Con la crescente adozione di servizi cloud e con l’aumento dell’utenza mobile, il perimetro aziendale è profondamente cambiato, facendo emergere nuove e pressanti esigenze di visibilità e di sicurezza dell’infrastruttura di rete. Vediamo dunque come il paradigma SASE (Secure Access Service Edge), che secondo Gartner interesserà nel 2024 circa il 40% delle aziende, coniugando in cloud networking e sicurezza, può rispondere alle nuove sfide e costituire un vantaggio competitivo.
Indice degli argomenti
L’architettura ideale per il nuovo perimetro aziendale
Il perimetro aziendale è da decenni al centro dell’attenzione di coloro che si occupano di networking e di security.
Tradizionalmente, esso è stato definito attorno al data center che ospita i dati sensibili e le applicazioni. L’IT ha investito risorse significative per rendere sicuro questo perimetro, attraverso tecnologie come firewall, sistemi di prevenzione delle intrusioni, SWG (secure web gateways) e altro ancora.
Il paradigma del perimetro aziendale è tuttavia profondamente cambiato negli ultimi dieci anni, con la migrazione al cloud di molte applicazioni del datacenter e con l’utilizzo crescente di servizi cloud pubblici: la combinazione di applicazioni in cloud e di una forza lavoro sempre più mobile, ha infatti completamente rivoluzionato il concetto tradizionale di perimetro.
Il problema principale causato dai cambiamenti del perimetro aziendale è la riduzione della visibilità del traffico e il sorgere di “punti ciechi” nella rete. Solitamente, infatti, viene reso sicuro un singolo percorso di traffico: per assicurare visibilità e controllo a tutti i flussi di traffico, siano essi mobile-to-cloud o branch-to-cloud, le organizzazioni devono forzare tutto il traffico attraverso il proprio data center, aumentando la pressione su di questo ed introducendo latenza.
Questi cambiamenti profondi nel perimetro aziendale richiedono un nuovo paradigma architetturale che Gartner nel 2019 ha definito Secure Access Service Edge, SASE, appunto, vale a dire un modo per rendere sicuro il nuovo “multi-perimetro” dell’impresa.
Per Gartner, SASE è “un servizio in grado di connettere utenti, siano essi umani o macchine, con le loro applicazioni in cloud, abilitando prestazioni di connettività e sicurezza determinate dalle policy definite dal subscriber”
I quattro attributi di SASE per la sicurezza del networking
SASE permette dunque la convergenza di funzionalità di networking e di sicurezza in un servizio cloud unificato e globale. L’architettura è caratterizzata da quattro principali attributi: essa è identity-driven, cloud-native, supporta tutte le tipologie di edge ed è distribuita a livello globale.
Identity-driven significa che, in SASE non è più il mero indirizzo IP a guidare a livello di networking e di policy di sicurezza, ma fondamentale diventa l’identità dell’utente e della risorsa: questo permette alle organizzazioni di sviluppare policy utente che non dipendono più dalla ubicazione di quest’ultimo o dal suo dispositivo di accesso.
SASE è cloud-first e cloud-native, possiede quindi tutte le proprietà tipiche del cloud in termini per esempio di elasticità e adattabilità, perché tutte le funzioni di networking e di security sono implementate in cloud: solo quelle funzionalità che devono essere implementate all’edge vengono realizzate mediante semplici edge client.
SASE supporta tutti gli edge, perché costituisce una rete sicura per tutte le entità dell’organizzazione, siano esse datacenter, filiali, risorse cloud o utenti mobili.
Inoltre, affinché le funzionalità siano disponibili ovunque e forniscano la migliore esperienza possibile a tutti gli edge, SASE è una architettura distribuita a livello globale attraverso numerosi POP (Point-Of-Presence): le organizzazioni collegano i propri edge al POP SASE più vicino, cosicché il flusso di traffico è reso sicuro ed è ottimizzato fino al POP di destinazione.
Infine, SASE assicura la piena visibilità di tutto il traffico da tutti gli edge (fisici, in cloud, mobili), incluso quello fra gli edge (WAN) e dagli edge ad Internet, ovviando quindi ai limiti di visibilità delle soluzioni tradizionali.
