Cos’è il Secure Access Service Edge (SASE)?

Il Secure Access Service Edge, o SASE, è un modello di architettura di sicurezza aziendale per il networking progettato per supportare le esigenze di accesso rapido alle applicazioni della forza lavoro di oggi. Le architetture SASE riuniscono il networking e la sicurezza fornita dal cloud in un’architettura ad alte prestazioni e Single Pass con una gestione unificata.

Scoprite altri argomenti relativi al SaaS:

Che cos’è il SASE

A cosa serve il SASE?

I principali trend di mercato che sono alla base del passaggio al SASE nell’ambito del networking e della sicurezza sono tre:

  1. Le applicazioni stanno passando al SaaS: nelle tradizionali architetture di rete in locale, il backhauling del traffico SaaS verso il datacenter per ragioni di sicurezza contribuisce a peggiorare la latenza e ad aumentare i costi di rete. In un contesto in cui gli ambienti cloud diventano sempre più diffusi, il SASE consente alle organizzazioni di spostare i servizi di sicurezza di rete dal datacenter più vicino agli utenti remoti.
  2. I lavoratori sono più mobili e remoti: indipendentemente da dove si trovano, i dipendenti desiderano omogeneità in termini di esperienza e sicurezza. Sfortunatamente, le VPN tradizionali non offrono controlli di sicurezza granulari, pertanto contribuiscono a peggiorare l’esperienza.
  3. Le minacce si stanno evolvendo rapidamente: i team responsabili della sicurezza devono sviluppare e aggiornare continuamente la propria infrastruttura per tenere il passo con le nuove minacce. Si tratta di un lavoro complesso e dispendioso in termini di tempo, che spesso continua a lasciare molte organizzazioni vulnerabili alle minacce zero-day.

Le aziende di oggi devono fornire a tutti i dipendenti un’esperienza di workspace digitale veloce, ottimizzata e sicura, indipendentemente dalla posizione o dal dispositivo. Allo stesso tempo, i reparti IT devono diventare più agili in modo da potersi concentrare sulla fornitura di nuovi servizi digitali, piuttosto che dedicare la maggior parte del tempo alla gestione di complessi stack di networking e sicurezza. Garantendo lo sviluppo e la convergenza di networking e sicurezza, il framework SASE consente di:

  • Garantire una gestione agile, unificata e basata su una singola console, che include il provisioning e il controllo granulare delle policy, oltre alla visibilità.
  • Accedere alle applicazioni ovunque e in modo sempre veloce e sicuro, grazie alle funzionalità WAN che superano l’imprevedibilità dei breakout Internet locali.
  • Applicare in modo ottimizzato le policy di conformità della sicurezza attraverso un cloud di sicurezza globale, per tutti gli utenti, indipendentemente dalla loro posizione.

Che cosa è incluso nel SASE?

Il modello SASE riunisce funzioni complete di sicurezza di rete e SD-WAN in un’architettura Single Pass amministrata tramite un piano di gestione unificato per il networking e la sicurezza informatica. Gartner, che ha coniato il termine SASE, ha elencato le funzionalità “Essenziali” e “Consigliate” per le architetture SASE.1

Le funzionalità essenziali del SASE includono:

SD-WAN

La SD-WAN offre una connettività resiliente e a bassa latenza su qualsiasi tipo di trasporto di rete, riducendo al contempo la complessità rispetto alle tradizionali soluzioni basate su router. Le applicazioni cloud-native e in tempo reale traggono particolarmente vantaggio dalle SD-WAN. Le SD-WAN raggiungono questo obiettivo attraverso funzionalità come la selezione dei percorsi basata su assessment della qualità degli stessi, l’ottimizzazione WAN e il peering con le applicazioni SaaS. Inoltre, alcune SD-WAN offrono misure di sicurezza di rete come sistemi integrati di rilevamento/prevenzione delle intrusioni (IDS/IPS) e la configurazione semplificata dei tunnel VPN tra le filiali e le applicazioni SaaS.

Secure Web Gateway

Un Secure Web Gateway (SWG) è una soluzione di sicurezza informatica aziendale, generalmente implementata in linea come servizio cloud, che si trova tra gli utenti e il web. Il traffico degli utenti viene inoltrato all’SWG (per essere ispezionato e per ulteriori azioni, se necessario) attraverso funzionalità di sicurezza di rete integrate come il filtraggio degli URL, il controllo delle applicazioni e i sistemi di difesa contro il malware.

