Secure Access Service Edge (SASE) è un componente dell'architettura Zero Trust che protegge gli elementi di rete all'interno e all'esterno di un confine di rete tradizionale. Con la trasformazione digitale delle aziende, l'aumento del lavoro da remoto e l'utilizzo di servizi cloud per eseguire le applicazioni, la sicurezza si sta spostando nel cloud, e SASE è l'elemento in grado di garantire tale sicurezza.
Una volta le reti di computer consistevano in una rete di ufficio e di un data center esclusivo di un'azienda. Un dipendente entrava in ufficio, accedeva a un computer e alle applicazioni in esecuzione nel data center. Tutte le transazioni aziendali avvenivano all'interno del perimetro di rete.
L'approccio tradizionale di sicurezza della rete stabiliva la definizione di un firewall attorno ad essa. Una volta che un utente si trovava all'interno del firewall, il protocollo di sicurezza considerava affidabile quel computer, escludendo dal controllo le ulteriori attività dell'utente in rete.
La trasformazione digitale ha cambiato drasticamente le modalità di lavorare dei dipendenti. Molti dipendenti accedono dall'ufficio o da remoto alle applicazioni che sono ospitate su Internet al di fuori delle protezioni del data center aziendale. Ad esempio, un dipendente che accede a Salesforce potrebbe operare attraverso un portatile che si trova sul tavolo della sua cucina. L'applicazione potrebbe essere residente su Internet, oppure il dipendente potrebbe accedere da remoto all'applicazione ospitata nel data center aziendale.
Nel mondo del lavoro di oggi, il perimetro di rete che eravamo abituati a proteggere non esiste più: ci sono punti di accesso ovunque, e Internet è ora il nostro veicolo per il trasferimento delle informazioni. La sfida in questo ambiente è proteggere i punti di accesso all'ambiente aziendale, i cosiddetti "edge".
Per rafforzare i protocolli di sicurezza perimetrale, ormai inadeguati a questo ambiente così disperso, i team IT si sono affidati a molteplici vendor, policy e console che cercano di proteggere i dati senza riuscirci completamente. SASE è una nuova soluzione che riduce la complessità della cybersecurity e migliora l'efficacia negli ambienti ad accesso distribuito.
SASE è un insieme di tecnologie che combina funzioni di rete (SD-WAN, VPN) e di sicurezza (SWG, CASB, FWaaS, ZTNA). Tali tecnologie sono tradizionalmente fornite in soluzioni verticali non integrate. SASE, o Zero Trust Edge, le combina in un unico servizio cloud integrato.
Componenti del modello SASE
Software-Defined Wide Area Network (SD-WAN):
La SD-WAN ottimizza il traffico di rete selezionando dinamicamente il percorso più efficiente, migliorando prestazioni e affidabilità. Si integra con SASE per garantire una connettività sicura e ad alte prestazioni per gli utenti remoti.
Virtual Private Network (VPN):
Le VPN creano tunnel sicuri per l'accesso remoto, ma non dispongono del controllo granulare delle tecnologie più recenti. All'interno di SASE, le VPN sono migliorate con misure di sicurezza aggiuntive per fornire una gestione dell'accesso remoto più solida.
Secure Web Gateway (SWG):
Gli SWG proteggono il traffico legato a Internet filtrando i contenuti dannosi e applicando la conformità. Nel framework SASE, forniscono protezione contro le minacce online e garantiscono una navigazione sicura.
Cloud Access Security Broker (CASB):
I CASB gestiscono e proteggono l'accesso al cloud, offrendo visibilità e controllo sul trasferimento dei dati tra utenti e servizi cloud. Sono fondamentali in SASE per proteggere le applicazioni e i dati basati sul cloud.
Firewall as a Service (FWaaS):
FWaaS offre funzionalità firewall basate sul cloud, fornendo gestione e sicurezza centralizzate. Integrato in SASE, protegge dalle minacce esterne supportando al contempo un ambiente di rete distribuito e incentrato sul cloud.
