l’architettura cloud

Secure Access Service Edge (SASE): cos’è e perché è utile per la sicurezza delle aziende

Home Sicurezza digitale
Indirizzo copiato

SASE, un framework di sicurezza basato sul cloud per connettere in modo sicuro utenti e siti remoti ai dati, ai servizi cloud e all’organizzazione. Gli elementi essenziali, i vantaggi, le sfide

Pubblicato il 17 lug 2023
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

Cloud,And,Edge,Computing,Technology,Concepts,Support,A,Large,Number
hybrid cloud

Il framework SASE, con la sua architettura cloud-native basata sull’identità e distribuita a livello globale, rappresenta un approccio trasformativo al networking e alla sicurezza. Esso offre numerosi vantaggi, tra cui maggiore agilità, scalabilità e sicurezza, che lo rendono una soluzione interessante per le organizzazioni moderne.

La cybersicurezza in Italia: come prepararsi alle minacce del futuro

L’architettura Secure Access Service Edge

Il termine Secure Access Service Edge (SASE) indica l’intera architettura e non una tecnologia specifica. Gartner – nel suo report del 2019 dal titolo “The Future of Network Security is in the Cloud” – definisce questo framework come una soluzione di cybersecurity basata sul cloud che combina in modo completo le funzionalità della WAN (Wide Area Network) con le funzioni di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA) per supportare le esigenze di accesso sicuro e dinamico delle organizzazioni digitali.

Gartner prevede che, entro il 2024, almeno il 40% delle organizzazioni avrà messo a punto strategie definitive per l’adozione del modello SASE, una percentuale che, alla fine del 2018, non raggiungeva neppure l’1%.

SASE è sicuro e diretto ed il traffico proveniente dai dispositivi degli utenti viene ispezionato in un punto di presenza nelle vicinanze (il punto di applicazione) e da lì viene inviato alla rispettiva destinazione. In questo modo si ottiene un accesso più efficiente alle applicazioni e ai dati, rendendo questo approccio la soluzione migliore per proteggere la forza lavoro distribuita e i dati nel cloud.

Inoltre, SASE è diverso dal Security Service Edge (SSE) che viene definito da Gartner come un sottoinsieme del SASE e che si concentra specificamente sui servizi di sicurezza necessari per una piattaforma SASE sul cloud.

Gli elementi essenziali dell’architettura SASE

Un’architettura SASE può essere suddivisa in diversi elementi essenziali in base alle relative funzionalità e tecnologie e, precisamente:

  • SD-WAN (Software-Defined Wide Area Network) – La SD-WAN è un’architettura in overlay che riduce la complessità e ottimizza l’esperienza utente, selezionando il percorso migliore per consentire al traffico di raggiungere Internet, le app cloud e il data center. Inoltre, essa consente inoltre di distribuire rapidamente nuove app e servizi e permette di gestire agevolmente le policy da un numero elevato di sedi diverse.
  • SWG (Secure Web Gateway) – Gli SWG impediscono sia al traffico Internet non sicuro di entrare nella rete interna sia ai dipendenti e agli utenti di accedere e di essere infettati da traffico web dannoso, siti web con vulnerabilità, virus trasmessi da Internet, malware e altre minacce informatiche.
  • CASB (Cloud Access Security Broker)- I CASB prevengono perdite di dati, infezioni da malware, mancanza di conformità alle normative e carenze in termini di visibilità, garantendo un utilizzo sicuro delle app e dei servizi cloud.
  • FWaaS (Firewall as a service) – I FWaaS aiutano a sostituire gli apparecchi firewall fisici con firewall cloud, che offrono le funzionalità avanzate dei firewall Layer 7 o dei firewall di nuova generazione (NGFW) quali, i controlli degli accessi, il filtraggio degli URL, la prevenzione delle minacce avanzate, i sistemi di prevenzione delle intrusioni (IPS) e la sicurezza del Domain Name Server (DNS) .
  • ZTNA (Zero Trust Network Access) – I prodotti e i servizi ZTNA offrono un accesso sicuro alle app interne agli utenti che operano in remoto. È doveroso evidenziare che in un modello zero trust, l’attendibilità non viene mai riconosciuta automaticamente e l’accesso – a privilegi minimi – è concesso sulla base di policy granulari, garantendo una connettività sicura.
  • Gestione centralizzata – La gestione di tutti questi componenti da un’unica console consente di superare molte delle sfide legate al controllo delle modifiche, alla gestione delle patch, al coordinamento delle interruzioni programmate e alla gestione delle policy e, altresì, permette di applicare queste ultime in modo uniforme in tutta l’organizzazione, ovunque siano gli utenti.

