Cos'è il SASE?

Secure access service edge (SASE) è un'architettura cloud-native che unifica SD-WAN con funzioni di sicurezza come SWG, CASB, FWaaS e ZTNA in un unico servizio.

Architettura SASE

Technical diagram depicting SASE architecture
Figura 1. Architettura SASE

 

Un’architettura SASE (secure access service edge) combina le funzioni di rete e security-as-a-service in un unico servizio distribuito nel cloud al margine della rete. Questo consente a un’organizzazione di supportare gli utenti in sedi dislocate remote e ibride automaticamente, connettendoli a gateway cloud nelle vicinanze anziché effettuare il backhauling del traffico ai data center aziendali. Fornisce anche un accesso sicuro e coerente a tutte le applicazioni mantenendo la piena visibilità e l’ispezione del traffico in tutte le porte e protocolli.

Il modello semplifica radicalmente la gestione e riduce la complessità, che sono due degli obiettivi principali di SASE. Trasforma il perimetro in un set coerente di funzionalità basate su cloud che possono essere utilizzate dove e quando necessario. È un’alternativa più semplice rispetto a stabilire un perimetro intorno al data center usando diverse appliance di sicurezza isolate.

Essendo basato sul cloud, SASE consente una rete più dinamica e ad alte prestazioni che si adatta ai requisiti aziendali mutevoli, a uno scenario delle minacce in evoluzione e alle nuove innovazioni che plasmeranno il futuro della tua rete.

Componenti SASE

The 5 core components of SASE including SD-WAN, ZTNA, SWG, CASB, and FWaaS
Figura 2. Componenti SASE

 

Il framework SASE mira a consolidare varie funzioni e funzionalità in prodotti o servizi minimi da un numero limitato di fornitori. Questo approccio migliora la velocità operativa e semplifica la gestione. Cinque tecnologie sono essenziali per le distribuzioni di SASE.

SWG

Il Secure Web Gateway (SWG) fornisce il filtraggio degli URL, la decrittografia SSL, il controllo delle applicazioni e il rilevamento e la prevenzione delle minacce per le sessioni Web degli utenti.

Firewall as a Service (FWaaS)

FWaaS offre un firewall cloud-native di nuova generazione, che fornisce un’ispezione avanzata di livello 7, controllo di accesso, rilevamento e prevenzione delle minacce e altri servizi di sicurezza.

CASB

Un broker di sicurezza per l'accesso al cloud (CASB) è responsabile delle applicazioni SaaS sanzionate e non sanzionate e offre il rilevamento dei malware e delle minacce. Come parte di una soluzione DLP, assicura visibilità e controllo dei dati sensibili nei repository SaaS.

ZTNA

Zero Trust network access (ZTNA) consente funzionalità di verifica e ispezione continue e offre l’applicazione delle policy sulla base di identità e applicazioni per l’accesso ai dati e alle applicazioni sensibili di un’organizzazione.

SD-WAN

Una SD-WAN fornisce una rete di overlay separata dall’hardware sottostante, fornendo un traffico flessibile e sicuro tra i siti e diretto a Internet.

Casi d'uso di SASE

Agevolare la forza lavoro ibrida

Per la forza lavoro ibrida, un approccio coerente alle prestazioni di rete e alla sicurezza è essenziale. Un'architettura SASE enfatizza la scalabilità, l’elasticità e la bassa latenza, rispondendo direttamente a questa esigenza. Il suo framework basato su cloud è ottimizzato per fornire prestazioni specifiche per le applicazioni, mentre il monitoraggio dell'esperienza digitale integrato offre visibilità precisa per tutto quello che influisce sulle prestazioni degli utenti.

Il vantaggio chiave di SASE è la fusione di rete e sicurezza. Questa combinazione migliora il monitoraggio e il rilevamento delle minacce colmando le lacune nella sicurezza. Il risultato è una governance di rete e una gestione semplificate, che fanno di SASE uno strumento fondamentale per supportare un ambiente di lavoro ibrido.

Connettere e proteggere le filiali e i punti vendita

Il modello SASE è essenziale per le organizzazioni che sfruttano il SaaS e i servizi cloud pubblici, perché risponde alle difficoltà nelle prestazioni e nella sicurezza. Usando una SD-WAN di nuova generazione, SASE ottimizza la larghezza di banda e garantisce una sicurezza dinamica, che batte le prestazioni degli approcci tradizionali dei data center. L’integrazione del monitoraggio dell'esperienza digitale garantisce un'esperienza utente eccezionale.

