
Security Service Edge (SSE) Cos’è il Security Service Edge (SSE)?
Il Security Service Edge, o SSE, è il componente di sicurezza del SASE (Secure Access Service Edge) che protegge l’accesso al web, alle applicazioni SaaS e alle applicazioni private. Include funzionalità di sicurezza avanzate come Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Firewall as a Service (FWaaS).
- Il Security Service Edge (SSE) in dettaglio
- Come funziona l’SSE?
- Componenti dell’SSE
- Qual è la differenza tra l’SSE e il SASE?
- Perché considerare l’SSE?
- Quali sono i vantaggi dell’SSE?
Il Security Service Edge (SSE) in dettaglio
Con la nascita degli ambienti di lavoro ibrido, gli utenti si connettono da qualsiasi luogo e dispositivo, accedendo alle applicazioni aziendali e ai dati sensibili direttamente nel cloud. Poiché il tradizionale perimetro di sicurezza continua a dissolversi, anche le funzioni di sicurezza devono passare al cloud. L’SSE consente alle organizzazioni di implementare una sicurezza coerente a partire dal cloud e di proteggere l'accesso alle applicazioni distribuite su più cloud, data center e applicazioni SaaS. Una soluzione SSE, se abbinata a una SD-WAN avanzata, crea un’architettura Secure Access Service Edge (SASE) che migliora notevolmente la qualità dell’esperienza degli utenti finali per le applicazioni in hosting su cloud.
Come funziona l’SSE?
Una soluzione SSE protegge l’accesso remoto a web, servizi cloud e applicazioni private.
Di solito le aziende eseguono l’hosting delle applicazioni a livello centrale nei data center, facilitando un’ampia gamma di ispezioni di sicurezza come firewall e IDS/IPS. Con lo spostamento al cloud e le iniziative di lavoro da remoto, risulta più difficile proteggere le applicazioni dalle minacce esterne, poiché operano in ambienti distribuiti al di fuori del perimetro di sicurezza tradizionale. Le infrastrutture di rete legacy impediscono ai reparti IT di monitorare tutte le connessioni tra gli utenti e le applicazioni SaaS. Inoltre, l’indirizzamento del traffico destinato al cloud verso il data center per l’ispezione di sicurezza influisce in modo significativo (e negativo) sulle prestazioni delle applicazioni e sull’esperienza degli utenti.
Le soluzioni Security Service Edge sono servizi distribuiti tramite cloud che consentono alle organizzazioni di eseguire ispezioni di sicurezza avanzate più vicine agli endpoint, inclusi gli utenti e i dispositivi. Tali soluzioni creano un perimetro di sicurezza dinamico che offre protezione dalle minacce, sicurezza dei dati, monitoraggio e controllo degli accessi, indipendentemente da dove si connettono gli utenti.
Componenti dell’SSE
Il Security Service Edge (SSE) comprende quattro componenti core per la sicurezza.
- ZTNA presuppone che, per impostazione predefinita, nessun utente possa essere ritenuto affidabile per l’accesso fino a prova contraria. Mentre la VPN offre agli utenti connessi un ampio accesso alla rete aziendale, ZTNA lo limita attraverso un trust broker alle applicazioni o ai microsegmenti specifici approvati per l’utente.
- CASB identifica e rileva i dati sensibili nelle applicazioni cloud, tra cui l’accesso da cloud a cloud. e applica le policy di sicurezza come l’autenticazione e il single sign-on (SSO), impedendo agli utenti di iscriversi e utilizzare applicazioni cloud non autorizzate dalle policy IT e di sicurezza dell’organizzazione. Questo a sua volta consente di ridurre lo shadow IT che causa problemi di sicurezza e compliance.
- SWG protegge le organizzazioni dalle minacce basate sul web con diverse tecniche di difesa. Risiede tra un utente e un sito web, in modo che gli utenti si colleghino alla soluzione SWG responsabile di diverse ispezioni di sicurezza, tra cui il filtraggio degli URL, il rilevamento di codice dannoso e il controllo dell’accesso al web, per poi reindirizzare il traffico al sito web.
- FWaaS è un firewall basato su cloud che analizza il traffico da più origini. Consolida il traffico da più posizioni gestite dall’organizzazione, tra cui la sede centrale dell’azienda, le filiali remote e gli utenti mobili. Supporta spesso i controlli degli accessi critici come IDS/IPS, la prevenzione avanzata delle minacce, il filtraggio degli URL e la sicurezza DNS.
- Oltre alle funzionalità principali riportate sopra, possono essere offerti altri servizi di sicurezza come Data Loss Prevention (DLP), Remote Browser Isolation (RBI) e il sandboxing.


Qual è la differenza tra l’SSE e il SASE?