Cloud Access Security Broker

Attraverso un broker di sicurezza degli accessi cloud (Cloud Access Security Broker, CASB), un’azienda può gestire il controllo degli accessi per tutte le applicazioni SaaS approvate e non approvate. Le soluzioni di sicurezza CASB si basano su quattro pilastri fondamentali, tra cui:

  • Migliore visibilità, anche tra le applicazioni shadow IT
  • Sicurezza dei dati per proteggere i dati sensibili da accessi non autorizzati
  • Prevenzione delle minacce attraverso funzionalità come l’analisi comportamentale
  • Prova di conformità semplificata

Accesso Zero Trust alla rete

L’accesso Zero Trust (ZTNA) alla rete applica il principio del privilegio minimo per gli utenti autorizzati che accedono alle applicazioni autorizzate. Inoltre, si basa sull’identità e sul contesto, valutando i tentativi di accesso in accordo con le informazioni di identità provenienti da servizi cloud come Microsoft Azure Active Directory e a parametri come l’orario e la posizione. Per prevenire lo spostamento laterale della minaccia, l’accesso può anche essere concesso alle applicazioni invece che alla rete sottostante. In generale, lo ZTNA offre una migliore esperienza utente, controlli di sicurezza più rigorosi e una minore complessità rispetto alle soluzioni VPN tradizionali.

Firewall as a Service

Il Firewall as a Service (FWaaS) implementa controlli di sicurezza in ingresso e in uscita su una rete aziendale, per garantire che possa passare solo il traffico attendibile. Nello specifico, una soluzione FWaaS può integrare il rilevamento delle minacce basato su anomalie (signatureless, senza firme), una sandbox di rete, la geolocalizzazione, il software anti-malware e le soluzioni IDS/IPS. Il FWaaS viene spesso integrato con soluzioni di analytics della sicurezza per una protezione completa dei datacenter, delle istanze cloud e delle filiali.

Protezione dalla perdita di dati

La protezione dalla perdita di dati (chiamata anche prevenzione delle minacce) è integrata nell’architettura Single Pass di una piattaforma SASE. Un motore di protezione dalla perdita di dati offre visibilità sui dati in uso, in transito e a riposo. Può mettere in quarantena dati o attività rischiosi, applicare la crittografia e inviare avvisi di sicurezza di rete per ridurre complessivamente il rischio di una violazione dei dati.

Crittografia/decrittografia dei contenuti a velocità di linea, su larga scala

L’architettura Single Pass del SASE consente di aprire e ispezionare il traffico crittografato una sola volta, per ridurre la latenza degli stack di sicurezza tradizionali con motori di ispezione a catena di servizi.

Le funzionalità SASE consigliate includono:

Protezione delle applicazioni web e delle API

Con la crescita dell’utilizzo delle applicazioni web, è importante tenere sotto controllo le richieste e il traffico che possono rivelarsi dannosi. La protezione delle applicazioni web e delle API, o WAAP, può integrare soluzioni di sicurezza come la limitazione avanzata del rate, l’autoprotezione dell’applicazione di runtime e la mitigazione DDoS.

Isolamento remoto del browser

Utilizzando l’isolamento remoto del browser, è possibile proteggere la rete aziendale dagli attacchi basati su browser. I dati provenienti dai siti web, compresi quelli potenzialmente compromessi, non vengono trasferiti ai dispositivi dell’utente finale, riducendo la possibilità di violazioni o infezioni.

Sandbox di rete

Una sandbox di rete invia i contenuti sospetti a un ambiente isolato, dove possono essere eseguiti senza influenzare altre applicazioni. Le soluzioni FWaaS all’interno della piattaforma SASE possono quindi ispezionarli ulteriormente e bloccare eventuali file e asset dannosi, qualora vengano rilevati.

Supporto per dispositivi gestiti e non gestiti

Una piattaforma SASE offre un framework migliore per la protezione dei dispositivi forniti dall’azienda e dai dipendenti, con varie soluzioni di sicurezza che proteggono da minacce come la perdita di dati, l’accesso non autorizzato e il malware.

Le funzionalità SASE vengono fornite tramite un modello di servizio unificato che può essere definito a “filiale leggera e cloud pesante”: la funzionalità SD-WAN viene offerta come appliance “leggera” per le filiali, mentre la funzionalità di sicurezza viene fornita come servizio cloud “pesante”.