Inoltre, riduce le spese di rete e sicurezza, semplificando la gestione dei fornitori. SASE rafforza la sicurezza dei dati per le filiali e le sedi remote applicando policy coerenti, semplificando la gestione e applicando l’approccio Zero Trust. In questo modo viene garantita la sicurezza delle applicazioni e dei dati, che si trovino in data center cloud privati, servizi cloud pubblici o applicazioni SaaS.

Supportare le iniziative cloud e digitali

SASE è cruciale per la trasformazione cloud e digitale. Man mano che le organizzazioni si affidano al SaaS, una connettività sicura e impeccabile è sempre più importante. Con la sua enfasi sul consolidamento della sicurezza, SASE elimina i limiti degli approcci basati su hardware, integrando i servizi e ottimizzando le distribuzioni alle filiali.

Le tecniche SD-WAN avanzate estendono la larghezza di banda e forniscono informazioni più approfondite sulla rete, migliorando le prestazioni di operazioni e applicazioni. Sfruttare l’IA e l'apprendimento automatico migliora notevolmente il rilevamento delle minacce. I firewall dinamici offrono un approccio completo all’analisi dei contenuti e i protocolli sicuri gestiscono abilmente i flussi di dati dai dispositivi IoT.

Vantaggi di SASE

Graphic depicting SASE benefits

 

Figura 3. Vantaggi di SASE

Visibilità sugli ambienti ibridi

SASE fornisce visibilità sugli ambienti di rete aziendali ibridi che mettono in connessione i data center, le sedi centrali, le filiali e le sedi remote, il cloud pubblico e privato e gli utenti, indipendentemente dalla posizione.

Il supporto per una funzionalità coerente e l'accesso universale a qualsiasi risorsa da qualsiasi posizione consente ai team addetti alla sicurezza di visualizzare tutte le attività di rete, inclusi utenti, dati e app, da un unico pannello di controllo.

Maggior controllo di utenti, dati e app

Gli utenti accedono frequentemente a varie applicazioni da più posizioni e dispositivi, spesso bypassando le policy dell’organizzazione per avviarle su porte non standard. Questo rappresenta una sfida nel monitorare e controllare tali applicazioni.

SASE, tuttavia, classifica il traffico al livello delle applicazioni, o Livello 7, eliminando la necessità di ricerche e mappatura di applicazioni di porta intricate. Fornisce chiara visibilità dell’utilizzo delle applicazioni, consentendo controllo e comprensione precisi.

Monitoraggio e report migliorati

Con il SASE, non è più necessario monitorare più console in vari prodotti di rete e sicurezza o creare report separati per metriche chiave. Una piattaforma gestisce il monitoraggio e i report, consentendo ai team addetti alla rete e alla sicurezza di mettere in relazione eventi e avvisi. Questo approccio semplifica la risoluzione dei problemi e accelera la risposta agli incidenti.

Minor complessità

SASE consente alle aziende di semplificare rete e sicurezza. Eliminando le soluzioni di sicurezza isolate, complesse, non necessarie e che richiedono molto lavoro manuale, le operazioni possono passare al cloud. Questa transizione riduce notevolmente la complessità operativa e i costi. Questo approccio risolve anche le difficoltà logistiche associate all’invio, all’installazione e all'aggiornamento dei dispositivi di rete e sicurezza presso le filiali o i punti vendita.

Protezione dei dati coerente

Nelle architetture WAN tradizionali basate su MPLS, il traffico da diverse posizioni viene reinstradato a un punto centrale. Questa predisposizione centralizza la sicurezza, consentendo a un singolo firewall di applicare policy, ma potrebbe diventare un collo di bottiglia.

SASE risolve queste inefficienze dando la priorità alla protezione dei dati coerente in tutte le posizioni marginali. Semplifica le policy di protezione dei dati ed elimina difficoltà come punti ciechi della sicurezza, incoerenze nelle policy e shadow IT.

Con SASE, le policy di prevenzione della perdita di dati (DLP) sono applicate uniformemente, indipendentemente dalla posizione dei dati. Questo processo semplifica la distribuzione di nuovi servizi e applicazioni di sicurezza dal cloud a varie posizioni. Inoltre, non è necessaria una gestione individualizzata di ciascun endpoint.

Costi ridotti

Alcune organizzazioni investono in reti di punti commodity e prodotti di sicurezza. Anche se inizialmente può sembrare meno costoso, spesso i costi amministrativi sfuggono al controllo. Il personale addetto alle reti e alla sicurezza, che è limitato, deve imparare a usare diverse console di gestione e sistemi operativi (molti dei quali hanno funzionalità di gestione da remoto limitate).

