Zpedia 

/ Cosa si intende per SASE (Secure Access Service Edge)?

Cosa si intende per SASE (Secure Access Service Edge)?

Il SASE (Secure Access Service Edge) è un framework per l'architettura di rete che unisce le tecnologie di sicurezza native del cloud, in particolare SWG, CASB, ZTNA e FWaaS, alle funzionalità della WAN (Wide Area Network), per connettere in modo sicuro utenti, sistemi ed endpoint ad applicazioni e servizi in ogni luogo.

Leggi l'articolo di blog "SASE ed SSE a confronto"
Zero TrustSicurezza sul cloud
  1. Cosa significa
  2. Come funziona
  3. È solo marketing?
  4. I componenti del SASE
  5. 3 vantaggi
  6. Perché è necessario
  7. SASE di Zscaler
  8. Risorse suggerite
  9. Domande frequenti
  10. Argomenti correlati

Cosa significa SASE?

Il SASE, o Secure Access Service Edge, è stato definito per la prima volta da Gartner nel report del 2019 "The Future of Network Security is in the Cloud" (Il futuro della sicurezza della rete è sul cloud) e si fonda sulla convergenza delle funzionalità della WAN con quelle di sicurezza della rete, per offrire alle aziende maggiore agilità, prestazioni di rete più solide e affidabili, visibilità e controllo più avanzati e granulari sugli ambienti IT eterogenei e molto altro.

Il SASE è diverso dal Security Service Edge (SSE), che viene definito da Gartner come un sottoinsieme del SASE che si concentra specificamente sui servizi di sicurezza necessari per una piattaforma SASE sul cloud.

Come funziona il SASE?

L'architettura SASE combina una SD-WAN (Software-Defined Wide Area Network) o un'altra WAN con molteplici funzionalità di sicurezza (ad esempio, CASB e antimalware) per proteggere il traffico di rete.

Gli approcci legacy all'ispezione e alla verifica del traffico, come l'inoltro ai firewall nel data center attraverso un servizio MPLS (Multiprotocol Label Switching), sono efficaci se è lì che si trovano anche gli utenti. Oggi però, con così tanti utenti che lavorano da remoto, questo "hairpinning" (ovvero l'inoltro del traffico degli utenti in remoto al data center per ispezionarlo e poi inviarlo di nuovo indietro) tende a ridurre la produttività e a danneggiare l'esperienza dell'utente finale.

Il SASE si contraddistingue dalle soluzioni singole e dalle altre strategie di sicurezza della rete perché è sicuro e diretto. Invece di fare affidamento sulla sicurezza del data center, il traffico proveniente dai dispositivi degli utenti viene ispezionato in un PoP nelle vicinanze, quindi inviato a destinazione. Questo si traduce in un accesso più efficiente alle applicazioni e ai dati e in una maggiore affidabilità di questa soluzione nella protezione della forza lavoro distribuita e dei dati sul cloud.

Il SASE è solo marketing?

Il SASE ha attirato molta attenzione da parte dei provider e dei media che si occupano di reti e sicurezza, ma ciò che lo rende più interessante è il principio su cui si basa, secondo cui la sicurezza e le architetture di rete incentrate sul data center non sono più efficienti. Non si tratta quindi solo di un accattivante slogan di marketing; al contrario, è un concetto che ha ricevuto un forte sostegno da parte del settore.

Ma cosa offre una soluzione SASE rispetto alle tradizionali soluzioni di sicurezza per le aziende in cui gli uffici sono collegati tramite reti private e il traffico viene instradato attraverso Secure Web Gateway e firewall?

Come sottolinea Gartner, i modelli tradizionali, in cui connettività e sicurezza si basano sul data center, dovrebbero invece focalizzarsi sull'identità di utenti e dispositivi. Secondo il report, nel mondo del lavoro digitale moderno, che ruota attorno alle soluzioni cloud, gli utenti, i dispositivi e le applicazioni per cui è richiesto l'accesso sicuro sono distribuiti ovunque.

In altre parole, i flussi di lavoro, i modelli di traffico e i casi d'uso di oggi sono molto diversi rispetto all'epoca in cui le reti hub-and-spoke sono state concepite. Ecco i motivi:

  • Il traffico utente si muove sempre più verso i servizi cloud rispetto ai datacenter
  • Il lavoro viene eseguito sempre più spesso fuori dalla rete
  • Sempre più workload sono in esecuzione sui servizi cloud e non nei data center
  • Si usano sempre più applicazioni SaaS rispetto a quelle ospitate localmente
  • Ci sono più dati sensibili sui servizi cloud anziché sulla rete aziendale

Quote

Il perimetro di sicurezza non è più racchiuso in una scatola all'edge del data center, è ormai esteso e abbraccia qualsiasi luogo, pertanto l'azienda necessita di un'architettura SASE basata su policy e creata dinamicamente.

