Un nuovo framework per la sicurezza della rete

Mantenere connessa la moderna rete distribuita

Internet è stato progettato come un'enorme rete distribuita. Per questo motivo, è naturalmente resiliente, consentendo a computer, server e altri dispositivi di connettersi e instradare i dati in base alle esigenze. Quando un singolo dispositivo (o un gruppo di dispositivi) si guasta o si disconnette da Internet, in genere ha un impatto trascurabile sul modo in cui funziona il resto della rete.

Nonostante la sua innata resilienza, Internet non è stata costruita in modo da poter garantire connessioni veloci o sempre disponibili. Mancava anche di un framework per la sicurezza, il che lo rendeva mal equipaggiato per proteggere i dispositivi da ficcanaso di dati, attività dannose e altri attacchi informatici.

Di conseguenza, l'infrastruttura di rete tradizionale è stata modellata su un modello "castello e fossato", in cui le applicazioni e i dati sono stati conservati in data center centralizzati in sede ("castelli") che potevano essere difesi dalle minacce esterne con una configurazione complessa di firewall hardware, dispositivi DDoS e altri dispositivi di sicurezza ("fossati"). Gli utenti autorizzati hanno ottenuto l'accesso al castello tramite VPN, che fungeva da ponte levatoio che collegava il fossato.

L'approccio castello-fossato consentiva alle organizzazioni di proteggere le proprie reti a un livello base, ma era tutt'altro che perfetto. Ci sono stati diversi ostacoli che hanno dovuto superare:

  • Configurazione e manutenzione complesse: le apparecchiature di sicurezza in loco si sono rivelate costose da configurare e mantenere aggiornate contro le minacce emergenti, costringendo i team di sicurezza a recuperare il ritardo mentre gli aggressori trovavano nuovi modi per sfruttare le vulnerabilità nei sistemi esistenti.

  • Compromessi delle prestazioni: i dipendenti che avevano bisogno di connettersi a reti private da remoto spesso lo facevano tramite VPN, nonostante le prestazioni lente che hanno riscontrato a causa di server geograficamente distanti e sovraffollamento.

  • Vulnerabilità della sicurezza: chiunque abbia violato il perimetro della rete ha ottenuto un accesso illimitato alle risorse aziendali, rendendo difficile prevenire la minaccia di violazioni dei dati interni ed esterni.

Per molte aziende, semplificare e rafforzare l'infrastruttura di rete legacy era un compito necessario ma arduo e la trasformazione digitale lo ha reso ancora più difficile.

Il cloud offre maggiore flessibilità ma porta anche più problemi

La trasformazione del panorama tecnico ha reso la sicurezza della rete un compito sempre più arduo. SaaS e provider di cloud pubblico hanno consentito alle organizzazioni di spostare le proprie applicazioni e i propri dati lontano dai datacenter in sede, mentre smartphone e altri dispositivi mobili hanno consentito ai dipendenti di connettersi sempre più spesso alle reti da postazioni remote.

L'adozione di servizi basati su cloud ha aiutato a decentralizzare i data center on-premise, offrendo alle organizzazioni più flessibilità e agilità che mai. Tuttavia, significava anche che le risorse aziendali sensibili non risiedevano più all'interno di un unico "castello", ma erano distribuite in più località, rendendo difficile la creazione di un perimetro di sicurezza unificato.

La protezione di questo tipo di ambiente ibrido si è rivelata più difficile del previsto. Le organizzazioni hanno dovuto adottare soluzioni di sicurezza separate per applicazioni e dati on-premise e basati su cloud, garantendo al contempo che i dipendenti potessero accedere in modo sicuro e conveniente alle risorse di rete da qualsiasi luogo.

Di conseguenza, le organizzazioni sono state costrette a configurare e mantenere un complesso patchwork di soluzioni di sicurezza single-point, la maggior parte delle quali non sono state progettate per integrarsi perfettamente. Ciò ha comportato una serie di ulteriori sfide per i team di sicurezza:

  • Eliminazione delle risorse interne: la protezione di un ambiente ibrido è spesso uno sforzo laborioso e dispendioso in termini di tempo per i team di sicurezza. Poiché le apparecchiature in sede non possono proteggere applicazioni e servizi basati su cloud, le aziende necessitano di sistemi di sicurezza separati per salvaguardare tutti gli strumenti e le risorse interne, con conseguente aumento di costi, tempo e manodopera.

  • Più fornitori: La sicurezza della rete basata su cloud ha numerose parti mobili, dai firewall cloud ai Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB) e altro, e trovare un fornitore che offra tutti i servizi di sicurezza può essere difficile. Per la maggior parte delle aziende, l'approvvigionamento di servizi da più fornitori è una parte necessaria della protezione di un ambiente ibrido, sebbene ciò possa comportare costi e complessità aggiuntivi.

  • Lacune di sicurezza: quando si lavora con più fornitori di sicurezza, può essere difficile garantire che ogni parte della rete sia completamente protetta, senza lacune di sicurezza persistenti, soprattutto perché non esiste un singolo pannello da cui è possibile monitorare e mantenere la tua infrastruttura di sicurezza di rete. E la natura del lavoro a distanza fa sì che i dipendenti utilizzino spesso dispositivi personali per connettersi alle reti aziendali, introducendo ulteriori rischi per la sicurezza.

