Che cos'è SASE? | Secure Access Service Edge

Che cos'è SASE?

Secure Access Service Edge, o SASE, è un modello di sicurezza basato sul cloud che raggruppa le reti software-defined con le funzioni di sicurezza di rete e le fornisce attraverso un unico provider di servizi. Il termine "SASE" è stato coniato da Gartner, una società globale di ricerca e consulenza, nel 2019.

SASE è un'alternativa basata su cloud alla tradizionale infrastruttura di rete "hub-and-spoke", utilizzata per connettere gli utenti in più posizioni (spoke) alle risorse ospitate in data center centralizzati (hub). In un modello di rete tradizionale, i dati e le applicazioni risiedono in un data center centrale. Per accedere a tali risorse, gli utenti, le filiali e le applicazioni si connettono al data center da una rete privata localizzata o da una rete secondaria, che in genere si connette a quella principale tramite una linea dedicata sicura o una VPN.

Sebbene semplice in linea di principio, un modello hub-and-spoke è mal equipaggiato per gestire le complessità introdotte dai servizi basati sul cloud come SaaS (Software-as-a-Service) e dall'aumento della forza lavoro decentrata. Con un maggior numero di applicazioni, carichi di lavoro e dati aziendali sensibili che si spostano nel cloud, le aziende sono costrette a ripensare come e dove viene ispezionato il traffico di rete e a gestire criteri di accesso sicuro degli utenti. Non è più pratico reindirizzare tutto il traffico attraverso un data center centralizzato se la maggior parte delle applicazioni e dei dati sono ospitati nel cloud, in quanto ciò può introdurre una latenza non necessaria. Grandi gruppi di utenti remoti, nel frattempo, possono riscontrare una latenza significativa durante la connessione a una rete aziendale tramite VPN, oppure si espongono a rischi aggiuntivi per la sicurezza se accedono alle risorse aziendali tramite una connessione non protetta.

Al contrario, SASE posiziona i controlli di rete sul cloud edge, e non sul data center aziendale. Invece di sovrapporre servizi cloud che richiedono configurazione e gestione separate, SASE semplifica i servizi di rete e sicurezza per creare un perimetro di rete sicuro e continuo. L'implementazione di policy di accesso zero trust basate sull'identità nella rete perimetrale consente alle aziende di espandere il perimetro della rete a qualsiasi utente remoto, filiale, dispositivo o applicazione. A sua volta, questo elimina la necessità di VPN e firewall legacy e offre alle aziende un controllo più preciso sui criteri di sicurezza della rete. Per fare ciò, un framework SASE è costruito su una singola rete globale per avvicinare questi servizi integrati agli utenti finali.

Perché SASE è necessario?

Immagina un modello di architettura di rete tradizionale come una filiale di banca. Ora immagina che Bob voglia controllare il saldo del suo conto prima di effettuare il pagamento dell'affitto. Per farlo, dovrà recarsi fisicamente in banca e verificare la sua identità con il cassiere. Ogni mese dovrà andare in banca per ripetere questa procedura, con conseguente dispendio di tempo ed energie, soprattutto se vive lontano dalla banca.

Questo è in qualche modo simile all'architettura di rete incentrata sull'hardware, in cui le decisioni in materia di sicurezza e accesso vengono prese e applicate in un data center fisso on-premise piuttosto che nel cloud. Aggiungere servizi cloud a un modello di architettura di rete tradizionale è un po' come dare a Bob la possibilità di controllare il saldo del suo conto effettuando una telefonata alla banca. È un po' più comodo che guidare fino in banca, ma dovrà comunque completare un processo di verifica dell'identità completamente diverso (invece di consegnare il documento d'identità, ad esempio, potrebbe venirgli richiesto di fornire un'altra serie di informazioni riservate al telefono per dimostrare la sua identità). La banca dovrà gestire queste diverse procedure al fine di mantenere al sicuro i dati dei conti dei propri clienti.

