Da qualche anno, le aziende hanno modificato l’assetto dei propri sistemi informativi includendo servizi basati su Cloud per gestire le proprie attività. Questi cambiamenti significativi sono stati acuiti e accelerati dalla pandemia di Covid-19 e dall’esigenza di lavorare in remote o smart working.
In questo scenario di infrastrutture IT ibride e distribuite, la sicurezza informatica integrata e dinamica ma efficace ed efficiente è più che mai necessaria. Gartner ha introdotto il termine “Secure Access Service Edge (SASE)” nel 2019 per identificare un set di tecnologie che insieme garantiscono monitoraggio dalle minacce digitali, protezione dei dati in movimento e sicurezza negli accessi.
SASE è un’architettura cloud-native a framework unico che integra varie funzioni di rete e di sicurezza ed è genericamente percepita come una soluzione nuova. Prima della sua adozione è importante capirne le caratteristiche e quali siano gli scenari più appropriati e convenienti in termini di investimento.
Come sempre, infatti, non si tratta di rincorrere la moda del momento, ma di valutare attentamente l’approccio alla sicurezza in funzione dei rischi e delle esigenze aziendali.
Indice degli argomenti
Introduzione al SASE
Il Secure Access Service Edge è una architettura basata su Cloud attraverso la quale sono erogati servizi di network e di security. Secondo Gartner, che ne ha elaborato una definizione nel 2019, il “SASE combina le funzioni di sicurezza della rete come Secure Web Gateway (SWG), Cloud Security Access Broker (CASB), Firewall-as-a-service (FWaaS) e Zero Trust Network Access (ZTNA), con funzionalità Wide Area Network (WAN) ad esempio, Software Defined WAN (SDWAN) per supportare le esigenze di accesso sicuro dinamico delle organizzazioni. Queste funzionalità vengono fornite principalmente “as a service” e si basano sull’identità digitale, sul contesto in tempo reale e sulle politiche di sicurezza/conformità.”
Per evitare il dubbio che il SASE sia una sostituzione del paradigma Cloud Security Access Broker (CASB), è bene specificare che quest’ultimo è una delle capacità erogabili dal SASE. In effetti, il CASB permette di governare le applicazioni cloud utilizzando servizi di controllo accessi sia per autenticazione, sia per avere visibilità e contrastare la shadow IT, ovvero l’insieme delle applicazioni non regolamentate da IT ma usate da utenti, tanto da contenere dati aziendali.
Il CASB è, quindi, uno dei tasselli del SASE e in particolare realizza lo ZTNA (Zero Trust Network Access) relativamente alle applicazioni cloud. “Zero Trust Network Access (ZTNA) è un approccio di prodotto o servizio che crea un confine di accesso logico basato su identità e contesto attorno a un’applicazione o a un insieme di applicazioni. Le applicazioni sono nascoste dall’individuazione e l’accesso è limitato tramite un broker di fiducia a un insieme di determinate entità. Il broker verifica l’identità, il contesto e l’aderenza alle politiche dei partecipanti, prima di consentire l’accesso e vieta il movimento laterale in altre parti della rete. Ciò rimuove le risorse dell’applicazione dalla visibilità pubblica e riduce significativamente la superficie di attacco” (fonte: Gartner).
Alessandro Frizzi, CyberSecurity & Biometrics Competence Center Manager per Maticmind, spiega che “Il SASE, può essere un servizio Software-as-a-Service (Saas), e si rende necessario per tutte le aziende in cui il perimetro logico in cui risiedono utenti asset e dati, non è più ben definito”. Infatti, l’esigenza indirizzata dal SASE è quella di connettere e rendere sicuri gli “edge”, intendendo con questo termine sia gli utenti, sia le sedi remote che i Datacenter, e si rende necessaria non solo per semplificare e rendere più sicura e fruibile la connessione, ma anche per accelerare la capacità di usufruire di servizi e applicazioni erogati anche dal Cloud.
Le aziende che hanno spostato o stanno spostando i propri datacenter in modalità cloud o multicloud sono, dunque, sicuramente le più interessate nel processo di implementazione di un’architettura SASE.
“È importante precisare” aggiunge Frizzi “che tutte le funzionalità che si trovano nei servizi di un’architettura SASE esistono anche on-premises e sono, quindi, approcci di sicurezza delle reti o delle architetture, ma la differenza è che tali servizi non sono più erogati da uno stack fisico on-premises, ma attraverso il cloud direttamente”.