SASE consente alle organizzazioni di estendere il proprio stack di rete e sicurezza a tutte le posizioni in modo conveniente.

Risparmio di tempo e lavoro per l'amministrazione

Il costo per addestrare e fidelizzare il personale addetto alle reti e alla sicurezza all’uso di molti prodotti isolati può superare rapidamente gli investimenti di capitale iniziale. SASE consente la gestione delle funzioni di rete e sicurezza da un unico pannello di controllo per tutte le sedi in maniera coerente. Il consolidamento riduce gli oneri amministrativi e aiuta ad abbassare i costi di formazione e fidelizzazione.

Minori esigenze di integrazione

SASE combina più funzionalità e funzioni di rete e sicurezza in una soluzione unificata distribuita in cloud, eliminando così la necessità di integrazioni complesse tra più prodotti di rete e sicurezza isolati da diversi fornitori.

Maggior livello di affidabilità e prestazioni di rete

SASE aiuta le organizzazioni a migliorare le prestazioni di rete e il livello di affidabilità per utenti e sedi fornendo funzionalità SD-WAN (software-defined wide area networking). Questo consente il bilanciamento del carico, l'aggregazione e la configurazione del failover per più link da diverse origini (ad esempio MPLS, banda larga e LTE).

Questo aiuta a ridurre la congestione e la latenza associate al backhauling del traffico Internet nelle connessioni MPLS o l’instradamento del traffico in una connessione altamente utilizzata o con problemi di prestazione.

Esperienza utente eccezionale

Il monitoraggio dell'esperienza digitale (DEM) migliora le operazioni e ottimizza le esperienze per tutti gli utenti, che lavorino da casa o dalle filiali, senza la complessità di dover installare ulteriori software e hardware.

Potenziali difficoltà nell’implementazione di SASE

Benché SASE sia un modello di sicurezza informatica relativamente nuovo, i fornitori attendibili dispongono già di processi dimostrati. Come con tutte le implementazioni tecnologiche, possono sorgere potenziali ostacoli, ma le aziende non dovrebbero essere dissuase dall’investire nel SASE. Se preparate con le conoscenze adeguate, le organizzazioni possono superare con facilità dubbi e difficoltà.

Ridefinizione dei ruoli e della collaborazione dei team

L’implementazione del SASE richiede una nuova valutazione dei ruoli all’interno dello scenario IT. Specialmente nelle configurazioni cloud ibride, necessita di miglior collaborazione tra team addetti alle reti e alla sicurezza. La convergenza delle responsabilità può porre delle difficoltà, soprattutto quando team diversi gestiscono le infrastrutture on-premise e basate su cloud.

Come affrontare la complessità dei fornitori

L'enorme quantità di prodotti isolati e strumenti di sicurezza disponibili può essere schiacciante. SASE combina vari strumenti e metodologie, in modo che le organizzazioni possano farsi strada più facilmente nello scenario dei fornitori e adottare un'architettura che si allinea ai propri obiettivi di trasformazione.

Garanzia di una copertura completa

Benché il SASE offra un approccio consolidato, alcuni scenari, specialmente nelle configurazioni con molte filiali, potrebbero aver bisogno di soluzioni on-premise. Questo richiede un prudente equilibrio tra strategie basate su cloud e on-premise per assicurare reti e sicurezza impeccabili.

Creazione di fiducia nel SASE

Nonostante le sue funzionalità avanzate, un segmento di professionisti rimane diffidente nei confronti della transizione al SASE, specialmente negli scenari cloud ibridi. Per le organizzazioni è fondamentale relazionarsi con fornitori SASE attendibili, assicurando che abbiano stabilito la propria credibilità e possano affrontare efficacemente le esigenze di rete e di sicurezza.

Selezione e integrazione del prodotto

Per le aziende con team IT isolati, la distribuzione può comportare la selezione di diversi prodotti per rispondere separatamente alle esigenze di rete e sicurezza. Integrare queste soluzioni assicurandosi che siano complementari è essenziale per le operazioni semplificate.

Gestione della proliferazione degli strumenti

La transizione a un paradigma SASE incentrato sul cloud potrebbe rendere ridondanti alcuni strumenti esistenti. È essenziale identificare le ridondanze e mitigare potenziali sovrapposizioni per prevenire funzionalità frammentate, assicurando un’infrastruttura tecnologica coesa.

Approccio collaborativo al SASE

Il successo del SASE dipende dallo sforzo di collaborazione dei professionisti di rete e sicurezza. La loro esperienza combinata assicura che i componenti SASE scelti si allineino con i più ampi obiettivi dell’organizzazione, ottimizzando i vantaggi derivati da questa tecnologia.