L'infrastruttura hub-and-spoke tradizionale non è progettata con i servizi cloud in mente. Essa si basa su un perimetro di rete sicuro costruito attorno a un data center principale, che è efficace solo quando la maggior parte delle applicazioni e dei dati di un'azienda risiede all'interno di tale perimetro. La gestione dei vari servizi di sicurezza e criteri di accesso può diventare presto difficile per i team IT da curare e aggiornare.

SASE, d'altra parte, è come un'app bancaria sul dispositivo mobile di Bob. Invece di andare in banca per controllare il suo conto o effettuare una telefonata che richiede tempo, può verificare digitalmente la sua identità e accedere istantaneamente al saldo del suo conto da qualsiasi parte del mondo. E questo non vale solo per Bob, ma per tutti i clienti della banca, indipendentemente da dove si trovino.

Spostando questi processi chiave nel cloud, SASE porta i servizi di sicurezza della rete e il controllo degli accessi più vicino all'utente finale e opera su una rete globale per ridurre al minimo la latenza.

Quali funzionalità include SASE?

Pacchetti di servizi edge di accesso sicuro SD-WAN (Software-Defined Wide Area Networking) con una serie di funzioni di sicurezza di rete, tutte distribuite e gestite da un'unica piattaforma cloud. Un'offerta SASE comprende quattro componenti di sicurezza principali:

1. Secure Web Gateways (SWG): noto anche per essere un gateway Internet sicuro, un SWG previene le minacce informatiche e le violazioni dei dati filtrando i contenuti indesiderati dal traffico web, bloccando il comportamento degli utenti non autorizzati e applicando le direttrici di sicurezza aziendali. I SWG possono essere implementati ovunque, rendendoli l'opzione ideale per proteggere la forza lavoro remota.
2. Cloud Access Security Broker (CASB): un CASB svolge diverse funzioni di sicurezza per i servizi ospitati nel cloud: rivelazione dell'IT shadow (sistemi aziendali non autorizzati), protezione dei dati riservati attraverso il controllo degli accessi e prevenzione della perdita di dati (DLP), garanzia della conformità alla privacy dei regolamenti dei dati e altro ancora.
3. Zero Trust Network Access (ZTNA): le piattaforme ZTNA bloccano le risorse interne dalla vista pubblica e aiutano a difendersi da potenziali violazioni dei dati, richiedendo la verifica in tempo reale di ogni utente per ogni applicazione protetta.
4. Firewall-as-a-Service (FWaaS): FWaaS si riferisce ai firewall forniti dal cloud come servizio. FWaaS protegge da attacchi informatici piattaforme, infrastrutture e applicazioni basate sul cloud. A differenza dei firewall tradizionali, FWaaS non è un dispositivo fisico, ma un insieme di funzionalità di sicurezza che includono il filtraggio degli URL, la prevenzione delle intrusioni e la gestione uniforme delle policy su tutto il traffico di rete.

A seconda del fornitore e delle esigenze dell'azienda, questi componenti principali possono essere raggruppati con qualsiasi servizio di sicurezza aggiuntivo, dalla protezione delle applicazioni web e delle API (WAAP) all'isolamento del browser remoto, passando per il DNS ricorsivo, la protezione degli hotspot Wi-Fi, l'offuscamento/dispersione della rete, la protezione edge computing e così via.

Quali sono i vantaggi di un framework SASE

SASE offre diversi vantaggi rispetto a un modello di sicurezza di rete tradizionale basato su data center:

