Che cos'è SASE?

Che cos'è SASE?

Il termine Secure Access Service Edge (SASE), coniato da Gartner nel 2019, indica una moderna architettura di sicurezza informatica. Il modello SASE avvicina i servizi di sicurezza agli utenti, garantendo un livello di accesso adatto al loro attuale grado di rischio.

SASE, che si pronuncia “sassy”, è la realizzazione concreta del networking unito alla sicurezza di rete. Una piattaforma SASE fornisce una robusta protezione dagli attacchi indipendentemente dalla posizione degli utenti e un'applicazione coerente delle policy ovunque essi si trovino, senza la necessità di effettuare il backhaul del traffico verso una sede aziendale. Questo processo è trasparente rispetto agli utenti e rende più sicuro l'ambiente in cui si opera.

 

Quali problemi risolve SASE?

Molte organizzazioni hanno un'infrastruttura di rete complicata: siti distribuiti, utenti remoti e numerosi dispositivi. La complessità operativa di questi elementi dà origine a difficili sfide di gestione e manutenzione per i team SecOps.

Molti controlli di sicurezza utilizzano il proprio sistema di gestione della sicurezza, con specifici processi di configurazione e sfide in termini di interoperabilità. Questa situazione genera spesso problemi di visibilità, che possono aumentare i rischi e sovraccaricare i team IT. Inoltre, le fluttuazioni del traffico di rete e la varietà di applicazioni richiedono risorse aggiuntive per soddisfare i picchi di utilizzo e ridurre al minimo la latenza. 

La maggior parte dei team IT ha investito tempo e denaro per prepararsi all'incremento del traffico e a una forte crescita di attacchi informatici. Spesso è stato necessario scegliere, in modo non facile, tra accessibilità e sicurezza. Questo perché le architetture tradizionali eseguono il backhaul del traffico verso un hub di rete centralizzato per l'ispezione della sicurezza, e solo dopo lo instradano verso l'applicazione o il servizio desiderato. Questo processo, sebbene altamente sicuro, incide negativamente sulle prestazioni e sul budget, soprattutto quando emerge chiaramente la necessità di capacità aggiuntive.

Un'architettura SASE, al contrario, ispeziona il traffico e rende accessibili i servizi nei punti di presenza vicini alla geolocalizzazione dell'utente. È possibile integrare in modo elastico risorse aggiuntive per soddisfare i picchi di domanda e poi ridimensionarle quando la domanda diminuisce. Eliminando il backhaul del traffico, le aziende non devono più scegliere tra sicurezza e accessibilità, offrendo all'utente finale un'esperienza fluida e con minori rischi.

 

In che modo SASE crea una rete “consapevole delle minacce”?

Una piattaforma SASE offre soluzioni di networking e sicurezza sotto forma di un unico servizio coerente che risponde alle sfide aziendali di gestione della rete e della sicurezza. I team IT possono integrare in tutti i punti di connessione della rete visibilità, automazione e protezione contro le attività dannose, anziché limitarsi a eseguire queste attività in un gateway del data center o sul perimetro della rete fisica.

Queste funzionalità consentono alla rete di essere "consapevole delle minacce", quindi in grado di rilevarle e impedire che ne violino il perimetro. Ciò semplifica, di conseguenza, la protezione delle identità degli utenti, delle applicazioni e dell'infrastruttura.

Un modello SASE garantisce una rete consapevole delle minacce per l'era del cloud pubblico e dovrebbe, in definitiva, migliorare la sicurezza, riducendo al contempo la complessità e ottimizzando la gestione. Semplificando la gestione della sicurezza, SASE migliora la fattibilità operativa della rete.

SASE in breve (schema)

SASE in breve

Quali sono i vantaggi di SASE?