Quando scegliere una soluzione SASE
Lo scenario tipico di implementazione di un SASE è quello di una organizzazione distribuita e disgregata con una presenza “worldwide”. Queste sono le realtà maggiormente interessate perché usano connettività Internet per tutti i loro “edge” (persone e sedi remote), ma il SASE si presta anche in tutti i casi di organizzazioni che erogano servizi ai propri utenti mediante architetture in Cloud e che, quindi, sono caratterizzate da data center non più on premise, ma gestiti a livello periferico anche su cloud pubblici (Microsoft Azure, Google, AWS o similari). Vengono, inoltre, adottate diffusamente applicazioni pubbliche erogate direttamente dal Cloud (Office 365, Salesforce, Google drive, applicazioni in generale erogate as-a-Service dal Cloud).
Il SASE facilita ed effettua un controllo di sicurezza ottimizzato della transizione ed erogazione verso il cloud. Naturalmente, nei casi di adozione di “cloud privato”, diversamente dalla tipologia di “cloud pubblico”, l’adozione del SASE deve essere valutata con attenzione perché il rischio di “seguire la moda/tecnologia del momento” può risultare non conveniente economicamente. In questo contesto Alessandro Frizzi chiarisce che “il SASE inteso come “full SASE”, ovvero capace di erogare servizi di connettività tipo SDWAN e servizi di sicurezza per il controllo del traffico “da e per sedi e/o filiali remote”, non andrebbe proposto dove ci sono logiche di connettività privata, ovvero linee di tipo Multiprotocol Label Switching (MPLS), o dove ci sono servizi completamente erogati da datacenter privati in organizzazioni monocentriche.
In questi casi il SASE facilita la connettività e il controllo delle comunicazioni tra gli “edge” (utenti mobili, branch office, o datacenter, o applicazioni pubbliche da cloud) ma se gli “edge” sono interni alla rete aziendale, l’investimento non ha molto senso. Di fatto, non esiste un uso scorretto del SASE, bensì deve essere correttamente indirizzato il posizionamento, in base alla reale esigenza di una organizzazione.
In particolare, il SASE si compone di diversi servizi e se la modalità “full SASE” non serve, è tuttavia possibile adottare solo ciò che occorre, ad esempio, solo la componente di Web Gateway, o solo il Firewall as-a-service. Quindi, utilizzare una parte del SASE consente di non gravare sullo stack di sicurezza fisico on-premises e di usare un servizio erogato dal Cloud; tutto questo può apparire forse come una “forzatura”, ma non è tecnicamente scorretto. Alessandro Frizzi specifica che nella sua esperienza esistono aziende che hanno sfruttato le logiche SASE, come, ad esempio, il caso dell’utente mobile considerato come se fosse un “edge”, che usa le funzionalità di “remote access” del SASE, per potersi connettere al suo datacenter centralizzato senza le VPN che abilitano all’accesso remoto sicuro.
Quindi non esiste una modalità per cui il SASE sia da evitare, ma può essere ben posizionato per esigenze abilitanti specifiche e sicure dal punto di vista digitale e per la transizione al Cloud.
Implementazione e challenge
L’implementazione di una piattaforma SASE richiede l’analisi del reale perimetro logico di una azienda, identificando, ad esempio, l’origine da cui le applicazioni dei servizi sono esposti e il luogo da cui gli utenti si collegano per fruire di questi servizi. Il design richiede anche di rivedere le infrastrutture di connettività puntando su link internet diretti (non le reti MPLS n.d.r.) e sfruttando, per quanto possibile, anche le reti LTE e 5G, che garantiscono livelli di banda appropriati per le esigenze aziendali.
A livello di implementazione è importante puntare su modalità di accesso basate su IDentity Provider (IDP) che sono flessili in termini di integrazione, implementando standard come il SAML e che sono integrate con soluzioni di Multi Factor Authentication (MFA) e Single Sign On (SSO). La gestione delle identità richiederebbe infatti, di abbandonare logiche baste su LDAP o su una gestione macchinosa e locale delle identità, per muoversi verso logiche evolutive dinamiche e flessibili capaci di adattarsi al “perimetro fluido” delle organizzazioni.
La challenge legata all’implementazione di una architettura SASE che si può presentare, spiega Alessandro Frizzi “non riguarda carenze tecniche o potenziali problemi delle piattaforme, ma specialmente nel mercato italiano, è paradossale la fatica nel convincere le aziende alla transizione cloud, anche attraverso l’adozione di un singolo servizio di una piattaforma SASE.
La difficoltà è quella di far abbandonare gli stack fisici di sicurezza on premise, percepite in quanto tangibili, come maggiormente sicure o maggiormente sotto controllo in relazione alla proprietà dei dati; ma sappiamo che questo può non essere vero perché i livelli di standard funzionali, le performance e la resilienza del cloud potrebbe essere anche superiore alle architetture on premise.
Un problema operativo potrebbe essere quello legato alla connettività internet su cui si basa il SASE. Ma oggi le linee internet hanno raggiunto livelli di affidabilità tali da poter essere usati anche da aziende Enterprise. In ogni caso la possibilità di affidarsi a più linee permette di garantire la disponibilità delle connessioni attraverso logiche SD-WAN che alcune piattaforme SASE implementano nativamente, permettendo quindi di slegare le aziende di costose linee private.”