1Report di Gartner sulle capacità critiche dell’infrastruttura WAN Edge, settembre 2020

E-BOOK

Sette requisiti per le architetture Secure Access Service Edge (SASE)

Leggete l’e-book per scoprire come l’approccio unificato di Citrix al SASE consente di riunire il networking e la sicurezza

Quali sono i vantaggi principali del SASE per la sicurezza?

Le architetture SASE sono state progettate con l’intento di consentire un accesso veloce, affidabile e sicuro alle applicazioni cloud da parte dei lavoratori mobile e remoti, migliorando contemporaneamente l’agilità dell’IT. Ipotizzando che le aziende prestino attenzione ai vari aspetti delle funzionalità offerte, come la gestione unificata tra networking e sicurezza, la progettazione architettonica Single Pass e le potenti funzionalità SD-WAN, tramite una distribuzione SASE le aziende possono ottenere i seguenti vantaggi:

Un’esperienza utente di livello superiore. L’accesso diretto a Internet elimina la latenza dalle connessioni in backhauling. Tuttavia, la funzionalità di ottimizzazione WAN e SD-WAN presente nelle soluzioni SASE è necessaria per garantire prestazioni costanti anche quando quelle di Internet sono variabili. Le architetture Single Pass garantiscono che gli stessi motori di ispezione e delle policy non aggiungano latenza superflua.

Sicurezza migliorata. L’accesso Zero Trust basato sull’identità è abilitato per le applicazioni autorizzate. Ciò riduce l’esposizione agli attacchi e impedisce la diffusione laterale del malware all’interno della rete aziendale. Per le applicazioni web e non autorizzate, la sicurezza completa distribuita dal cloud garantisce un comportamento di sicurezza ottimizzato, indipendentemente dalla posizione dei dipendenti.

Maggiore agilità IT. Le architetture SASE possono aiutare a consolidare le varie soluzioni specifiche nell’ambito del networking e della sicurezza. Le soluzioni di un unico fornitore offrono integrazioni più avanzate e una gestione unificata che semplifica la distribuzione, la configurazione, il reporting e i servizi di assistenza. Poiché le architetture SASE richiedono lo spostamento della sicurezza nel cloud, si riduce l’impronta hardware complessiva e di conseguenza si migliorano l’elasticità e l’adattabilità dell’architettura.

Quali sono gli elementi essenziali di un framework SASE affidabile?

Anche se molti provider di servizi promuovono i singoli componenti di un’architettura SASE, la fornitura di tutte le funzionalità richieste è fondamentale, poiché l’insieme unificato è maggiore della somma delle parti. Solo mediante uno “stack SASE” completo le aziende possono consentire un accesso sicuro, rapido e ottimizzato a tutte le applicazioni, da qualsiasi luogo e dispositivo, migliorando al contempo l’agilità IT. Le architetture SASE più potenti includono i seguenti aspetti che le differenziano dalla concorrenza:

Integrazioni profonde

Una piattaforma SASE combina la sicurezza del cloud con funzionalità WAN complete, laddove entrambe queste funzionalità si basano l’una sull’altra. Sebbene la sicurezza del cloud consenta breakout Internet locali (per eliminare la latenza dalle architetture con backhauling), non è predisposta per superare l’imprevedibilità generale delle connessioni Internet. L’ottimizzazione WAN e SD-WAN garantisce che le modifiche delle prestazioni di rete non influiscano sull’esperienza dei dipendenti.

Gestione tramite una singola console

Grazie al SASE, i reparti IT ottengono una visuale unificata sulle distribuzioni dell’infrastruttura (inclusa la sicurezza informatica) e sulle configurazioni delle policy di rete, oltre a report completi. Tutto ciò si traduce in un controllo più olistico e agile dell’intera architettura aziendale.

Architettura Single Pass

Il concatenamento delle funzionalità dei servizi spesso forza il traffico attraverso più motori di ispezione e policy, aggiungendo latenza e riducendo al minimo qualsiasi miglioramento delle prestazioni previsto dall’architettura SASE. Al contrario, le architetture SASE progettate correttamente seguiranno un approccio Single Pass, in base al quale il traffico viene aperto e ispezionato solo una volta da tutti i motori delle policy in parallelo.