SASE come soluzione per la sicurezza e per la connettività nelle aziende

La trasformazione digitale del business richiede maggiore agilità e scalabilità, una riduzione della complessità e una sicurezza migliore. Le organizzazioni moderne devono poter garantire ai propri utenti – ovunque questi si trovino -esperienze di utilizzo ottimali. Un framework SASE è in grado di garantire un migliore controllo e visibilità sugli utenti, sul traffico e sui dati. Di seguito le principali caratteristiche e vantaggi di SASE.

  • È flessibile e scalabile, adattandosi alla crescita del business – Grazie ad un’infrastruttura basata su cloud, è possibile implementare e fornire servizi di sicurezza, quali: prevenzione delle minacce, filtraggio Web, sandboxing, sicurezza Domain Name Server (DNS), prevenzione del furto di credenziali, prevenzione della perdita di dati e criteri firewall di nuova generazione. Ovvero, il framework SASE fornisce l’agilità e le capacità Zero Trust di cui le organizzazioni hanno bisogno per adattarsi al panorama delle minacce in continua evoluzione e alle esigenze di connettività dei propri utenti. Le organizzazioni – combinando reti e sicurezza fornite dal cloud – possono facilmente adattarsi ai rapidi cambiamenti e contare su un’infrastruttura flessibile che può essere ampliata man mano che esse crescono.
  • Rivoluziona l’approccio alla sicurezza e riduce il rischio – SASE rivoluziona l’approccio alla sicurezza dato che non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. I servizi SASE, basandosi sul concetto dell’edge computing – che prevede l’elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno – avvicinano la sicurezza e l’accesso agli utenti. Questo approccio – utilizzando le policy di sicurezza di un’organizzazione – consente in modo dinamico le connessioni ad applicazioni e servizi. Inoltre, SASE, collocando la sicurezza al centro del modello di connettività, garantisce che tutte le connessioni siano ispezionate e protette, indipendentemente dalla posizione, dall’app o dalla crittografia. Inoltre, SASE – essendo dotato di un componente chiave quale lo ZTNA – fornisce un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete. Ancora, molti sistemi SASE incorporano nelle loro soluzioni le più recenti tecnologie e soluzioni di rilevamento e prevenzione dei rischi (i.e. firewall di nuova generazione che consentono di identificare e bloccare il traffico noto e sospetto prima che raggiunga l’organizzazione oltre ai più recenti anti-phishing, antivirus e anti-malware).
  • Migliora le prestazioni e garantisce un’esperienza utente rapida e fluida – Il framework SASE rende più facile per gli utenti ottenere un accesso sicuro a dati, ad applicazioni, alle risorse aziendali e ai servizi cloud per i quali hanno privilegi, oltre ad ottimizzare le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.
  • Favorisce il lavoro da qualsiasi luogo – Le architetture hub-and-spoke tradizionali non sono in grado di tollerare la larghezza di banda necessaria per offrire ai dipendenti in remoto la flessibilità di cui hanno bisogno per rimanere produttivi. Grazie a SASE è possibile garantire una sicurezza di livello aziendale che copre tutti gli utenti e i dispositivi, in qualsiasi luogo.
  • Risponde all’evoluzione delle minacce informatiche e riduce la complessità di gestione – I team della sicurezza sono costantemente in azione per contrastare le minacce e, grazie a SASE, possono disporre di una sicurezza e una semplicità di gestione di livello superiore, oltre ad offrire la possibilità di gestire le minacce avanzate, da qualsiasi luogo esse provengano. Inoltre, SASE può semplificare l’infrastruttura IT di un’organizzazione riducendo al minimo il numero di prodotti di sicurezza che il team IT deve gestire, aggiornare e mantenere, consolidando lo stack di sicurezza in un modello di servizio di sicurezza di rete basato su cloud.
  • Garantisce sicurezza Edge-to-Edge – Uno dei principali vantaggi dei framework SASE è riunire tutti gli strumenti di sicurezza in una piattaforma cloud olistica che protegge i dati sensibili all’edge della rete. Grazie a strumenti come Secure Web Gateway (SWG) e Next-Generation Firewalls (NGFW) è possibile raggiungere il perimetro della rete più lontano, fornendo un solido perimetro per le organizzazioni che dipendono dall’Edge Computing e dai data center distribuiti. I lavoratori remoti possono connettersi in modo sicuro, ottenendo un accesso diretto alle risorse centralizzate.
  • Costituisce la base per l’adozione dell’IoT –L’IoT è sempre più diffuso e si sta rivelando una risorsa utile per le organizzazioni di tutto il mondo. Tuttavia, per adottare efficacemente questa tecnologia e le sue funzionalità, è necessario costruire un ecosistema su una solida piattaforma quale SASE che permette una connettività e una sicurezza senza precedenti.
  • Protegge i dati a livello di rete – La protezione dei dati è un’attività fondamentale per qualsiasi rete aziendale, indipendentemente dal fatto che le risorse risiedano nel cloud, nei data center centrali o tramite configurazioni ibride. SASE include varie funzionalità di Data Loss Prevention (DLP) che sono progettate per rafforzare la protezione dei dati inattivi e in transito. Inoltre, l’accesso degli utenti tramite processi di autenticazione sicuri – come Multi Factor Authentication (MFA) e Single-Sign-On (SSO) – forniscono uno stretto controllo su chi può accedere ai dati sensibili. Ancora, SASE consente di implementare approcci ZTNA ed effettuare controlli granulari per proteggere i dati dall’accesso non autorizzato e tenere traccia delle richieste di accesso in tempo reale.
  • Garantisce maggiore compliance– L’applicazione coerente delle policy di sicurezza offre anche vantaggi in termini di conformità. I gestori di rete possono garantire che vengano seguite le normative sulla protezione dei dati pertinenti e, se necessario, fornire informazioni di audit approfondite alle autorità di regolamentazione.
  • Garantisce risparmio sui costi – SASE riduce i costi di protezione e gestione delle reti aziendali, aumentando l’efficienza del processo. È doveroso ricordare, altresì, che i modelli di sicurezza legacy spesso incorporano più soluzioni di fornitori diversi con conseguenti procedure di configurazione complesse, poiché tutti gli strumenti devono ricevere aggiornamenti regolari. Le soluzioni SASE, invece, riuniscono gli strumenti di sicurezza sotto un unico ombrello. Inoltre, gli strumenti basati su cloud facilitano la manutenzione rispetto ai modelli legacy permettendo al personale IT di riallocare il proprio tempo e concentrarsi su attività maggiormente critiche.

