News

Servizi SASE: cosa sono e perché sono la frontiera della cloud security

Si chiamano servizi SASE (Secure Access Service Edge) e, secondo Gartner che ha introdotto l’acronimo nel 2019, entro il 2024 il 40% delle aziende nel mondo svilupperà progetti di questo tipo.

L’introduzione dei servizi SASE deriva dalla consapevolezza che non esiste più un perimetro aziendale tradizionale. La rete aziendale, infatti, si estende fuori dalle mura dell’azienda perché la sua infrastruttura IT si sviluppa indipendentemente da un luogo fisico. L’ampliamento al cloud (qui le tendenze cloud nel 2022) dell’architettura informatica, infatti, e l’accesso e l’utilizzo dei servizi applicativi fuori dalle sedi aziendali richiedono una disponibilità per gli stessi garantita da una rete estesa, che generalmente poggia su Internet.

Chi lavora in smart working si connette all’IT aziendale attraverso reti fisse o mobili e, di solito, lo fa sfruttando VPN (virtual private network) affinché gli accessi e i dati scambiati nei sistemi client server siano protetti. Ma il livello di protezione garantito da una VPN non si dimostra sufficiente. Ed è per questo che è stata introdotta la tecnologia e i servizi SASE.

Cosa sono i servizi SASE

Per definizione, Secure Access Service Edge è un’architettura cloud based che distribuisce (contemporaneamente) servizi di rete e di protezione con l’obiettivo di proteggere utenti, applicazioni e dati indipendentemente da dove sono posizionati. Da segnalare solo che l’Edge di Secure Access Service Edge non quello inteso come la “periferia della rete aziendale”, ma si riferisce a qualsiasi infrastruttura hardware a cui accedono gli utenti aziendali, tipicamente il data center del cloud provider.

La definizione di SASE ne fa comprendere pienamente l’opportunità. L’approccio SASE è l’ideale per le condizioni della nuova normalità. I principi di base sono: sicurezza di rete garantita da architetture sviluppate secondo il principio del security first. Ciò significa progettare e gestire centralmente una rete con servizi in cui la protezione è prioritaria.

E, d’altronde, di fronte ad architetture distribuite e dati in transizione fuori dalla rete interna, i firewall hardware posti all’interno dei data center aziendali possono ben poco, così come mostrano tutti i loro limiti anche le soluzioni di protezione basate sui modelli tradizionali client server.

Se il perimetro di rete non esiste più e gli attacchi provengono da end point autorizzati – che è ciò che succede attualmente - è necessario affrontare il problema da un punto di vista nuovo. Insomma, firewall, gateway, tool di prevenzione della perdita di dati (DLP), piattaforme CASB e sistemi di gestione dell’identità non sono più funzionali.

Come funziona un’architettura SASE

La promessa di SASE è di garantire tutte le funzionalità di rete e di sicurezza necessarie sottoforma di servizi cloud. Successivamente alla loro implementazione, gli utenti si connettono al SASE per accedere e utilizzare applicazioni e dati in perfetta coerenza con le policy di sicurezza.

Un'architettura SASE deve occuparsi di identificare utenti e dispositivi, applicare controlli di sicurezza basati su criteri definiti e fornire un accesso sicuro alle applicazioni o ai dati. In particolare, l’architettura si sviluppa secondo alcune caratteristiche e componenti di base da cui non si può prescindere.

Si tratta, in particolare, di una serie di microservizi per la protezione cloud native distribuiti attraverso un’unica piattaforma che prendono il nome di SSE, Security Service Edge. Dal tool di ispezione del traffico crittografato SSL/TLS all’integrazione via API con servizi Cloud Access Security Broker (CASB). Dal monitoraggio continuo della sicurezza dell’infrastruttura IaaS su cloud pubblico (Cloud Security Posture Management), alla protezione avanzata dei dati in movimento e inattivi (modulo DLP), e delle minacce (ATP). Sono veramente tanti i servizi che compongono un’architettura SASE, ci limitiamo ad aggiungere a quelli già nominati i servizi SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response), e quelli per l’accesso alla rete in modalità zero trust (ZTNA) e l’SD-WAN.

I vantaggi di un’architettura SASE

Il primo vantaggio dell’adozione dei servizi SASE è certamente la flessibilità tipica di una soluzione cloud based. Inoltre, tutti i servizi SASE, come detto, sono pensati security first: ovvero, in un certo senso sono servizi di protezione, prima che di rete. Ancora, grazie all’utilizzo di un’unica piattaforma applicativa si riduce la complessità di gestione dell’hardware, che non è previsto, e del software, con una evidente ricaduta positiva sui costi. Infine, i vendor che stanno spingendo sul nuovo paradigma sottolineano l’incremento delle performance e la garanzia di una bassa latenza.