• Implementazione e gestione semplificate. SASE unisce soluzioni di sicurezza single-point in un unico servizio basato sul cloud, consentendo alle aziende di interagire con meno fornitori e di dedicare meno tempo, denaro e risorse interne alla configurazione e l'esecuzione della manutenzione dell'infrastruttura materiale.
• Gestione semplificata delle policy. Anziché gestire più policy per soluzioni separate, SASE consente alle organizzazioni di impostare, monitorare, regolare e applicare criteri di accesso su ogni posizione, utente, dispositivo e applicazione da un unico portale.
• Accesso di rete basato sull'identità zero trust. SASE si appoggia su un modello di sicurezza zero trust, che non concede all'utente l'accesso alle applicazioni e ai dati fino a quando la sua identità non è stata verificata, anche se si trova già all'interno del perimetro di una rete privata. Quando si definiscono i criteri di accesso, un approccio SASE va oltre l'identità di un'entità; inoltre, considera fattori quali la posizione dell'utente, l'ora del giorno, gli standard di sicurezza aziendali, i criteri di conformità e una valutazione continua del rischio e dell'attendibilità.
• Routing ottimizzato per la latenza. Per le aziende che forniscono servizi che influiscono sulla latenza (ad es. videoconferenze, streaming, giochi online, ecc.), qualsiasi aumento significativo della latenza rappresenta un problema. SASE contribuisce a ridurre la latenza instradando il traffico di rete su una rete perimetrale globale in cui il traffico viene elaborato il più vicino possibile all'utente. Le ottimizzazioni del routing consentono di determinare il percorso di rete più veloce in base alla congestione della rete e ad altri fattori.

È importante notare che non tutte le implementazioni SASE avranno lo stesso aspetto. Sebbene possano avere in comune alcune caratteristiche fondamentali (criteri di accesso basati sull'identità, servizi di sicurezza di rete e un'architettura incentrata sul cloud), potrebbero esserci anche alcune differenze notevoli a seconda delle esigenze dell'organizzazione. Ad esempio, un'implementazione SASE può optare per l'architettura single-tenancy piuttosto che per l'architettura multitenant, incorporare il controllo degli accessi di rete per IoT (Internet of Things) e dispositivi edge, offrire funzionalità di sicurezza aggiuntive, affidarsi ad apparecchiature hardware/virtuali minime per fornire soluzioni di sicurezza, ecc.

In che modo Cloudflare aiuta con l'adozione di SASE?

Il modello SASE di Cloudflare si applica sia a Cloudflare for Infrastructure che a Cloudflare for Teams, entrambi supportati da un'unica rete globale che offre oltre 25 milioni di proprietà Internet. Cloudflare è dotato di un'architettura specifica, adatta a fornire servizi di rete e sicurezza integrati in ciascuna delle nostre 200+ sedi in tutto il mondo, eliminando la necessità per le aziende di instradare il traffico attraverso un data center centralizzato, o di gestire più punti soluzione nel cloud.

Cloudflare for Infrastructure include la suite di servizi integrati di sicurezza e prestazioni di Cloudflare, che protegge, velocizza e garantisce l'affidabilità di qualsiasi ambiente on-premise, ibrido e cloud. Una parte integrante di Cloudflare for Infrastructure è Cloudflare Magic Transit, che protegge l'infrastruttura di rete dalle minacce DDoS e dagli attacchi a livello di rete e agisce in sinergia con Web Application Firewall di Cloudflare per difenderla dagli exploit delle vulnerabilità. Magic Transit utilizza inoltre la rete globale di Cloudflare per accelerare il traffico di rete legittimo e ottenere così latenza e throughput ottimali. Ulteriori informazioni su Cloudflare Magic Transit.

Cloudflare for Teams protegge i dati aziendali in due modi distinti: con Cloudflare Access, una soluzione di accesso alla rete zero trust, e Cloudflare Gateway, un servizio di filtraggio DNS e sicurezza di rete che protegge da minacce come malware e phishing. Cloudflare Access elimina la necessità di VPN legacy e consente l'accesso sicuro e basato sull'identità alle applicazioni e ai dati interni, indipendentemente dalla posizione degli utenti. Cloudflare Gateway protegge l'utente e i dati aziendali filtrando e bloccando contenuti dannosi, identificando i dispositivi compromessi e utilizzando la tecnologia di isolamento del browser per impedire l'esecuzione di codice dannoso sui dispositivi degli utenti. Ulteriori informazioni su Cloudflare for Teams.