Accesso alla rete Zero Trust (ZTNA):
ZTNA limita l'accesso alle applicazioni in base all'identità e al contesto dell'utente, riducendo il rischio di accesso non autorizzato. All'interno di SASE, ZTNA fornisce un approccio sicuro e adattivo all'accesso remoto.
Le organizzazioni che cercano di rafforzare i loro protocolli di sicurezza e gestione della rete incentrati sull'utente stanno adottando l'architettura SASE per consentire l'accesso alla rete Zero Trust. Il modello Zero Trust consiste nel non fidarsi mai, verificare sempre e ipotizzare una compromissione fino a quando una macchina non si dimostra affidabile. Internet collega ogni cosa perché è una piattaforma di informazioni aperta e nessun dispositivo è intrinsecamente affidabile.
SASE è un elemento essenziale nell'architettura Zero Trust. Gran parte delle tecnologie SASE non sono nuove, ma costituiscono una combinazione di soluzioni nuove ed esistente. SASE fornisce controlli di sicurezza per l'utente, il dispositivo o la posizione di edge computing. I precedenti protocolli di cybersecurity stabilivano la protezione di un data center tramite firewall, mentre SASE esegue l'autenticazione in base a identità digitale, contesto in tempo reale e policy aziendali.
Le componenti essenziali di SASE sono tre:
Vantaggi SASE per le aziende
Riduce i costi:
SASE consolida le funzioni di sicurezza in un servizio basato sul cloud, riducendo le spese hardware e i costi di gestione.
Riduce la complessità:
Unificando più soluzioni di sicurezza, SASE semplifica la gestione, riducendo la complessità associata alla gestione di vari strumenti e fornitori.
Supporta l'allineamento dei criteri di rete e sicurezza:
SASE garantisce l'applicazione coerente delle policy di rete e di sicurezza in tutti gli ambienti, migliorando la sicurezza complessiva.
Riduce gli incidenti di sicurezza:
Con controlli di sicurezza integrati, SASE migliora il rilevamento e la risposta alle minacce, riducendo la probabilità di attacchi riusciti.
Offre un'esperienza perfetta per gli utenti in qualsiasi luogo:
SASE offre un accesso sicuro e ad alta velocità alle applicazioni da qualsiasi luogo, migliorando la produttività e l'esperienza utente per la forza lavoro remota e ibrida.
Un SWG controlla l'accesso a Internet e gestisce ciò a cui un utente può o non può accedere. Se un utente tenta di accedere o scaricare qualcosa da un sito web sospetto o tenta di accedere a una destinazione proibita come un sito di gioco d'azzardo, il gateway lo blocca.
Gli attacchi informatici sono diventati molto sofisticati. Non appena abbiamo imparato a riconoscere un'email di phishing vecchio stile, colma di parole errate e dal linguaggio imbarazzante, i malintenzionati sono diventati più sofisticati. Ora è quasi impossibile stabilire quali email siano legittime e quali provengono da hacker, anche per gli utenti più esperti.
La formazione interna sulla cybersecurity è parte integrante dello sviluppo di una protezione aziendale più robusta, ma gli utenti commettono errori anche se istruiti. SWG è un altro strumento che il tuo team di sicurezza può utilizzare per visualizzare tutto il traffico da e verso la tua rete. Se c'è una minaccia, il team di sicurezza può utilizzare SWG per mitigarla.
CASB restituisce visibilità alle applicazioni SaaS. Il tuo team di sicurezza può vedere quando un utente si connette a Salesforce, Office 365 o un'altra app e quali dati sta trasferendo, quali file vengono caricati o scaricati da OneDrive o SharePoint, chi è stato e in che momento.