Convinzioni errate su SASE

Graphic depicting misconceptions about SASE

 

Figura 4: Convinzioni errate comuni su SASE

 

SASE è soltanto una VPN basata su cloud.

SASE fornisce una suite completa, al di là della portata di una VPN tradizionale. Incorporando varie funzionalità, come Secure Web Gateway, broker di sicurezza per l'accesso al cloud e Firewall-as-a-Service, SASE offre una piattaforma unificata per le esigenze di sicurezza e di rete estese, superando di gran lunga le funzionalità di una VPN standard.

Solo le grandi aziende sono avvantaggiate dal SASE.

I vantaggi del SASE possono essere sfruttati da aziende di tutte le dimensioni. Dalle piccole alle medie imprese, il SASE può semplificare la gestione della rete e della sicurezza. Grazie alla sua scalabilità, le organizzazioni possono adattarlo ai loro requisiti unici e alla loro traiettoria di crescita.

Le soluzioni SASE sono esclusivamente per gli ambienti di lavoro remoti.

Benché il SASE sia spesso associato all'agevolazione del lavoro da remoto a causa delle sue funzionalità di accesso sicure, è altrettanto utile per le infrastrutture degli uffici. SASE garantisce che gli utenti da remoto e i lavoratori in ufficio abbiano un accesso sicuro e coerente alle risorse cloud, difendendosi dalle minacce indipendentemente dalla posizione fisica.

SASE compromette la sicurezza on-premise a vantaggio del cloud.

Un'architettura SASE non impone un approccio incentrato esclusivamente sul cloud. Le organizzazioni possono integrare le soluzioni SASE con i sistemi on-premise, come le appliance firewall di nuova generazione, ottimizzando le prestazioni e la sicurezza sulla base di requisiti specifici.

Adottare SASE significa rinunciare ad altre tecnologie di sicurezza essenziali.

Anche se SASE offre un ampio spettro di soluzioni di sicurezza, non elimina la necessità di tecnologie complementari come rilevamento e risposta degli endpoint o protezione dei carichi di lavoro cloud. Implementare SASE non significa escludere altri componenti di sicurezza fondamentali, ma integrarli per un livello di sicurezza olistico.

Best practice per l'implementazione di SASE:

  1. Promuovere l'allineamento e la collaborazione dei team

    Per implementare SASE efficacemente, i team addetti alle reti e alla sicurezza devono collaborare strettamente. Storicamente, questi team hanno avuto priorità diverse: gli addetti alle reti si concentrano sulla velocità, mentre quelli addetti alla sicurezza enfatizzano la protezione dalle minacce. Usando l’evoluzione DevOps come modello, si possono combinare i punti di forza di questi team per un obiettivo unificato. Ci si può basare sulla leadership degli esperti e sui fornitori SASE per il supporto alla formazione e all'addestramento per unire le discipline.
  2. Preparare una roadmap SASE flessibile

    Adottare il SASE non necessita di una rivisitazione istantanea. Integra il SASE in modo progressivo, in linea con le iniziative IT e gli obiettivi aziendali. Collabora con i fornitori o gli MSP per sviluppare una roadmap, garantendo che sia adattabile alle esigenze aziendali dinamiche. Che si tratti di modernizzare SD-WAN o migliorare la sicurezza, usa SASE come veicolo per la convergenza e la progressione.
  3. Approvazione sicura degli alti dirigenti

    Ottenere il supporto dei dirigenti per il SASE è fondamentale. Evidenzia i vantaggi simili alle applicazioni basate su cloud, metti in risalto il ROI e sottolinea la minore necessità di avere più fornitori. Enfatizza la sicurezza completa portata da SASE, in particolare di fronte all'escalation delle minacce. Mentre i progetti SASE progrediscono, misura e segnala i successi in varie metriche.
  4. Stabilimento di un piano

    Inizia stabilendo chiaramente gli obiettivi SASE su misura per le sfide uniche della tua organizzazione. Analizza le configurazioni di rete esistenti, identifica le aree di miglioramento e comprendi le conoscenze e lo scenario tecnologico attuale.
  5. Selezione, test e distribuzione

    Identifica ed esegui l’onboarding delle soluzioni SASE adatte, assicurando la compatibilità con le tecnologie esistenti. Dai la priorità a soluzioni che si integrano agevolmente con i tuoi strumenti attuali e, prima della distribuzione completa, testali in un ambiente controllato per garantirne l'efficienza.
  6. Monitoraggio, ottimizzazione ed evoluzione

    Dopo la distribuzione, mantieni forti meccanismi di supporto. Valuta continuamente la configurazione SASE, correggendo in base ai feedback, alle tendenze tecnologiche emergenti e alle esigenze mutevoli dell’organizzazione.

