SASE (Secure Access Service Edge) Cosa si intende per SASE?
Il SASE (si pronuncia “sassy”) è un’architettura che unisce funzionalità WAN complete, tra cui SD-WAN, instradamento e ottimizzazione del traffico WAN, con servizi di sicurezza distribuiti nel cloud o SSE (Security Service Edge) come SWG, CASB e ZTNA.
- Descrizione del SASE
- Come funziona il SASE?
- Componenti del SASE
- Perché considerare il SASE?
- SASE single vendor o multivendor?
- Cos'è una piattaforma SASE single vendor?
- I vantaggi del SASE
Descrizione del SASE
Il SASE garantisce una soluzione più sicura e flessibile agli utenti che si connettono da qualsiasi luogo ai dati sensibili nel cloud, evitando il backhaul del traffico delle applicazioni verso un data center: il traffico è rendirizzato in modo intelligente nel cloud, dove viene eseguita un’ispezione di sicurezza avanzata.
Il SASE risponde all’esigenza di miglioramento delle prestazioni delle applicazioni e di potenziamento della protezione della rete di pari passo con l’aumento del numero di utenti da remoto e la continua migrazione delle applicazioni aziendali al cloud.
Come funziona il SASE?
Il SASE è una combinazione di edge SD-WAN distribuito alla filiale e servizi di sicurezza completi distribuiti nel cloud (SSE).
In passato, tutto il traffico delle applicazioni proveniente dalle filiali veniva trasferito tramite servizi MPLS privati al data center aziendale per verifiche e ispezioni di sicurezza. L’architettura tradizionale risultava adeguata quando le applicazioni erano ospitate esclusivamente nel data center aziendale, ma non è più un’opzione valida a seguito della migrazione delle applicazioni e dei servizi nel cloud. Le prestazioni delle applicazioni e l’esperienza utente risentono del fatto che il traffico destinato a Internet deve prima attraversare il data center e il firewall aziendale per raggiungere la destinazione.
Con l’aumento dei dipendenti da remoto che si connettono direttamente alle applicazioni cloud, le tradizionali misure di sicurezza perimetrali sono insufficienti. Trasformando le architetture WAN e di sicurezza con il SASE, le aziende possono garantire l’accesso diretto e sicuro alle applicazioni e ai servizi negli ambienti multi-cloud, indipendentemente dal punto di accesso e dai dispositivi usati.
Componenti del SASE
I principali componenti del SASE sono l’SD-WAN avanzata e i servizi di sicurezza completi distribuiti nel cloud (Security Service Edge o SSE).
Una soluzione SASE completa richiede alcune funzionalità SD-WAN avanzate fondamentali.
- Integrazione senza problemi di una soluzione SSE per formare un’architettura SASE unificata e coerente.
- Individuazione delle applicazioni con first-packet per una gestione intelligente e granulare del traffico verso l’SSE in base alle policy di sicurezza.
- Selezione del percorso migliore sfruttando la diversità dei percorsi SD-WAN e scegliendo automaticamente il punto di presenza (PoP) SSE più vicino.
- Tunnel bonding per abbinare più collegamenti e supportare il failover automatizzato.
- Ottimizzazione della WAN e FEC (Forward Error Correction) per superare gli effetti di latenza della WAN e attenuare quelli dei collegamenti Internet e wireless che spesso sono soggetti a perdita di pacchetti e jitter.
- Reti multi-cloud per connettività end-to-end con cloud pubblici e cloud privati.
- Firewall integrato con funzionalità di sicurezza avanzate quali IDS/IPS, protezione DDoS e segmentazione basata sui ruoli per una protezione avanzata dalle minacce nelle filiali.
- Provisioning zero touch per la distribuzione automatica delle configurazioni e delle policy e l'implementazione agevole delle modifiche,
Una soluzione SASE completa richiede alcune funzionalità SSE fondamentali.
- ZTNA o Zero Trust Network Access: si basa sul presupposto che nessun utente può essere considerato attendibile per impostazione predefinita, supporta l’accesso con privilegi minimi e garantisce l’accesso sicuro agli utenti da remoto.
- CASB o Cloud Access Security Broker: protegge i dati sensibili nelle applicazioni cloud applicando policy di sicurezza.
