Forcepoint spiega in che modo SASE possa trasformare la sicurezza, rendendola a prova di futuro.
SASE (Secure Access Service Edge), il cui concetto è stato formulato per la prima volta da Gartner, sposta la rete IT e la sicurezza nel Cloud, il luogo in cui risiedono sempre più applicazioni e dati. A questo scopo, le future piattaforme SASE forniranno tecnologie complete di connettività e sicurezza.
Le aziende stanno spostando nel cloud sempre più applicazioni e dati. Da un lato, stanno guidando questo sviluppo da sole al fine di beneficiare dei classici vantaggi del cloud, come la flessibilità, la scalabilità o l’accesso indipendente dalla posizione.
D’altra parte, anche i grandi fornitori di software come Microsoft, SAP o Salesforce stanno guidando questa tendenza interrompendo gradualmente il supporto per le soluzioni on premise, spesso non lasciando alle aziende altra scelta che utilizzare le proprie offerte cloud. La tendenza verso il cloud è ormai irreversibile e continuerà a crescere in futuro.
Di conseguenza, le tradizionali architetture di sicurezza IT delle aziende stanno diventando sempre più obsolete: si basano, infatti, ancora sul presupposto che le applicazioni e i dati si trovino all’interno dell’azienda, così come gli utenti, e quindi sono pensate per proteggere la rete solo da minacce provenienti dall’esterno.
Questo ha causato una crescente discrepanza tra il luogo in cui risiedono realmente i fattori di rischio e il luogo in cui si trovano gli strumenti di sicurezza per contrastarli.
Il concetto di Secure Access Service Edge (SASE) sta per eliminare questa discrepanza. È stato sviluppato con lo scopo di riportare la rete e la sicurezza dove realmente si trovano le applicazioni e i dati: il cloud. Molti fornitori hanno già iniziato a sviluppare prodotti e soluzioni per supportare le architetture basate su SASE per prepararsi al futuro.
Evitare una deviazione tramite il data center
L’architettura SASE offre numerosi vantaggi. Uno dei più rilevanti consiste nel fornire supporto al numero sempre crescente di utenti che accedono ad applicazioni cloud dall’esterno della rete aziendale: dipendenti che lavorano dal proprio ufficio domestico, dipendenti in viaggio o dipendenti in filiali senza i propri data center. Tutta questa forza lavoro può essere collegata direttamente al cloud tramite un’architettura SASE.
Il reindirizzamento del flusso di dati tramite il data center presso la sede centrale dell’azienda per collegare l’ufficio locale, si concretizza nel fatto che non è più necessario passare attraverso le precauzioni di sicurezza. Le prestazioni deboli, le latenze elevate e le terminazioni di connessione risultanti sono ormai un ricordo del passato. La situazione emergenziale creata dal Covid-19, in particolare, ha dimostrato quanto siano importanti i collegamenti veloci e sicuri per i dipendenti di uffici remoti – e questa situazione continuerà anche nei prossimi anni. Molti degli sconvolgimenti che questa crisi ha creato, infatti, caratterizzeranno anche il futuro. Uno di questi è probabilmente il fatto che un numero sempre maggiore di persone lavorerà al di fuori della propria sede centrale.
Nel caso di filiali e succursali, le architetture SASE si tradurranno anche in un vantaggio in termini di costi.
Poiché il flusso di dati per le applicazioni cloud non deve più essere reindirizzato attraverso il data center centrale, il che si traduce in un numero significativamente inferiore di flussi di traffico attraverso le costose linee MPLS che di solito collegano le filiali e le succursali alla sede centrale dell’azienda.
Grazie a SASE, le aziende possono incorporare le connessioni Internet locali e un approccio SD-WAN nella loro architettura di rete, risparmiando notevoli spese.
Inoltre, l’adozione completa dei principi SASE offre un’opportunità unica per semplificare nuovamente la sicurezza IT. Negli ultimi 20-25 anni, le aziende hanno sviluppato una vera e propria proliferazione di strumenti di sicurezza, rivolgendosi a molti fornitori.
Per gli amministratori della sicurezza, questo ha significato non solo doversi occupare delle peculiarità dei diversi fornitori, gestire svariati contratti e cicli di aggiornamento, ma anche saper gestire questi strumenti con differenti interfacce di gestione, quindi separatamente e in modo complesso.
In futuro, quando si potranno utilizzare tutti gli strumenti di sicurezza in modo olistico e uniforme, provenienti da un’unica fonte, e quando verranno integrate soluzioni cloud SASE supporting, la gestione della sicurezza IT sarà molto più semplice.
Combinazione di connettività e sicurezza
Le architetture basate sui principi SASE uniranno due mondi: connettività e sicurezza. Dovranno fornire connessioni sicure e crittografate dai singoli dipendenti prima alla piattaforma cloud stessa e da lì alle applicazioni cloud desiderate. Ciò può essere ottenuto con VPN client-to-site, VPN site-to-site o tecnologie ZTNA (Zero Trust Network Access). Possono inoltre utilizzare le tecnologie SD-WAN per garantire che il percorso di connessione migliore per l’applicazione sia sempre selezionato quando si accede alle applicazioni cloud.