Come scegliere un fornitore di SASE

Graphic listing tips for choosing a SASE provider

 

Figura 5: Come scegliere un fornitore di SASE

 

  1. Valutazione dell’integrazione di rete e sicurezza

    La premessa fondamentale del SASE è la convergenza di servizi di rete e di sicurezza. Un fornitore di SASE autentico dovrebbe offrire servizi di rete (come SD-WAN) e di sicurezza come Firewall-as-a-Service (FWaaS), un sistema di prevenzione delle intrusioni (IPS), un broker di sicurezza per l'accesso al cloud (CASB), Zero Trust Network Access (ZTNA) e Secure Web Gateway (SWG).
  2. Conferma della progettazione cloud-native

    Per natura, una soluzione SASE dovrebbe essere cloud-native e progettata per gestire tutti i margini di rete, inclusi quelli in sede, mobili e cloud.
  3. Valutazione delle prestazioni di rete globali

    SASE non dovrebbe essere limitato dalla geografia. Le prestazioni ottimali dovrebbero essere garantite a livello globale. Per delle prestazioni coerenti, è consigliabile optare per fornitori che offrono una struttura portante privata supportata da SLA.
  4. Verifica dello Zero Trust Network Access (ZTNA)

    ZTNA è fondamentale per un approccio SASE completo. Le misure di sicurezza tradizionali diventano nulle una volta violate. Al contrario, ZTNA consente alle aziende di concedere l'accesso con privilegi minimi sulla base di identità utente specifiche e del loro rapporto con le risorse cloud, mobili e in sede.
  5. Confronto di semplicità e convenienza

    SASE dovrebbe portare a una riduzione dei costi e della complessità di rete. L’obiettivo è minimizzare le spese di capitale e operative, innanzitutto riducendo la necessità di avere più appliance fisiche. Inoltre, un’interfaccia di gestione intuitiva è fondamentale per l'efficienza delle operazioni.
  6. Garanzia di scalabilità e flessibilità

    Una soluzione SASE deve essere scalabile per affrontare le esigenze future di un’organizzazione. Dovrebbe anche essere adattabile, in grado di integrarsi con i sistemi legacy e supportare le tecnologie future.
  7. Ricerca di funzionalità multitenancy

    Un approccio centralizzato alle reti e alla sicurezza è un vantaggio. Le soluzioni software multitenant offrono l'accesso basato su ruoli e semplificano la distribuzione delle risorse e delle responsabilità.
  8. Revisione dei costi e delle funzioni associate

    Analizza i costi in relazione alle funzioni fornite. Includi anche i costi potenziali per l’integrazione con software di terze parti. Inoltre, analizza gli accordi sul livello del servizio (SLA) e i costi associati.

Analisi di SASE e delle tecnologie complementari

Come funzionano SASE e 5G

Graphic depicting how SASE and 5G work together
Figura 6: Come funzionano SASE e 5G

 

Il 5G rivoluziona le reti mobili con la velocità e la latenza ridotta. Mentre queste reti evolvono al di là delle architetture tradizionali, le nuove sfide per la sicurezza diventano sempre più urgenti. SASE è una soluzione potenziale, che offre un framework di sicurezza centralizzato su misura per la natura dinamica delle reti moderne.

Quando è integrato con il 5G, SASE ottimizza il potenziale della rete senza compromettere la sicurezza. Eseguendo l’instradamento del traffico 5G attraverso una piattaforma SASE, le aziende possono applicare misure di sicurezza coerenti e ottenere maggiore efficienza operativa. In questo modo, quando gli utenti accedono alle risorse aziendali da posizioni diverse, ciascuna connessione è sottoposta a una convalida rigorosa, mantenendo l’integrità della rete.

Incorporare la SD-WAN (software-defined wide area networking) con il 5G accresce ulteriormente questo rapporto. Insieme forniscono un framework sicuro ad alte prestazioni, agevolando la comunicazione rapida e sicura tra le reti estese, ridefinendo gli standard della connettività moderna.