- SWG o Secure Web Gateway: protegge le organizzazioni dalle minacce del Web con diverse tecniche, come il filtraggio URL e il rilevamento di codice dannoso
- FWaaS o Firewall as-a-Service: fornisce funzionalità di firewall nel cloud per analizzare il traffico proveniente da diverse origini.
- Altri servizi di sicurezza, come Data Loss Prevention (DLP), Remote Browser Isolation (RBI) e sandboxing.
Perché considerare il SASE?
- Il SASE protegge il lavoro ibrido
Poiché i dipendenti si collegano da qualsiasi luogo e dispositivo, ZTNA prevede l'applicazione coerente delle policy e il controllo degli accessi per gli utenti e i dispositivi. Supporta l'accesso con privilegi minimi e garantisce che nessun utente sia considerato attendibile per impostazione predefinita. A differenza di una VPN che offre un ampio accesso alla rete aziendale, ZTNA limita l'accesso solo ad applicazioni o microsegmenti specifici che sono stati approvati per l'utente. - Il SASE protegge gli utenti dalle minacce basate sul web
Per proteggere le organizzazioni dalle minacce basate sul web, come gli attacchi ransomware e il phishing, SWG monitora e ispeziona il traffico tramite il filtraggio degli URL, il rilevamento di codici dannosi e il controllo dell'accesso web, stabilendo policy che limitano l'accesso a categorie specifiche, tra cui contenuti per adulti, piattaforme di gioco d'azzardo e siti che presentano notoriamente rischi significativi. - Il SASE contribuisce a proteggere i dati sensibili nelle applicazioni SaaS
I dati più sensibili sono ora ospitati in applicazioni SaaS, autorizzate e non autorizzate. Il CASB (Cloud Access Security Broker) svolge un ruolo fondamentale a livello di individuazione e rilevamento dei dati sensibili nelle applicazioni cloud, monitoraggio delle attività degli utenti, esposizione dello shadow IT e prevenzione della perdita di informazioni. - Il SASE consente alle organizzazioni cloud-first di modernizzare la rete
Le architetture tradizionali utilizzano spesso collegamenti MPLS per connettere le filiali alla sede centrale: questa architettura richiede il blackhauling al data center per le ispezioni di sicurezza, aumentando la latenza a scapito delle prestazioni delle applicazioni. Con la SD-WAN, le organizzazioni indirizzano il traffico in modo intelligente verso il cloud, direttamente dalle filiali, e implementano un sistema attendibile e flessibile per collegare queste ultime alla sede centrale. - Il SASE potenziato con una SD-WAN sicura e orientata al business fornisce sicurezza IoT
I dispositivi IoT in genere comprendono funzionalità di sicurezza di base, ma non un agente ZTNA. Le soluzioni SD-WAN sicure possono andare oltre quelle definite dal SASE integrando le funzionalità NGFW. Possono implementare la segmentazione della rete zero trust in base al controllo di identità e accessi, in modo che gli utenti e i dispositivi IoT raggiungano solo le destinazioni di rete autorizzate dal rispettivo ruolo all’interno dell’azienda.
SASE single vendor o multivendor?
Le funzioni di rete e i servizi di sicurezza, anche se strettamente correlati tra loro, rientrano in due domini di competenze diversi ed estremamente complessi. I servizi di sicurezza si evolvono rapidamente per garantire una protezione dai rischi di cybersicurezza in continua evoluzione, mentre le funzioni di rete WAN garantiscono una connettività veloce, stabile e flessibile. Il vero potenziale di un’architettura SASE si realizza abbinando funzioni avanzate dell’edge WAN con servizi di sicurezza SSE completi distribuiti nel cloud.
La scelta di una soluzione single vendor o multivendor può variare a seconda dei requisiti di sicurezza e della rete WAN esistenti. La solida integrazione dell’SSE e della SD-WAN in una piattaforma SASE single vendor offre numerosi vantaggi, tra cui maggiore rapidità di distribuzione, gestione centralizzata, policy di sicurezza coerenti e capacità di adattarsi facilmente al panorama delle minacce in continua evoluzione. L’approccio multivendor è consigliato alle organizzazioni che preferiscono adottare il SASE con la propria selezione di servizi di sicurezza o integrarlo con un ecosistema esistente. In questo ambiente multivendor, è fondamentale scegliere una SD-WAN che automatizzi l'orchestrazione con soluzioni SSE di terzi per ridurre al minimo i tempi di distribuzione e la complessità di gestione.
