e prevenzione delle minacce, tra cui FWaaS (firewall as a service), DLP (data loss prevention), NAC (network access control) ed EPP (endpoint protection platform).

Unione delle varie tecnologie

Le soluzioni SASE utilizzano SD-WAN per fornire servizi di sicurezza SSE a utenti, dispositivi e altri endpoint nei punti in cui viene eseguita la connessione o in prossimità di tali punti, al perimetro della rete.

Nello specifico, invece di rimandare tutto il traffico a un data center centrale per l'ispezione e la codifica, le architetture SASE indirizzano il traffico verso POP (points of presence) distribuiti che si trovano vicino all'utente finale o all'endpoint. I PoP sono di proprietà del provider di servizi SASE o stabiliti presso un data center del fornitore di terza parti. Il PoP protegge il traffico utilizzando i servizi SSE forniti dal cloud, quindi l' utente o l'endpoint è connesso a cloud pubblici e privati, applicazioni SaaS (software-as-a-service), Internet pubblico o qualsiasi altra risorsa.

SASE offre importanti vantaggi aziendali per i team di sicurezza, lo staff IT, gli utenti finali e l'organizzazione nel suo insieme.

Risparmio sui costi — in particolare, minori spese capitali. SASE è essenzialmente una soluzione di sicurezza SaaS: i clienti acquistano l'accesso al software per l'impostazione e il controllo di SASE e ottengono tutti i vantaggi dell'hardware del provider di servizi cloud su cui viene fornito. Invece di instradare il traffico dal router di una filiale all'hardware del data center on-premise per la sicurezza, i clienti SASE indirizzano il traffico verso il cloud dalla connessione Internet più vicina.

Le aziende possono anche utilizzare SASE come soluzione ibrida distribuita sia nel cloud pubblico che nell'infrastruttura on-premise dell'organizzazione, integrando hardware di rete fisico, dispositivi di sicurezza e data center con le relative controparti native del cloud virtualizzate.

Gestione e operazioni semplificate. I framework SASE forniscono un'unica soluzione coerente per proteggere tutto ciò che si connette o tenta di connettersi alla rete — non solo gli utenti, ma anche i dispositivi IoT (Internet of Things), le API, i microservizi containerizzati o le applicazioni serverless e persino le macchine virtuali (VM) che si attivano su richiesta. Inoltre, elimina la necessità di gestire una serie di soluzioni per punti di sicurezza — router, firewall e così via — in ogni punto di connessione. Invece, i team IT o di sicurezza possono creare un'unica politica centrale per proteggere tutte le connessioni e le risorse sulla rete e possono gestire tutto da un unico punto di controllo.

Sicurezza informativa più forte. Se implementato correttamente, SASE può migliorare la sicurezza su diversi livelli. La gestione semplificata rafforza la riservatezza riducendo la possibilità di errori o configurazioni errate. Per proteggere il traffico da utenti remoti, SASE sostituisce l'autorizzazione generale e valida per tutti dell'accesso alla VPN (virtual private network) con il controllo degli accessi granulare, basato sull'identità e sul contesto di ZTNA su applicazioni, directory, dataset e e carichi di lavoro. 

Esperienza utente migliore e più coerente. Con SASE, gli utenti si collegano alla rete allo stesso modo, sia che lavorino in sede, in una filiale, da casa o in mobilità — e sia che si connettano ad applicazioni e risorse ospitate nel cloud oppure on-premise. I servizi SD-WAN instradano automaticamente il traffico al PoP più vicino e, una volta applicate le politiche di sicurezza, ottimizzano le connessioni per ottenere le migliori prestazioni possibili.

SASE offre vantaggi a qualsiasi organizzazione che si sta allontanando dal modello di distribuzione delle applicazioni del data center centrale. Tuttavia, oggi, una manciata di casi d'uso specifici ne sta guidando l'adozione.

Protezione delle forze di lavoro ibride senza colli di bottiglia VPN. Per quasi due decenni, le VPN sono state lo strumento principale per la protezione di utenti remoti o mobili. Tuttavia, le VPN non sono scalabili facilmente o senza costi, e molte organizzazioni lo hanno imparato a proprie spese quando la propria forza di lavoro è diventata completamente remota a causa della pandemia da COVID-19. Al contrario, SASE può scalare dinamicamente per supportare i requisiti di sicurezza dei lavoratori remoti in particolare e una forza lavoro in evoluzione in generale.

Adozione del cloud ibrido e migrazione al cloud. Il cloud ibrido combina cloud pubblico, cloud privato e infrastruttura on-premise in un unico ambiente di elaborazione flessibile, in cui i carichi di lavoro si spostano liberamente tra le infrastrutture in base alle circostanze. Le soluzioni di sicurezza WAN non sono progettate per questo tipo di mobilità dei carichi di lavoro, ma SASE, che astrae le funzionalità di sicurezza dall'infrastruttura sottostante, protegge il traffico ovunque si sposti. Inoltre, offre alle organizzazioni la flessibilità necessaria per migrare i carichi di lavoro nel cloud a qualsiasi ritmo.

Edge computing e proliferazione di dispositivi IoT/OT. L'edge computing è un modello di calcolo distribuito che individua le applicazioni e le risorse di elaborazione al di fuori del data center centralizzato e più vicino a fonti di dati come telefoni cellulari, dispositivi IoT o OT (operational technology) e server di dati. Questa prossimità si traduce in tempi di risposta delle applicazioni migliorati e insight più rapidi, in particolare per le applicazioni di AI e machine learning che elaborano enormi volumi di dati in streaming in tempo reale.

Per abilitare queste applicazioni, le organizzazioni o i fornitori di soluzioni hanno implementato migliaia di sensori IoT o dispositivi OT, molti dei quali con poca o nessuna configurazione di sicurezza. Ciò rende questi dispositivi un obiettivo primario degli hacker, che possono dirottarli per accedere a fonti di dati sensibili, interrompere le operazioni oppure organizzare attacchi DDoS (Distributed Denial of Service). SASE può applicare politiche di sicurezza a questi dispositivi nel momento in cui si connettono alla rete e fornire visibilità di gestione su tutti i dispositivi connessi da un dashboard centrale.