Figura 1: SASE Cloud (fonte: Cato Networks)
Le quattro componenti di SASE per la sicurezza
SASE prevede, nella definizione di Gartner, quattro principali componenti:
- SASE Cloud, cioè un servizio cloud globalmente distribuito che fornisce funzionalità di networking e di security a tutti gli edge,
- SASE Edge: si tratta di dispositivi atti a collegare un edge specifico al SASE cloud. I SASE client possono essere appliance SD-WAN per le filiali, firewall e router abilitanti IP-sec e agenti per Windows, Mac, iOS, Android e Linux,
- SASE POP, vale a dire una specifica istanza nel SASE Cloud che ospita server, connettività di rete e software. I POP SASE sono simmetrici, intercambiabili e multi-tenant,
- SASE management: una applicazione di gestione cloud-based, per configurare le policy, ispezionare la rete e monitorare la sua sicurezza in tempo reale.
I benefici per l’enterprise
Ma quali sono i vantaggi concreti che l’architettura SASE può offrire all’enterprise?
Innanzi tutto, SASE fornisce una sicurezza di tipo “olistico”. Spesso, infatti, i dispositivi legacy di accesso remoto non riescono ad erogare funzioni di sicurezza come IPS, NGFW e SWG, costringendo le organizzazioni ad implementare ulteriori soluzioni di sicurezza, in modalità punto-punto. In quest’ottica, mobile e BYOD rappresentano perciò una vera e propria sfida. Allo stesso modo, molte piattaforme cloud richiedono soluzioni di sicurezza separate, che riducono la visibilità della rete. SASE risolve questi problemi integrando funzionalità di sicurezza, come filtro URL, anti-malware, IPS e firewall, direttamente nell’infrastruttura di rete sottostante. Ciò significa che tutti gli edge, dai siti ai dispositivi mobili al cloud, ricevono lo stesso livello di protezione.
Il provisioning, il monitoraggio e la manutenzione di una varietà di soluzioni punto-punto in una rete aziendale aumentano sia gli investimenti che le spese. Con SASE, le aziende possono sfruttare una soluzione nativa per il cloud, riducendo la complessità e i costi della rete. Inoltre, le organizzazioni possono avvalersi un unico provider anziché due o più, eliminando così i costi che comporta l’avere una molteplicità di device.
Le tradizionali soluzioni hub & spoke e point-to-point richiedono tempo e risorse per scalare, laddove una soluzione SASE multi-tenant, nativa per il cloud, riduce al minimo il carico IT e ottimizza i tempi di provisioning. In molti casi, i siti che richiederebbero settimane per essere attivati con soluzioni punto-punto tradizionali, potrebbero richiedere anche solo minuti, oppure ore, con SASE.
Inoltre, con SASE, la complessità della gestione non cresce di pari passo con la rete, perché un’unica applicazione di gestione, basata su cloud, abilita il controllo dell’intero servizio. SASE consente infatti un monitoraggio costante della rete in termini di prestazioni del flusso di dati, inclusi i flussi di dati remoti distribuiti tra ambienti cloud virtualizzati e data center, e inoltre sono necessari meno agenti software per fornire e mantenere una visibilità di rete coerente.
SASE collega i servizi cloud alla SD-WAN, fornendo agli utenti remoti e alle filiali un accesso sicuro da qualsiasi posizione. È possibile, infatti, pensare a SASE come a un overlay di SD-WAN che incorpora protocolli di sicurezza mentre supporta dispositivi mobili, dispositivi IoT e qualsiasi altro tipo di dispositivo connesso alla rete.
SASE è in definitiva una soluzione di rete che combina le funzioni essenziali di SD-WAN con una suite completa di strumenti di sicurezza e di miglioramento delle prestazioni, situata nel cloud e non nel data center, che comprende in particolare gli SWG, l’accesso alla rete senza contatto (ZTNA: Zero-Touch Network Access, da non confondere con lo ZTP, Zero-Touch Provisioning di SD-WAN), broker di di sicurezza per l’accesso al cloud (CASB: Cloud access security broker) e firewall di nuova generazione (NGFW), hardware o virtuali.
Conclusioni
Non tutte le soluzioni che vengono oggi commercializzate come SASE soddisfano la totalità dei criteri che definiscono questa tecnologia. Nel suo report Hype Cycle del luglio 2020, Gartner ha affermato che l’adozione diffusa di SASE non avverrà prima di tre o cinque anni, anche se è possibile che il crescente lavoro da remoto, conseguente alla pandemia in corso, acceleri i tempi.
In conclusione, oggi le aziende devono proteggere i propri dati ovunque, poiché i servizi cloud e gli uffici remoti distribuiscono i dati oltre un data center locale centralizzato, integrando più utenti, servizi, applicazioni e dati distribuiti su più servizi cloud. La sicurezza è un requisito per ogni endpoint e SASE offre un modo efficiente per affrontare questa sfida combinando SD-WAN e sicurezza avanzata in un unico servizio cloud facile da gestire.