Cos'è una piattaforma SASE single vendor?
Una piattaforma SASE single vendor riduce la complessità associata alla gestione di più componenti di sicurezza: questa architettura integrata non solo semplifica la distribuzione, ma consente anche policy di sicurezza unificate, gestione centralizzata e accesso zero trust coerente. Ecco le funzionalità principali.
- Architettura e scalabilità cloud-native
Una piattaforma SASE single vendor è progettata con un'architettura cloud-native, sfruttando la scalabilità e l'agilità del cloud computing. Questa architettura consente alle organizzazioni di allocare dinamicamente le risorse in base alla domanda di traffico, per una rete più efficiente e adattabile. - Presenza di rete globale
Una piattaforma SASE single vendor garantisce una presenza di rete globale attraverso punti di presenza (PoP) distribuiti geograficamente per prestazioni costanti e bassa latenza, indipendentemente dalla posizione dell'utente. Semplifica la gestione ed elimina la necessità di avere più PoP come invece previsto dall’approccio SASE multivendor. - Gestione unificata delle policy
Una piattaforma SASE single vendor gestisce tutte le policy di sicurezza da un'unica interfaccia, semplificando le operazioni, riducendo la complessità e aiutando le organizzazioni a distribuire e applicare policy coerenti in modo efficace. - Interfaccia utente centralizzata, dashboard completi
Una piattaforma SASE single vendor offre ai team IT la possibilità di gestire tutte le operazioni di rete e sicurezza da un'interfaccia utente centralizzata, con maggiore visibilità sul traffico di rete, sugli eventi di sicurezza e sull'applicazione delle policy. Migliora le funzionalità di generazione dei report, fornendo alle organizzazioni gli strumenti per dimostrare la compliance ai requisiti normativi e agli standard di settore. - Funzionalità SASE combinate
Con una piattaforma SASE single-vendor, le organizzazioni possono facilmente combinare più funzionalità SASE per potenziare il livello di sicurezza e ispezionare il traffico in un unico passaggio. L'ispezione SSL viene eseguita una sola volta, migliorando le prestazioni e riducendo la complessità. Inoltre, combinando SWG e CASB con DLP, possono monitorare meglio le attività degli utenti per evitare fughe di dati sensibili e applicare controlli ancora più granulari sull'accesso al web. - AIOps
Una soluzione SASE single vendor include funzionalità di intelligenza artificiale per migliorare la visibilità degli utenti e dei dispositivi connessi e abilitare un controllo adattivo degli accessi. Automatizza le comuni attività di risoluzione dei problemi e diagnostica i problemi di rete più comuni, fornendo al contempo analisi predittive per anticipare le minacce e i problemi di prestazioni che si possono presentare in futuro.
I vantaggi del SASE
SASE non è solo una parola di moda: i vantaggi che le aziende possono ricavare da questa architettura sono notevoli.
- Sicurezza avanzata
In un momento in cui le organizzazioni sono sempre più orientate ad adottare un modello cloud-first, il SASE garantisce un’applicazione delle policy di sicurezza coerente in tutta la rete, portando l’ispezione di sicurezza nel cloud. Protegge l’accesso remoto e i dati aziendali dalle attività dannose. - Maggiore produttività aziendale e customer satisfaction
Implementando un’architettura SASE, le organizzazioni possono semplificare l’infrastruttura di rete in base a funzionalità SD-WAN avanzate. L’SD-WAN elimina la complessità e la rigidità delle reti tradizionali basate su router. Aggiunge la flessibilità che richiede la trasformazione digitale e migliora notevolmente l’affidabilità e le prestazioni delle applicazioni. - Modello di sicurezza Zero Trust
Il SASE adotta il modello di sicurezza Zero Trust, che richiede la verifica continua dell'identità degli utenti prima di concedere l'accesso alle risorse. Zero Trust è la soluzione ideale per il panorama delle minacce attuale, in cui i modelli di sicurezza tradizionali non sono più sufficienti a garantire protezione dalle minacce informatiche più sofisticate.