L’SSE si concentra esclusivamente sui servizi di sicurezza forniti tramite cloud. Protegge l'accesso degli utenti alle applicazioni, a Internet e ai dati. Il SASE combina funzioni di rete e di sicurezza. Integra la SD-WAN nella gestione del traffico con l’SSE in un'architettura coerente, garantendo sia connettività che sicurezza, indipendentemente da dove risiedano gli utenti o i dispositivi, per un accesso sicuro e prestazioni di rete all'edge.
Nonostante la rete e la sicurezza siano strettamente correlate, rientrano in due domini di competenze diversi ed estremamente complessi. I servizi di sicurezza si evolvono rapidamente per garantire protezione dai rischi di cybersicurezza in continua evoluzione, mentre le funzioni di rete WAN (Wide Area Network) garantiscono una connettività veloce, stabile e flessibile. Il SASE può contribuire a semplificare e integrare questi domini tradizionali e separati con protezione coerente, prestazioni ottimizzate, scalabilità e flessibilità. Unendo questi due settori complessi in un servizio coeso, riduce la necessità di competenze approfondite in entrambi gli ambiti, migliorando al contempo la sicurezza e le prestazioni.
Perché considerare l’SSE?
- L’SSE fornisce un accesso remoto sicuro. Il lavoro ibrido è la nuova normalità e le aziende devono quindi proteggere i dipendenti da remoto affinché possano connettersi da qualsiasi luogo. L’SSE offre funzionalità Zero Trust in base alle quali, per impostazione predefinita, nessun utente può essere considerato attendibile. In base all’identificazione, gli utenti possono accedere ad alcune parti della rete e vedere le applicazioni cloud rilevanti per il loro ruolo solo all’interno dell’organizzazione, evitando che accedano e utilizzino dati aziendali sensibili.
- L’SSE protegge le organizzazioni cloud-first dalle minacce esterne. Con l’accelerazione della digitalizzazione, la criminalità informatica è cresciuta di pari passo. A seguito dello spostamento di gran parte delle applicazioni al cloud, le organizzazioni devono ora individuare modi efficaci per proteggere le risorse digitali. L’SSE fornisce funzionalità di firewall e protegge le organizzazioni dalle minacce del web con diverse tecniche, ad esempio il filtraggio degli URL e il rilevamento di codice dannoso. Grazie alle funzionalità CASB, protegge i dati sensibili in hosting nel cloud applicando le policy di sicurezza. Altre funzionalità di sicurezza, come Remote Browser Isolation (RBI), isolano gli utenti web da Internet ricostruendo le pagine web senza il codice dannoso.
- L’SSE e la SD-WAN contribuiscono alla realizzazione di una soluzione SASE senza compromessi. Le organizzazioni non possono scendere a compromessi quando si tratta di sicurezza, per questo devono avere la libertà di scelta tra queste due opzioni per le loro esigenze. La prima opzione è una piattaforma SASE unificata fornita da un single vendor. La soluzione abbina funzionalità SD-WAN avanzate a funzionalità SSE e offre un approccio integrato unificato, consentendo una distribuzione rapida e una gestione semplificata. La seconda opzione è una soluzione multi-vendor in cui le imprese possono selezionare una piattaforma SD-WAN avanzata che semplifica la connettività e si integra perfettamente con più fornitori di sicurezza cloud, offrendo quindi la massima flessibilità di scelta in base alle proprie esigenze.
Quali sono i vantaggi dell’SSE?
- Sicurezza superiore. L’SSE avvicina la sicurezza all’utente e consente di adottare un approccio più flessibile alla connettività, al di fuori del perimetro aziendale. L’SSE in hosting nel cloud può essere aggiornato facilmente per far fronte alle minacce alla sicurezza più recenti. Inoltre, le modifiche alle policy possono essere inviate in modo automatico e immediato agli utenti da remoto con un approccio coerente alla sicurezza.
- Operazioni semplificate. L’SSE unifica diversi servizi di sicurezza in un’unica piattaforma eliminando le sovrapposizioni e sfruttando i vantaggi di una singola piattaforma attraverso la deduplicazione e l’armonizzazione delle policy di sicurezza. Fornisce una maggiore visibilità negli incidenti di sicurezza da una posizione centrale contribuendo a semplificare le operazioni e a ridurre i costi.
- Accesso sicuro. L’SSE supporta il lavoro ibrido fornendo accesso sicuro alle applicazioni da qualsiasi luogo e dispositivo in base ai principi di accesso con privilegi minimi. Inoltre, la tecnologia SSE protegge i dipendenti dal traffico web dannoso e garantisce una protezione costante dei dati aziendali sensibili. Se abbinata a una SD-WAN, i dipendenti nelle filiali possono connettersi in modo sicuro e senza problemi alla rete aziendale o al cloud.