Come si integrano IoT e SASE

I sistemi IoT tradizionali fanno molto affidamento sulle reti di provider di servizi centralizzate, portando a un instradamento complesso e al potenziale per una latenza più alta. La diffusione estesa di dispositivi IoT e dati nei cloud multi-regione aggrava questi problemi. SASE è molto abile a gestire la natura distribuita dell’IoT. Facendo convergere le reti virtualizzate e i servizi di sicurezza, SASE offre un controllo delle policy centralizzato, semplificando l’instradamento dei dati e proteggendolo indipendentemente dalla sua origine o destinazione.

Avvicinando la sicurezza alle origini dei dati, SASE usa punti di presenza (PoP) distribuiti per autenticare l'accesso in base ad attributi distinti dei dispositivi. Questo approccio decentralizzato migliora la sicurezza IoT, regola la latenza e si allinea con le normative regionali sui dati.

Protezione dei dati con SASE e DLP

Graphic depicting SASE and DLP
Figura 7: Protezione dei dati con SASE e DLP

 

La prevenzione della perdita di dati (DLP) mira a proteggere i dati di un’azienda da perdite, furti o uso improprio, garantendone la protezione indipendentemente dal loro stato o dalla loro posizione. Tuttavia, il proliferare di dati in vari mezzi di conservazione e l’ambiguità sulla loro posizione esatta pone delle sfide di sicurezza. Le soluzioni DLP tradizionali, create su misura per i sistemi legacy, spesso si dimostrano insufficienti per le aziende moderne integrate nel cloud. Secure access service edge (SASE) è un framework di sicurezza informatica contemporaneo che unisce soluzioni di rete e servizi di sicurezza, consentendo un approccio alla sicurezza olistico basato su cloud.

Quando è integrato con DLP, SASE offre un metodo unificato per scoprire e classificare i dati, autenticare gli utenti e i dispositivi, applicare policy incentrate sui dati e rilevare attività dannose. Usando le funzionalità SASE, le organizzazioni possono ottenere una protezione dei dati cloud coerente, una gestione di rete semplificata, costi operativi ridotti e risposte di sicurezza efficienti.

SASE e altre soluzioni di tecnologia e sicurezza a confronto

SASE e SD-WAN a confronto

SD-WAN fornisce una soluzione basata sul software per ottimizzare e gestire le connessioni di rete distribuite, in particolare tra le filiali e gli hub aziendali principali. Il suo ruolo primario è migliorare la connettività; tuttavia, non offre funzioni di sicurezza estese in modo nativo. Pertanto, spesso le organizzazioni devono dipendere da ulteriori soluzioni di sicurezza, che possono introdurre difficoltà in termini di gestione, coerenza e spese complessive. Questo è in contrasto con la promessa di SASE.

Al contrario, SASE integra le funzionalità WAN e un set completo di servizi di sicurezza in un framework unificato. È progettato per assicurare una connettività sicura e impeccabile in vari ambienti, dal cloud, all’on-premise, agli endpoint mobili. Questa integrazione offre un approccio alla sicurezza coerente e integrato, riducendo la necessità di strumenti di sicurezza ausiliari e semplificando le operazioni di rete.

SASE e CASB a confronto

Un broker di sicurezza per l'accesso al cloud (CASB) si concentra sulla protezione delle applicazioni SaaS estendendo le protezioni di sicurezza del perimetro tradizionali alle distribuzioni basate su cloud. Fornisce visibilità e controllo sulle applicazioni SaaS, assicurando l'accesso autorizzato ai dati aziendali solo all’interno di queste applicazioni.

SASE è un approccio più ampio e integrato che combina le funzionalità di sicurezza del CASB con funzionalità di rete ottimizzate come SD-WAN e altre soluzioni di sicurezza come i firewall di nuova generazione. Mentre il CASB si concentra unicamente sulla sicurezza delle applicazioni SaaS, SASE offre un framework di rete e sicurezza completo. Anche se entrambi affrontano la sicurezza cloud, SASE fornisce una soluzione più olistica, integrando le reti e le diverse funzionalità di sicurezza.

SASE e ZTE a confronto

SASE e Zero Trust edge danno priorità all’amalgama di funzioni di rete e sicurezza incentrata sul cloud. Il loro focus e le metodologie variano.

SASE combina le funzionalità della software-defined wide area networking con varie funzionalità di sicurezza di rete, tutti consegnati tramite una piattaforma cloud. Questo assicura una connettività di rete sicura e ottimizzata, applicabile specialmente alle tendenze in aumento dei team distribuiti e in remoto.

ZTE enfatizza lo Zero Trust, cercando di raggiungere un modello Zero-Trust-as-a-Service completo che si estende al di là dei protocolli di accesso. ZTE impone l’autenticazione per tutte le connessioni, indipendentemente dall’origine o dallo scopo.