Privacy

I requisiti normativi e sulla privacy, come il GDPR, spesso richiedono la separazione dei dati, la decrittografia selettiva e la visibilità e il controllo su come e dove fluiranno i dati. Soddisfare questi requisiti può risultare difficile nel caso in cui la sicurezza venga distribuita dal cloud, rendendo la valutazione delle misure di conformità importante per qualsiasi potenziale soluzione SASE.

Gestione unificata dei fornitori

Uno degli obiettivi principali del SASE è quello di migliorare l’agilità IT. Grazie al consolidamento dei fornitori, è possibile ridurre al minimo il numero di conversazioni necessarie per pianificare, distribuire, gestire e supportare un’architettura completa e unificata per le varie soluzioni di networking e sicurezza. Questo consolidamento non solo accelera le operazioni, ma aiuta anche a sviluppare le conversazioni interfunzionali nel settore IT, portando a un processo decisionale migliore e più strategico. Inoltre, da un punto di vista puramente tecnologico, un’architettura a fornitore singolo offre integrazioni più approfondite tra le varie funzionalità rispetto a quanto sarebbe possibile in caso di alleanze tecnologiche fra più organizzazioni.

Quali sono alcuni casi d’uso comuni per il SASE?

Al fine di soddisfare le aspettative dei dipendenti e i requisiti aziendali, le organizzazioni devono sviluppare la propria infrastruttura di rete e sicurezza aziendale in risposta ai cambiamenti dei modelli di utilizzo, ad esempio a quali applicazioni si accede e da dove. Tale sviluppo sosterrà iniziative strategiche più ampie, come supportare una forza lavoro nell’era del “lavoro da qualsiasi luogo” e migliorare la business continuity attraverso una distribuzione dell’infrastruttura agile, elastica ed efficiente.

Generalmente, i casi d’uso IT a valle possono essere suddivisi in tre categorie:

Trasformazione dell’architettura di networking e sicurezza

Le tradizionali architetture basate su appliance hub e spoke aggiungono latenza, aumentano i costi della WAN e sono complesse da gestire. La loro sostituzione con un’architettura SASE consentirà di eseguire breakout Internet locali sicuri per un accesso sicuro, rapido e ottimizzato a tutte le applicazioni, ovunque. L’unificazione della sicurezza informatica distribuita dal cloud e della SD-WAN all’interno dell’architettura SASE consente migliori prestazioni delle applicazioni, una gestione agile e una visibilità senza zone d’ombra.

Protezione della distribuzione della SD-WAN

Mentre le soluzioni SD-WAN sono fondamentali per migliorare le prestazioni delle applicazioni, quando ci si avvale di una SD-WAN insieme a uno stack di sicurezza basato su datacenter si aggiunge una latenza evitabile e si riducono i vantaggi complessivi della SD-WAN. La sicurezza basata su appliance presso la filiale richiede anche frequenti aggiornamenti, poiché il volume del traffico crittografato aumenta, incrementando i costi e la complessità operativa. La sicurezza fornita dal cloud è un’alternativa percorribile, ma deve essere fornita come un’architettura SASE Single Pass unificata in combinazione con la soluzione SD-WAN. Questa configurazione assicura che i vantaggi previsti dalla SD-WAN, come prestazioni delle applicazioni più veloci, agilità operativa e riduzione delle spese operative, vengano massimizzati.

Distribuzione di un workspace digitale sicuro e produttivo

Le soluzioni di workspace digitale offrono un’esperienza dei dipendenti ottimizzata e produttiva, per tutte le applicazioni e i desktop di lavoro, indipendentemente dal dispositivo utilizzato. Se supportate da un’architettura SASE, le prestazioni delle applicazioni possono essere ulteriormente migliorate grazie alla prioritizzazione intelligente del traffico e all’ottimizzazione WAN. Inoltre, la sicurezza può essere rafforzata con un accesso Zero Trust e una protezione affidabile dal malware per tutto il traffico.

Soluzioni Citrix per il SASE

Le soluzioni Citrix per il SASE garantiscono che gli utenti possano accedere alle applicazioni in modo facile e sicuro, indipendentemente da dove lavorano, riunendo tutte le funzionalità ritenute essenziali e consigliate da Gartner in una singola architettura unificata. Queste offerte SASE unificate offrono cinque vantaggi principali:

Scoprite come potete distribuire un accesso rapido e sicuro alle applicazioni grazie a Citrix SASE