Il Secure Access Service Edge (SASE) sposta la rete IT e la sicurezza nel cloud, il luogo in cui risiedono sempre più applicazioni e dati. A questo scopo, le future piattaforme SASE forniranno tecnologie complete di connettività e sicurezza.
Le aziende stanno spostando nel cloud sempre più applicazioni e dati. Da un lato, stanno guidando questo sviluppo da sole al fine di beneficiare dei classici vantaggi del cloud, come la flessibilità, la scalabilità o l’accesso indipendente dalla posizione. D’altra parte, anche i grandi fornitori di software come Microsoft, SAP o Salesforce stanno guidando questa tendenza interrompendo gradualmente il supporto per le soluzioni on premise, spesso non lasciando alle aziende altra scelta che utilizzare le proprie offerte cloud.
La tendenza verso il cloud è ormai irreversibile e continuerà a crescere in futuro.
Di conseguenza, le tradizionali architetture di sicurezza IT delle aziende stanno diventando sempre più obsolete: si basano, infatti, ancora sul presupposto che le applicazioni e i dati si trovino all’interno dell’azienda, così come gli utenti, e quindi sono pensate per proteggere la rete solo da minacce provenienti dall’esterno.
Questo ha causato una crescente discrepanza tra il luogo in cui risiedono realmente i fattori di rischio e il luogo in cui si trovano gli strumenti di sicurezza per contrastarli.
Il concetto di Secure Access Service Edge (SASE), formulato per la prima volta da Gartner, sta per eliminare questa discrepanza. È stato sviluppato con lo scopo di riportare la rete e la sicurezza dove realmente si trovano le applicazioni e i dati: il cloud.
Indice degli argomenti
Evitare una deviazione tramite il data center
L’architettura SASE offre numerosi vantaggi. Uno dei più rilevanti consiste nel fornire supporto al numero sempre crescente di utenti che accedono ad applicazioni cloud dall’esterno della rete aziendale: dipendenti che lavorano dal proprio “ufficio domestico”, dipendenti in viaggio o dipendenti in filiali senza i propri data center. Tutta questa forza lavoro può essere collegata direttamente al cloud tramite un’architettura SASE.
Il reindirizzamento del flusso di dati tramite il data center presso la sede centrale dell’azienda per collegare l’ufficio locale, si concretizza nel fatto che non è più necessario passare attraverso le precauzioni di sicurezza.
Le prestazioni deboli, le latenze elevate e le terminazioni di connessione risultanti sono ormai un ricordo del passato. La situazione emergenziale creata dalla Covid-19, in particolare, ha dimostrato quanto siano importanti i collegamenti veloci e sicuri per i dipendenti di uffici remoti – e questa situazione continuerà anche nei prossimi anni. Molti degli sconvolgimenti che questa crisi ha creato, infatti, caratterizzeranno anche il futuro. Uno di questi è probabilmente il fatto che un numero sempre maggiore di persone lavorerà al di fuori della propria sede centrale.
Nel caso di filiali e succursali, le architetture SASE si tradurranno anche in un vantaggio in termini di costi. Poiché il flusso di dati per le applicazioni cloud non deve più essere reindirizzato attraverso il data center centrale, il che si traduce in un numero significativamente inferiore di flussi di traffico attraverso le costose linee MPLS che di solito collegano le filiali e le succursali alla sede centrale dell’azienda.
Grazie a SASE, le aziende possono incorporare le connessioni Internet locali e un approccio SD-WAN nella loro architettura di rete, risparmiando notevoli spese.
Inoltre, l’adozione completa dei principi SASE offre un’opportunità unica per semplificare nuovamente la sicurezza IT.
Negli ultimi 20-25 anni, le aziende hanno sviluppato una vera e propria proliferazione di strumenti di sicurezza, rivolgendosi a molti fornitori. Per gli amministratori della sicurezza, questo ha significato non solo doversi occupare delle peculiarità dei diversi fornitori, gestire svariati contratti e cicli di aggiornamento, ma anche saper gestire questi strumenti con differenti interfacce di gestione, quindi separatamente e in modo complesso.
In futuro, quando si potranno utilizzare tutti gli strumenti di sicurezza in modo olistico e uniforme, provenienti da un’unica fonte, e quando verranno integrate soluzioni cloud SASE supporting, la gestione della sicurezza IT sarà molto più semplice.
Secure Access Service Edge: combinare connettività e sicurezza
Le architetture basate sui principi del Secure Access Service Edge (SASE) uniranno due mondi: connettività e sicurezza. Dovranno fornire connessioni sicure e crittografate dai singoli dipendenti prima alla piattaforma cloud stessa e da lì alle applicazioni cloud desiderate.
Ciò può essere ottenuto con VPN client-to-site, VPN site-to-site o tecnologie ZTNA (Zero Trust Network Access). Possono inoltre utilizzare le tecnologie SD-WAN per garantire che il percorso di connessione migliore per l’applicazione sia sempre selezionato quando si accede alle applicazioni cloud.
Per garantire una sicurezza completa, qualsiasi architettura di Secure Access Service Edge (SASE) deve, inoltre, fornire tutti i moduli di sicurezza importanti a livello centrale. Questi includono:
- un Secure Web Gateway (SWG) per proteggere gli utenti dalle minacce Internet e applicare criteri di navigazione sicura;
- Firewall-as-a-Service per l’ispezione continua del traffico dati in entrata e in uscita, inclusa la de-crittografia dei dati;
- un Cloud Access Security Broker (CASB) che monitora e registra la comunicazione tra l’utente e l’applicazione cloud;
- Advanced Malware Detection (AMD), che esegue allegati sospetti in una sandbox isolata per rilevare malware;
- prevenzione della perdita di dati (DLP), che monitora e, se necessario, blocca le transazioni di dati per prevenire perdite di dati indesiderate;
- tecnologie per stabilire e proteggere le connessioni.
Secure Access Service Edge: supportare architetture ibride
Il futuro delle applicazioni e dei dati aziendali risiede nel cloud e il futuro della sicurezza appartiene quindi all’architettura SASE. Prima le aziende inizieranno ad indirizzare il tema, più l’implementazione potrà essere controllata e ragionata.
Quando ci si affida a un partner che offre soluzioni basate sul modello SASE, ci sono alcuni aspetti da considerare. Ad esempio, il fatto che il vendor possa offrire tutte le compenti dell’architettura; qualora infatti vi siano integrazioni di più prodotti di terze parti nella piattaforma, diversi servizi cloud potrebbero dover essere connessi gli uni agli altri con conseguenti possibili latenze e complessità di gestione dovute all’utilizzo di diverse interfacce di amministrazione.
Lo stesso effetto si verifica quando il partner è un provider solo cloud senza soluzioni di sicurezza on premise.
Naturalmente, le aziende continueranno a mantenere applicazioni e dati nei propri data center per i prossimi anni, che dovranno essere protetti con strumenti di sicurezza on premise.
Le architetture di sicurezza ibride saranno quindi necessarie, almeno per il periodo di transizione.
Se il partner scelto è in grado di offrire soluzioni sia on-premise che cloud, le aziende avranno la possibilità di controllare in modo olistico entrambi i mondi con una console di gestione centralizzata.