SASE e ZTNA a confronto

SASE è un framework di sicurezza esteso, che incorpora una moltitudine di strumenti e servizi di sicurezza. Zero Trust Network Access (ZTNA) è integrale alle operazioni SASE e rappresenta un modello di sicurezza specifico all’interno del più ampio paradigma SASE.

ZTNA è un elemento cruciale all’interno di SASE, che enfatizza il principio che non dovrebbe mai essere concessa fiducia implicitamente agli utenti che cercano di accedere ad applicazioni private. ZTNA, invece, opera secondo una premessa: verificare ogni tentativo di accesso, assicurando che il perimetro di sicurezza rimanga intatto a livello degli utenti.

Mentre SASE offre un ampio spettro di funzionalità di sicurezza amalgamate in un singolo framework, ZTNA si addentra nei controlli di accesso, rafforzando la sicurezza di rete assicurando che ogni richiesta di accesso sia sottoposta a una rigorosa convalida.

SASE e SSE a confronto

SASE è un framework completo che unisce il brokering del servizio di rete, il brokering del servizio di identità e i servizi di sicurezza in una piattaforma unificata. La progettazione semplifica la sicurezza consolidando vari servizi di rete in un unico ombrello di controllo. Questo approccio amplifica le misure di sicurezza per gli ambienti marginali e gli utenti standalone e, simultaneamente, migliora l’efficienza dei servizi di rete.

Mentre SASE comprende un ampio spettro di funzionalità di sicurezza e connettività di rete, SSE punta principalmente su componenti di sicurezza, come SWG, CASB e ZTNA, omettendo alcuni elementi di rete come SD-WAN.

SASE e sicurezza di rete tradizionale a confronto

SASE integra la wide area networking (WAN) e i servizi di sicurezza di rete in una piattaforma unificata basata sul cloud. Questo modello sottolinea la flessibilità, adotta il punto di vista che l’identità è il nuovo perimetro e si concentra sulla sicurezza delle identità individuali.

Questo è in contrasto con il framework di sicurezza di rete tradizionale che dipende molto da un perimetro fisso e sicuro, spesso definito da firewall e sistemi di prevenzione delle intrusioni. Man mano che lo scenario del lavoro digitale evolve, comprendendo i compiti remoti e l’utilizzo di più dispositivi, il concetto di perimetro fisso ha mostrato segni di ridondanza, posizionando il SASE come un approccio moderno più in linea con le attuali esigenze e difficoltà tecnologiche.

SASE e firewall a confronto

SASE e i firewall svolgono la funzione fondamentale di proteggere le risorse digitali, ma operano sulla base di principi e architetture distinti. I firewall agiscono principalmente come gatekeeper, controllando il traffico in entrata e in uscita usando regole stabilite. Al contrario, SASE, basato su un framework cloud-native, integra una più ampia gamma di funzionalità di sicurezza, estendendo la sua portata al di là del semplice filtraggio del traffico.

Il tratto caratteristico di SASE è la sua adattabilità agli scenari digitali contemporanei, includendo funzioni come Zero-Trust Network Access (ZTNA) e data loss prevention (prevenzione della perdita di dati, DLP) che non sono innate nei firewall tradizionali. SASE è un approccio più olistico, che coinvolge le esigenze della sicurezza informatica in evoluzione, soprattutto in ambienti caratterizzati da operazioni da remoto e applicazioni incentrate sul cloud.

SASE e Zero Trust a confronto

SASE e Zero Trust sono cruciali nella sicurezza informatica odierna, ma sono indirizzati ad aspetti diversi della sicurezza di rete. Zero Trust è un costrutto di sicurezza basato su un principio fondamentale: “mai fidarsi, verificare sempre”. Si concentra sul non concedere fiducia implicita a nessuna entità, che abbia origine all’interno o all'esterno della rete. Ogni richiesta di accesso viene autenticata e le autorizzazioni vengono verificate costantemente.

SASE è un framework completo che integra vari servizi di rete e sicurezza, che include Zero Trust tra i suoi componenti.

Mentre Zero Trust enfatizza l'autenticazione e l’autorizzazione coerente, SASE va oltre, prendendo in considerazione dati più contestuali. In sostanza, Zero Trust può essere una strategia di controllo degli accessi autonoma, ma SASE comprende intrinsecamente Zero Trust nel suo approccio più ampio e multiforme alla sicurezza.

SASE e VPN a confronto

Sia SASE che la VPN mirano a proteggere l'accesso alla rete, ma si differenziano per meccanismi e portata. Le VPN forniscono connessioni crittografate tra gli utenti e la rete di un’organizzazione, incanalando il traffico in un server centrale che può introdurre latenza.