Quali sono le sfide del framework SASE

Come ogni tecnologia emergente, anche il SASE presenta delle sfide. Vediamo quali.

  • Gestione del cambiamento – L’implementazione di una soluzione SASE può comportare modifiche significative all’infrastruttura tradizionale che si è radicata nelle pratiche di lavoro dell’organizzazione. Pertanto, si tratta di avviare un processo di implementazione progressivo dato che passare da un giorno all’altro a SASE può compromettere la produttività e la collaborazione, lasciando potenzialmente lacune nella sicurezza fino a quando non sarà implementata la nuova configurazione. Ne consegue che risulta fondamentale gestire con attenzione il processo di cambiamento, stabilendo traguardi chiari e assicurando che le parti interessate siano al corrente.
  • Selezione del fornitore -La selezione di un fornitore SASE può essere difficile poiché il mercato SASE è ancora relativamente giovane e vi sono numerosi fornitori che offrono varie soluzioni SASE con diversi livelli di maturità. È doveroso ricordare che SASE è un insieme integrato di diverse tecnologie e la scelta del fornitore giusto richiede una comprensione completa di tutti i componenti coinvolti. Pertanto, le organizzazioni dovrebbero prestare molta attenzione quando selezionano un fornitore SASE, assicurandosi di aver valutato a fondo le loro esigenze.