Gartner, The Future of Network Security Is in the Cloud, 30 agosto 2019, Lawrence Orans, Joe Skorupa, Neil MacDonald

I componenti del modello SASE

Il SASE può essere suddiviso in sei elementi essenziali in base alle relative funzionalità e tecnologie:

1. La SD-WAN (Software-Defined Wide Area Network)

è un'architettura overlay che riduce la complessità e ottimizza l'esperienza utente, in quanto è progettata per selezionare il percorso migliore per raggiungere Internet, le app cloud e il data center. Aiuta inoltre a distribuire rapidamente nuove app e servizi e a gestire le policy in numerose sedi diverse.

2. Secure Web Gateway (SWG)

Gli SWG impediscono al traffico Internet non sicuro di entrare sulla rete interna. Inoltre, impediscono ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi da Internet, malware e altre minacce informatiche.

3. Cloud Access Security Broker (CASB)

I CASB prevengono perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità, garantendo un utilizzo sicuro delle app e dei servizi cloud. Questi strumenti proteggono le app cloud ospitate su cloud pubblici (IaaS), cloud privati o distribuite come servizio (SaaS).

4. Firewall as a Service (FWaaS)

I firewall come servizio (FWaaS) aiutano a sostituire gli apparecchi firewall fisici con firewall sul cloud, che offrono le funzionalità avanzate dei firewall Layer 7/di nuova generazione (NGFW), tra cui il controllo degli accessi, come il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza del DNS.

5. Zero Trust Network Access (ZTNA)

Le soluzioni ZTNA offrono agli utenti in remoto un accesso sicuro alle app interne. In un modello zero trust, l'attendibilità non viene mai data per scontata, e l'accesso a privilegi minimi viene concesso sulla base di policy granulari. Questo approccio offre agli utenti in remoto una connettività sicura senza collocarli sulla rete o esporre le app a Internet.

6. Gestione centralizzata

La gestione di tutti questi componenti da un'unica console consente di superare molte sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy, e permette di applicare queste ultime in modo uniforme in tutta l'organizzazione, ovunque siano gli utenti.

3 vantaggi del modello SASE

Come può riuscire un'azienda ad applicare controlli degli accessi e a garantire la sicurezza tenendo conto anche di queste comuni realtà? È qui che entrano in gioco le piattaforme SASE, che includono funzionalità WAN (SD-WAN) e servizi di sicurezza completi. Il SASE su base cloud offre vantaggi significativi alle aziende che riescono ad abbandonare la tradizionale infrastruttura on-premise di rete e sicurezza per usufruire appieno di tutti i benefici dei servizi cloud, della mobilità e di altri aspetti della trasformazione digitale.

1. Riduzione dei costi e della complessità dell'IT

Per consentire un accesso sicuro ai servizi cloud, proteggere utenti e dispositivi in remoto e colmare altre lacune nella sicurezza, le organizzazioni hanno adottato svariate soluzioni di distinte, incrementando significativamente i costi e le spese di gestione. Questa strategia corrisponde però a un modello di sicurezza di rete on-premise che si rivela del tutto inefficace in un mondo digitale.

Invece di cercare di utilizzare un concetto legacy per risolvere un problema moderno, il SASE rivoluziona l'approccio alla sicurezza. Non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. Basati sul concetto dell'edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza di un'organizzazione, questo approccio autorizza o nega in modo dinamico le connessioni ad applicazioni e servizi.

2. Esperienza utente veloce e senza interruzioni

Quando gli utenti erano sulla rete e l'IT possedeva e amministrava integralmente le app e l'infrastruttura, l'esperienza utente era facile da controllare e prevedere. Oggi, anche negli ambienti multicloud distribuiti, molte aziende utilizzano comunque le VPN per connettere gli utenti alle loro reti e potenziare la sicurezza. Queste ultime offrono però un'esperienza utente scadente ed estendono la superficie di attacco di un'organizzazione, esponendo gli indirizzi IP.

In risposta a questa inefficienza, il SASE consente di ottimizzare le operazioni grazie all'applicazione della sicurezza in prossimità di ciò che deve essere protetto: quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, in quanto gestisce in modo intelligente e in tempo reale le connessioni in corrispondenza degli Internet Exchange e ottimizza le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.

3. Riduzione del rischio

In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi insiti nella nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Collocando la sicurezza, che include la protezione dalle minacce e la prevenzione della perdita di dati (DLP), al centro del modello di connettività, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente dalla posizione, dall'app o dalla crittografia.