SASE, invece, è una soluzione integrata incentrata sul cloud che riduce la latenza, non basandosi su server centralizzati. Anziché offrire semplicemente connessioni protette, SASE sfrutta l’identità degli utenti e dei dispositivi, assicurando un’applicazione delle policy dinamica basata sul contesto e concedendo agli utenti solo gli accessi necessari.

Storia di SASE

Graphic describing how SASE came to be over time
Figura 8: Storia di SASE

 

Storicamente, le aziende si basavano su una topologia WAN (wide area network) hub-and-spoke, con server centralizzati e costose linee che connettevano gli uffici remoti.

Con l’emergere di applicazioni Software-as-a-Service (SaaS) e la diffusione delle virtual private network (reti private virtuali, VPN), le aziende hanno trasferito le applicazioni al cloud. I firewall nelle filiali hanno iniziato ad applicare policy di sicurezza e a ottimizzare il traffico.

Con la crescita dei servizi cloud, la dipendenza da risorse on-premise è diminuita e l’inefficienza dell'accesso alla rete tradizionale è divenuta evidente. Per affrontare queste sfide è emerso SASE, che integra diverse tecnologie di rete e sicurezza in un’unica soluzione.

Questa evoluzione è stata messa in rilievo quando applicazioni SaaS fondamentali come Office 365 di Microsoft sono state trasferite su Azure, richiedendo un’ispezione del traffico efficiente.

La pandemia di COVID-19 ha accelerato l'adozione di SASE a causa del picco del lavoro da remoto, che ha reso essenziale avere una rete sicura.

Domande frequenti su SASE

Secure access service edge (SASE) è un'architettura cloud-native che unifica SD-WAN con funzioni di sicurezza come SWG, CASB, FWaaS e ZTNA in un unico servizio.
SD-WAN ottimizza e gestisce le connessioni di rete senza una sicurezza nativa estesa, mentre SASE integra le funzionalità WAN con un framework di sicurezza completo per una connettività sicura e impeccabile nei diversi ambienti.
  1. SD-WAN
  2. SWG
  3. CASB
  4. FWaaS
  5. ZTNA
Il framework SASE offre un’infrastruttura di sicurezza e di rete distribuita in cloud, che trasforma il perimetro tradizionale in una serie di funzionalità dinamiche basate sul cloud che semplificano la gestione e si adattano alle esigenze mutevoli. Garantisce un accesso sicuro alle applicazioni, piena visibilità del traffico e si adatta alle minacce in evoluzione e ai requisiti aziendali.
Mentre SASE offre una soluzione incentrata sul cloud con un’applicazione delle policy dinamica basata sul contesto degli utenti, le VPN principalmente crittografano le connessioni, a volte introducendo latenza attraverso server centralizzati. L’idoneità di uno rispetto all’altra dipende dalle esigenze specifiche e dal contesto di un’organizzazione.
SASE non sostituisce direttamente la VPN; piuttosto, offre una soluzione incentrata sul cloud con funzioni migliorate come l’applicazione di policy dinamica basata sul contesto degli utenti. Mentre le VPN si concentrano su connessioni crittografate tramite server centralizzati, SASE fornisce un approccio più ampio e integrato all'accesso alla rete sicuro senza la potenziale latenza dei server centralizzati.
I firewall operano come gatekeeper, usando set di regole per controllare il traffico, mentre SASE è un framework cloud-native che offre una gamma più ampia di funzionalità di sicurezza.
Sì, SASE è basato sul cloud e offre un approccio integrato ai servizi di rete e sicurezza distribuiti da un’architettura cloud-native unificata.
Sì, generalmente SASE include SD-WAN tra i suoi componenti. Il framework SASE integra varie funzioni di rete e sicurezza e SD-WAN è un componente chiave per ottimizzare e gestire le connessioni di rete distribuite all’interno di questa piattaforma unificata basata sul cloud.
La promessa principale di SASE è fornire un framework cloud-native integrato che combina impeccabilmente ottimizzazione di rete e servizi di sicurezza, consentendo l’accesso sicuro ed efficiente alle risorse indipendentemente dalla posizione dell’utente o delle applicazioni e dei dati a cui sta accedendo.
SASE non è soltanto un proxy. Anche se le architetture SASE spesso includono i Secure Web Gateway, che possono operare come proxy, SASE è un framework più ampio che combina varie funzioni di rete e sicurezza in una piattaforma cloud-native.