La scelta del Vendor come challenge specifica
Per scegliere il vendor più adatto alle proprie esigenze è importante saper distinguere fra coloro che realmente implementano il full SASE secondo la sua definizione originaria (una piattaforma che realizza una architettura unificata in Cloud per il trasporto sicuro e la gestione sicura degli accessi ai dati n.d.r.) e coloro che offrono solo una parte dei servizi SASE.
Infatti, molti Vendor oggi fanno passare come architettura SASE dei servizi che già erogavano e che oggi propongono secondo questo modello (effetto marketing). Come districarsi allora? Alessandro Frizzi suggerisce di verificare che la soluzione che viene proposta sia realmente rispondente alla definizione Gartner originaria; quindi, di controllare che oltre ad essere completamente erogata dal cloud fornisca servizi di connettività e sicurezza, sia scalabile e consenta la gestione centralizzata a mezzo di una unica dashboard da cui si possano gestire sia la componente network che quella security (security policy) con un appropriato livello di resilienza.
Non esistono checklist predefinite da “spuntare”, ma è opportuno analizzare le caratteristiche del servizio proposto e verificare che tutte le funzionalità proposte siano erogate esclusivamente da Cloud. Se sono proposti apparati (di SDWAN ad esempio) da mettere on premise dal cliente già non si rientra più nella logica SASE vera e propria, perché tutto il traffico e soprattutto l’analisi dovrebbe essere demandata al cloud e la connettività internet resa sicura.
Esiste poi un nuovo acronimo. Alcuni vendor fanno leva sul Security Service Edge (SSE) che è un sottoinsieme di SASE (hanno volutamente tolto la A) per identificare come si occupino della sola componente security con servizi da cloud e non coprono quella abilitante di network come ad esempio l’SD-WAN.
Il tipo di attacco percepito come più rovinoso
In relazione agli attacchi digitali, i DDoS potrebbero impensierire l’utente perché considerati come particolarmente lesivi per una architettura SASE, inficiando uno qualunque dei servizi erogati in modalità SaaS dal Cloud, come ad esempio la componente del servizio network SDWAN. Alessandro Frizzi spiega in questo caso che i vendor di SASE basano le proprie infrastrutture Cloud su sistemi resilienti ad attacchi di tipo DDoS e che queste protezioni sono “trasparenti” per gli utenti.
Il secondo livello è quello del cliente, che lato utente potrebbe essere stato compromesso ed essere diventato parte di una BOTNET capace di lanciare un attacco, ad esempio, di DNS Amplification (che un tipo di DDOS n.d.r.). In questo secondo caso deve essere proprio il SASE e i sistemi di sicurezza del cliente (per esempio in ambito endpoint protection o sulla porzione di infrastruttura che non è in cloud n.d.r.) a dover intervenire in modo proattivo e anticipato rispetto alla diffusione di un malware all’interno della rete aziendale.
Le architetture SASE implementano servizi di sicurezza volti proprio ad individuare malware e potenziali attacchi nelle reti aziendali anche attraverso controlli di tipo IPS.
Si ricorda, infine, che tutti gli attacchi alle infrastrutture cloud potrebbero inficiare i servizi erogati in SASE e che naturalmente non ci si deve dimenticare dei rischi legati ai malware di tipo ransomware prevenendo anche le conseguenze rovinose delle campagne di phishing.
I vantaggi del SASE
Diversi sono, invece, i vantaggi del SASE in termini di performance delle macchine grazie alla scalabilità propria del Cloud. Le piattaforme SASE sono anche considerate resilienti, perché generalmente tali soluzioni sono erogate da datacenter che sono come minimo Tier I. Dunque, la resilienza di piattaforme SASE basata su datacenter con queste caratteristiche è garantita da misure tecniche di ridondanza e di robustezza appropriate.
I diversi datacenter in cloud dei maggiori vendor, hanno Point of Presence (PoP) che permettono di veicolare i dati del cliente dentro un backbone proprietario che collega i vari datacenter, utenti, branch e applicazioni in Cloud visti come “edge”.
Per un privato mantenere una simile infrastruttura distribuita sarebbe oltremodo costoso. Nonostante quanto detto fin qui, il SASE non va confuso con l’EDGE computing perché il SASE trasporta i dati nel network e controlla a livello security, ma il SASE non si occupa di computing, ovvero non computa in termini di potenza di calcolo. Come ulteriore elemento vantaggioso del SASE, Mario Ognissanti fa notare infine, come l’adozione di Firewall as-a-Service (FaaS), Web Gateway e ZTNA siano elementi dei servizi SASE che consentono una maggiore capacità di controllo sulla sicurezza dei dati.
Contributo editoriale sviluppato in collaborazione con Maticmind