Un componente fondamentale del framework SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori in remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.

Perché il SASE è necessario?

La trasformazione digitale del business richiede maggiore agilità e scalabilità, una riduzione della complessità e una sicurezza potenziata. Inoltre, le aziende moderne devono poter garantire ai propri utenti esperienze d'uso ottimali, ovunque si trovino.

Queste circostanze hanno reso il SASE una necessità, non più un optional. Ecco perché:

  • Il SASE si adatta alla crescita del business: quando l'azienda cresce, sia la rete che la sicurezza devono essere in grado di gestire il conseguente aumento della domanda. Grazie al suo modello di distribuzione sul cloud, il SASE garantisce che il business, la rete e la sicurezza possano crescere ad evolversi allo stesso ritmo.
  • Il SASE favorisce il lavoro da qualsiasi luogo: le architetture hub-and-spoke tradizionali non sono in grado di tollerare la larghezza di banda necessaria per offrire ai dipendenti in remoto la flessibilità di cui hanno bisogno per rimanere produttivi. Il SASE invece sì, e lo fa offrendo una sicurezza di livello aziendale, che copre tutti gli utenti e i dispositivi, in qualsiasi luogo.
  • Il SASE risponde all'evoluzione delle minacce informatiche: i team addetti alla sicurezza sono costantemente in azione per contrastare le minacce più recenti. Il SASE li agevola fornendo loro una sicurezza e una semplicità di gestione di livello superiore e offrendo la possibilità di gestire le minacce avanzate da qualsiasi luogo esse provengano.
  • Il SASE è la base per l'adozione dell'IoT: l'IoT, o Internet delle cose, si sta rivelando una risorsa utile per le aziende di tutto il mondo, ma per adottare efficacemente questa tecnologia e le sue funzionalità, è necessario costruire il relativo ecosistema su una solida piattaforma. Il SASE permette di raggiungere i propri obiettivi IoT grazie a una connettività e una sicurezza senza precedenti.

Tutti questi fattori hanno portato i provider di servizi di rete e sicurezza a mettere insieme in modo approssimativo le loro versioni di architettura SASE; molti di essi sostengono di aver progettato un prodotto distribuito sul cloud, ma in realtà in molti casi si tratta solo di piattaforme cloud basate su hardware legacy.

Solo un fornitore è in grado di offrire un modello SASE realmente distribuito sul cloud. Come abbiamo fatto? Abbiamo creato la nostra piattaforma sul cloud e per il cloud.

Quote

"Entro il 2024, almeno il 40% delle imprese avrà messo a punto strategie definitive per l'adozione del modello SASE, una percentuale che alla fine del 2018 non raggiungeva neppure l'1%".

Gartner, Il futuro della sicurezza di rete è nel cloud

SASE di Zscaler

Zscaler Zero Trust Exchange™ è la nostra soluzione SASE, che offre un modello rapido, flessibile, semplice e sicuro per connettere utenti e dispositivi. La nostra piattaforma è facile da distribuire e gestire, in quanto si tratta di un servizio automatizzato e fornito sul cloud; inoltre, grazie al fatto che è distribuita a livello globale, gli utenti saranno sempre a un passo dalle loro applicazioni.

a diagram showing how cloud-based SASE platform offers significant benefits to organizations

Ecco cosa contraddistingue la nostra soluzione SASE:

  • Un'architettura nativa del cloud e multitenant in grado di adattare le prestazioni dinamicamente in base alla richiesta
  • Un'architettura proxy per l'ispezione completa del traffico cifrato su larga scala
  • Sicurezza e policy più vicine agli utenti, per eliminare il backhauling inutile
  • Lo ZTNA (Zero Trust Network Access), che limita l'accesso e fornisce una segmentazione nativa delle applicazioni
  • L'azzeramento della superficie di attacco per la prevenzione degli attacchi mirati, perché le reti di origine e le identità non vengono esposte a Internet

Attraverso il peering con centinaia di partner nei principali Internet exchange di tutto il mondo, Zero Trust Exchange offre prestazioni e affidabilità ottimali agli utenti.

promotional background

Scopri come la nostra architettura SASE può aiutarti a ridurre i costi e la complessità dell'IT, migliorando al tempo stesso la sicurezza e l'esperienza degli utenti.

Scopri di più sul SASE zero trust

Risorse suggerite

Una vera soluzione SASE richiede un'architettura incentrata sul cloud
Leggi il blog
Tavola rotonda con Gartner: il futuro della sicurezza della rete è il SASE
Guarda on demand
Zscaler SASE: un'architettura moderna per un mondo mobile e incentrato sul cloud
Scopri di più
FAQ