Per garantire una sicurezza completa, qualsiasi architettura SASE deve, inoltre, fornire tutti i moduli di sicurezza importanti a livello centrale. Questi includono:
- Un Secure Web Gateway (SWG) per proteggere gli utenti dalle minacce Internet e applicare criteri di navigazione sicura;
- Firewall-as-a-Service per l’ispezione continua del traffico dati in entrata e in uscita, inclusa la de-crittografia dei dati;
- Un Cloud Access Security Broker (CASB) che monitora e registra la comunicazione tra l’utente e l’applicazione cloud;
- Advanced Malware Detection (AMD), che esegue allegati sospetti in una sandbox isolata per rilevare malware;
- Prevenzione della perdita di dati/Prevenzione della perdita di dati (DLP), che monitora e, se necessario, blocca le transazioni di dati per prevenire perdite di dati indesiderate;
- Tecnologie per stabilire e proteggere le connessioni.
Emiliano Massa, Vice President Sales Southern Europe & Benelux Forcepoint, commenta: “In Forcepoint riteniamo che per essere veramente innovativa, qualsiasi piattaforma di rete e sicurezza convergente dovrebbe anche consentire il controllo basato sul comportamento degli utenti. Gli ambienti cloud delle aziende dovrebbero essere tenuti il più aperti possibile così da consentire ai propri dipendenti di accedere in modo flessibile da qualsiasi luogo e permettere la rapida integrazione di partner o fornitori di servizi. Questa apertura, tuttavia, richiede non solo di fare maggiore affidamento sulle credenziali di accesso, ma anche di capire esattamente il comportamento degli utenti che effettuano gli accessi e reagire automaticamente ai rischi. Ciò è reso possibile dall’elaborazione – anonima e quindi conforme alla protezione dei dati – dei modelli di comportamento. Ad esempio, un modello di comportamento può rivelare che un determinato utente accede sempre a una determinata applicazione cloud dallo stesso intervallo IP, in genere all’incirca alla stessa ora del giorno, ed esegue le stesse attività e apre i documenti ogni volta. Confrontando costantemente questo modello con il comportamento effettivo, possibili attacchi informatici possono essere rilevati – per esempio, quando l’utente proviene improvvisamente da un intervallo IP completamente diverso, o accede alle cartelle che altrimenti non avrebbe mai aperto, o cerca anche di ottenere l’accesso ai file per i quali non è autorizzato. Idealmente, una soluzione incentrata sul comportamento sarebbe in grado di reagire dinamicamente al comportamento dell’utente e di avviare misure diverse e scaglionate a seconda del tipo e della frequenza delle incoerenze. A seguito di un incidente, ad esempio, l’operatore di sicurezza controllando i dati, totalmente anonimi, potrebbe poi richiedere un’ulteriore autenticazione a due fattori o continuare con la limitazione dei diritti e l’attivazione del monitoraggio desktop o ancora terminare con il ritiro di tutti i diritti fino a quando non si sia indagato e fatto chiarezza su tutte le incongruenze”.
Supportare architetture ibride
Il futuro delle applicazioni e dei dati aziendali risiede nel cloud e il futuro della sicurezza appartiene quindi all’architettura SASE. Prima le aziende inizieranno ad indirizzare il tema, più l’implementazione potrà essere controllara e ragionata. Quando ci si affida a un partner che offre soluzioni basate sul modello SASE, ci sono alcuni aspetti da considerare.
Ad esempio, il fatto che il vendor possa offrire tutte le componenti dell’architettura; qualora infatti vi siano integrazioni di più prodotti di terze parti nella piattaforma, diversi servizi cloud potrebbero dover essere connessi gli uni agli altri con conseguenti possibili latenze e complessità di gestione dovute all’utilizzo di diverse interfacce di amministrazione.
Lo stesso effetto si verifica quando il partner è un provider solo cloud senza soluzioni di sicurezza on premise. Naturalmente, le aziende continueranno a mantenere applicazioni e dati nei propri data center per i prossimi anni, che dovranno essere protetti con strumenti di sicurezza on premise.
Le architetture di sicurezza ibride saranno quindi necessarie, almeno per il periodo di transizione. Se il partner scelto è in grado di offrire soluzioni sia on-premise che cloud, le aziende avranno la possibilità di controllare in modo olistico entrambi i mondi con una console di gestione centralizzata.
Infine, chiunque offra un’architettura SASE dovrebbe fornire una tecnologia collaudata che ha un track record di distribuzione di successo; e il partner dovrebbe anche sviluppare questa tecnologia stessa per garantire la sua qualità in ogni momento.