Recentemente, MEF (un’associazione industriale globale di fornitori di reti, cloud e tecnologia) – per semplificare e velocizzare la valutazione, l’implementazione e la gestione dei servizi SASE – ha pubblicato il primo standard del settore. Tale standard definisce la terminologia comune, le caratteristiche del servizio e un framework di servizio, insieme a un framework Zero Trust, permettendo alle organizzazioni di effettuare scelte basate su definizioni standard del settore, una valutazione più semplice , un processo decisionale e un’implementazione più rapidi.

  • Problemi di integrazione. SASE rappresenta un cambiamento fondamentale nel modo in cui vengono gestite le reti e la sicurezza, pertanto, può essere difficile integrare i sistemi esistenti e legacy con la nuova tecnologia SASE.
  • Collaborazione tra i team di rete e di sicurezza – Le funzioni di rete e di sicurezza dovrebbero collaborare entrambe alle implementazioni SASE. I team di sicurezza, nella maggior parte delle organizzazioni, sono spesso responsabili del processo, mentre i tecnici di rete vengono generalmente coinvolti solo dopo che il processo di distribuzione è già iniziato, causando conflitti nel processo.

Implementazione del SASE: best practice per una transizione efficace

Di seguito si forniscono alcuni passaggi chiave che le organizzazioni possono considerare prima di adottare un framework SASE.

  • Stabilire i propri confini – Si tratta di stabilire i propri confini e la direzione verso la quale si intende andare, considerando che alcuni servizi potrebbero comunque dover essere distribuiti a livello locale (SD-WAN), anche se la tendenza è quella di spostarsi verso offerte SASE più avanzate, con servizi ospitati sull’edge. Il modo di vedere i propri confini determinerà la scelta gli strumenti necessari alla strategia dell’organizzazione.
  • Stabilire le funzionalità importanti – Ogni organizzazione dovrà valutare le funzionalità specifiche delle quali avrà bisogno per i servizi NaaS (Network-as-a-Service) e NSaaS (Network Security-as-a-Service).
  • Condurre una gap analisi – Le organizzazioni, dopo aver stabilito ciò che vogliono proteggere e gli strumenti che vogliono integrare, devono effettuare una gap analisi in modo da avere una conoscenza delle aree già consolidate e quelle per le quali è necessario investire per portare a termine la propria strategia anche in termini di conformità.
  • Pianificate le fasi di transizione al modello SASE – La transizione al modello SASE comporta una serie di fasi che potrebbero includere l’abbandono di singole soluzioni man mano che diventano obsolete. Pertanto, è importante tener conto della gap analisi e pensare a quali rischi dare la priorità. Ad esempio, se l’infrastruttura DNS o l’ambiente JavaScript non sono protetti, è necessario iniziare da questo punto. Mentre, se l’organizzazione ha un programma stabilito e vuole migliorarlo, ci saranno alcuni punti sui quali è naturale concentrarsi per primi.

Secondo Gartner, per l’implementazione del modello SASE, sarebbe preferibile considerare come punto di partenza il sistema ZTNA in quanto permette un accesso a livello di applicazione e contribuisce a ridurre il movimento laterale, i rischi per la sicurezza e le vulnerabilità note. Successivamente consiglia di disporre di un SWG e di un CASB.

Attualmente non esistono sul mercato fornitori di modelli SASE che offrono tutte le soluzioni menzionate. Pertanto, si suggerisce di optare per quei fornitori che dispongano di un’ampia gamma di funzionalità e partner integrati per soddisfare i propri obiettivi strategici.

Conclusioni

Sebbene esistano sfide associate all’implementazione SASE – come la selezione del fornitore e la garanzia dell’interoperabilità – i vantaggi di una soluzione SASE completa sono difficili da ignorare. Inoltre, considerando che i modelli di lavoro a distanza e ibridi continuano a essere la nuova norma, sempre più organizzazioni prenderanno in considerazione l’adozione di SASE, rendendolo sempre più diffuso e vantaggioso per coloro che lo adottano.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • benefici, casi di studio

    Private network su 5G, perché le imprese adottano queste reti

    06 Dic 2023

    di Domenico Salerno

    Condividi

  • diversity

    Verso un mondo più accessibile: una transizione urgente

    15 Mag 2024

    di Petru Capatina

    Condividi

Prossimo

Private network su 5G, perché le imprese adottano queste reti

Articolo 1 di 3