Il modello castello-fossato che un tempo rendeva relativamente semplice la configurazione, la protezione e la manutenzione delle reti aziendali non è più compatibile con gli odierni ambienti ibridi distribuiti e basati su cloud. Questa transizione stava già avvenendo, ma il 2020 ha imposto una rapida accelerazione del processo. I dipendenti sono più distribuiti e remoti che mai e si sono abituati ad accedere alle risorse aziendali tramite una serie di dispositivi personali. Le aziende stanno riconoscendo sempre più la necessità di ospitare dipendenti, server e applicazioni esistenti su Internet anziché nel castello.

Un nuovo framework per la sicurezza della rete

Poiché i vecchi modelli di sicurezza di rete non sono riusciti a tenere il passo con le minacce in via di sviluppo e l'architettura di rete moderna è aumentata in complessità, le organizzazioni hanno iniziato il passaggio a un nuovo modello di sicurezza basato su cloud: Secure Access Service Edge, o ‘SASE.’

Coniato per la prima volta da Gartner nel 2019, SASEcombina la rete WAN definita da software con i principali servizi di sicurezza della rete, inclusi i gateway Web sicuri (SWG), i broker di sicurezza dell'accesso al cloud (CASB), i firewall cloud (FWaaS) e i criteri di accesso alla rete zero trust (ZTNA), e le offre ai margini della rete.

Piuttosto che dipendere da dispositivi hardware inefficaci o collegare insieme i servizi di sicurezza in silos, SASE offre un approccio semplificato alla sicurezza di rete. Sostituisce il complicato backhauling con il perimetro Internet, consentendo alle organizzazioni di instradare, ispezionare e proteggere il traffico in un unico passaggio. SASE utilizza il concetto di sicurezza Zero Trust, l'idea che ogni utente di ogni applicazione deve essere costantemente autenticato, ancora di più. Insieme ai criteri di accesso Zero Trust e alla protezione dalle minacce a livello di rete, SASE elimina la necessità di VPN legacy, firewall hardware e dispositivi di protezione da attacchi DDoS, consentendo alle organizzazioni di consolidare i servizi di sicurezza della rete e consentendo ai team di sicurezza una maggiore visibilità e controllo sulle loro configurazioni di sicurezza di rete.

In pratica, l'implementazione di SASE può variare notevolmente da fornitore a fornitore e da organizzazione a organizzazione. La maggior parte delle soluzioni SASE, tuttavia, offre diversi vantaggi rispetto alle configurazioni di sicurezza di rete ibride e locali:

  • Consolidamento dei fornitori: invece di destreggiarsi tra più fornitori e soluzioni puntuali, le organizzazioni possono ricevere una protezione di rete completa da un unico provider SASE, eliminando i costi inutili e la complessa configurazione tra i servizi.

  • Un perimetro di sicurezza unificato: fornendo questi servizi sul perimetro della rete, una rete globale di server e dispositivi geograficamente vicini all'utente finale, SASE consente alle aziende di proteggere le proprie applicazioni, dati e utenti da qualsiasi luogo nel mondo.

  • Migliore visibilità: consolidando i servizi di rete e sicurezza della rete e fornendoli da un'unica piattaforma basata su cloud, SASE elimina le lacune di sicurezza tra i servizi, offre ai team IT e di sicurezza una maggiore visibilità sull'attività di rete e semplifica il processo di migrazione al cloud.

SASE promette di portare la sicurezza della rete a un livello superiore: uno in cui la rete in silos e i servizi di sicurezza possono essere uniti su un'unica piattaforma basata su cloud e forniti come servizio.

Questo approccio, se implementato correttamente, consente alle aziende di garantire che le loro reti aziendali rimangano globali, distribuite e costantemente connesse, senza interruzioni in termini di sicurezza o prestazioni.

Cloudflare ha introdotto Cloudflare One per soddisfare le esigenze dell'impresa oggi; una soluzione network-as-a-servicecompleta e basata su cloud che sostituisce un patchwork di dispositivi e tecnologie WAN con un'unica rete che fornisce sicurezza, prestazioni e controllo attraverso un'unica interfaccia utente. Poiché la rete è il denominatore comune di tutte le applicazioni, integrando il controllo nella rete Cloudflare One garantisce criteri coerenti indipendentemente dal fatto che un'applicazione sia nuova o legacy, eseguita on-premise o nel cloud e fornita dalla tua infrastruttura o da un provider SaaS multi-tenant. Con la massiccia presenza globale di Cloudflare, il traffico è protetto, instradato e filtrato su una dorsale ottimizzata che utilizza l'intelligence Internet in tempo reale per proteggersi dalle minacce più recenti e indirizzare il traffico in caso di maltempo e interruzioni di Internet.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.

Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

  • Gli ostacoli associati all'approccio alla sicurezza castello-fossato

  • La complessità introdotta dal cloud

  • Principali vantaggi di SASE

  • Le promesse di SASE

RISORSE CORRELATE


Approfondire questo argomento

Per ulteriori informazioni sull'ultimo framework per la sicurezza di rete, SASE, consulta la guida per proteggere e ottimizzare la tua infrastruttura di rete.

Get the guide

Receive a monthly recap of the most popular Internet insights!