CASB è un software che viene eseguito in locale o nel cloud. Funge da intermediario tra utenti e servizi cloud attraverso l'implementazione di policy di sicurezza per l'accesso al cloud, tenendo traccia delle azioni sulla rete.
Il punto di partenza per la reportistica CASB è la configurazione delle opzioni per ciascun gruppo di utenti all'interno dell'organizzazione. Ad esempio, un gruppo potrebbe essere autorizzato a caricare, ma non a scaricare. Un altro gruppo potrebbe essere autorizzato a modificare i documenti e un altro solo a visualizzarli. L'azienda stabilisce la policy
e l'azione da intraprendere se si verifica un'operazione non ammessa. Il tuo team di sicurezza può impostare i protocolli per bloccare automaticamente l'attività o consentire che accada e segnalare l'evento al visualizzatore.
I gateway ZTNA sono il nuovo elemento di SASE. ZTNA è un'architettura di sicurezza che consente l'accesso esclusivamente al traffico tra utenti, dispositivi e applicazioni autenticati. Nessun traffico è da considerare attendibile e, fino a prova contraria, si sospetta che tutti i dispositivi finali abbiano intenti dannosi. ZTNA sta sostituendo le VPN per l'autenticazione degli utenti che operano da remoto.
VPN è la tecnologia tradizionalmente utilizzata dalle aziende per connettere da remoto gli utenti alla rete aziendale. La VPN presenta però diversi problemi: è costosa e spesso offre una connessione instabile. Inoltre, connessioni remote inefficaci costringono i lavoratori a faticare più del dovuto per svolgere le attività, costando denaro all'impresa in termini di perdita di produttività.
Il problema più grande della VPN è che offre accesso da remoto con pochi controlli di sicurezza. Un utente che accede tramite VPN a una rete aziendale da una rete domestica esegue l'autenticazione e ha pieno accesso al front-end e al back-end della rete. L'utente procede con le attività sul front-end dell'applicazione. Se un malware riesce a raggiungere il computer da Internet, potrebbe accedere al back-end della stessa applicazione e prelevare tutti i dati, generando una violazione.
ZTNA elimina la capacità del malware di spostarsi all'interno della rete perché autentica individualmente ogni utente, dispositivo e applicazione come attendibile sulla rete.
Vulnerabilità VPN:
Avvicinarsi all'approccio Zero Trust
Il primo passo verso lo Zero Trust è che l'organizzazione si impegni ad adottarne l'architettura. Nel tempo, i team IT e di sicurezza possono implementare gradualmente le tecnologie di diversi gruppi di prodotti per aumentare la maturità.
Un punto di partenza è quello di comprendere i problemi che influenzano quotidianamente l'organizzazione nello specifico ambiente. Ad esempio, se l'accesso a Internet è fuori controllo, ossia tutti possono accedere a tutto e gli utenti scaricano involontariamente malware, SWG potrebbe essere la tecnologia Zero Trust da cui partire.
Il passo successivo potrebbe essere determinare quali applicazioni SaaS sono utilizzate dai dipendenti, e chi può accedere a cosa. Ha senso aumentare la visibilità del tuo team di sicurezza, in modo che possa concedere in maniera adeguata l'accesso alle attività autorizzate e garantire che gli utenti rimangano all'interno del framework policy definito.
L'obiettivo finale di Zero Trust è la protezione dei dati
Anche con i parametri di sicurezza SASE in vigore la rete non è ancora del tutto Zero Trust, ma si sta facendo un passo in quella direzione. Zero Trust è un percorso che si protrae gradualmente nel tempo e, continuando a seguirlo, è possibile migliorare la sicurezza in modo iterativo.
Proteggere una risorsa fisica, come un laptop o un server, o una risorsa digitale come un account utente o un'applicazione non è l'obiettivo primario della cybersecurity. Lo scopo è proteggere i dati utilizzati dalle attività aziendali, inclusi nomi utente, password, dati aziendali proprietari, materiale riservato e informazioni di pagamento.