Piuttosto che un singolo prodotto, SASE rappresenta un cambiamento dell'architettura riguardante le modalità di implementazione delle tecnologie di networking e sicurezza. I fornitori di SASE offrono alle aziende un modo più flessibile, scalabile e sicuro di gestire le reti, soprattutto a fronte del continuo incremento dell'adozione del cloud e del numero di lavoratori da remoto. La sua economicità e capacità di semplificare architetture di rete complesse la rendono inoltre un'opzione interessante per le aziende moderne. Un'architettura SASE favorisce l'evoluzione delle attuali reti aziendali grazie alle seguenti caratteristiche:

  • Maggiore sicurezza: i malintenzionati utilizzano qualsiasi mezzo necessario per attaccare una rete, quindi è fondamentale disporre di policy e servizi di sicurezza coerenti in tutta la rete per proteggere utenti, infrastrutture e applicazioni ovunque si trovino. SASE offre una soluzione di sicurezza avanzata facile da implementare e sfrutta i punti di connessione distribuiti per applicare policy di sicurezza e la prevenzione dalle minacce, per una sicurezza end-to-end più solida.
  • Maggiore agilità operativa: la visibilità a livello di rete è fondamentale per valutare rapidamente lo stato delle applicazioni e della rete stessa e per identificare attività potenzialmente pericolose. Grazie alla riduzione delle complessità, è possibile ottenere di più dalle risorse esistenti e migliorare la visibilità. La naturale convergenza fra rete e capacità di sicurezza offre agli amministratori di sistema un approccio unificato. La coerenza delle policy riduce gli errori di configurazione e migliora l'efficacia complessiva della sicurezza.
  • Maggiore facilità d'uso: da sempre, le aziende si trovano a gestire l'instradamento del traffico su più livelli di difesa e “punti di strozzatura” principali dove sono situati i firewall. A questo si aggiungono molti altri controlli di accesso da gestire. Con SASE, l'attenzione si concentra sulla connessione diretta dal dispositivo client al cloud.
  • Migliori prestazioni di rete: SASE migliora le prestazioni di rete instradando il traffico attraverso il punto di presenza (POP) più vicino, riducendo la latenza. Consente agli utenti di connettersi direttamente e in modo sicuro alle applicazioni cloud senza la necessità di effettuare il backhaul del traffico verso un data center, migliorando l'esperienza utente. Inoltre, l'utilizzo di sedi periferiche più vicine agli utenti garantisce prestazioni migliori per le applicazioni sensibili al fattore tempo.
  • Minori costi operativi: SASE riduce la necessità di prodotti multipunto (ad esempio, firewall separati, VPN, soluzioni WAN) combinando servizi di networking e sicurezza in un unico framework, con minori costi operativi. Il modello basato sul cloud elimina la necessità di hardware costoso in ogni sede, riducendo al minimo le spese in conto capitale.

 

In che modo SASE contribuisce a proteggere la rete?

SASE contribuisce a proteggere la rete combinando diverse funzioni di sicurezza in una piattaforma unificata e cloud native. Risponde alle sfide di sicurezza degli ambienti moderni e distribuiti in cui utenti, dispositivi e applicazioni sono distribuiti in più sedi. I componenti di SASE includono:

  • Software-Defined - Wide Area Network (SD-WAN): un approccio automatizzato e programmatico alla gestione della connettività della rete aziendale e dei costi del circuito
  • Firewall-as-a-Service (FWaaS): identifica le applicazioni e ispeziona il traffico alla ricerca di exploit e malware con un'efficacia superiore al 99,8%.
  • Secure Web Gateway (SWG): protegge l'accesso al Web applicando policy di utilizzo accettabili e prevenendo le minacce provenienti dal Web
  • Cloud Access Security Broker (CASB): fornisce visibilità sulle applicazioni SaaS e controlli granulari per garantire accessi autorizzati, la prevenzione dalle minacce e la conformità
  • Prevenzione della perdita di dati (DLP): classifica e monitora le transazioni di dati e garantisce il rispetto dei requisiti di conformità aziendale e delle regole di protezione dei dati
  • Accesso alla rete Zero Trust (ZTNA): offre agli utenti remoti un accesso remoto sicuro alle risorse aziendali e basate sul cloud, fornendo una connettività affidabile e una sicurezza costante per qualsiasi dispositivo, ovunque. Riduce i rischi estendendo la visibilità e l'applicazione delle policy agli utenti e ai dispositivi remoti, ovunque si trovino
  • Advanced Threat Prevention: individua il malware zero-day e le connessioni dannose, tra cui botnet e C2, anche quando il traffico non può essere decifrato. Applica meccanismi di protezione granulari, come la quarantena dei file e la riduzione dei diritti di accesso

 

Casi d'uso di SASE

Un'architettura SASE soddisfa una serie di moderne esigenze di networking e sicurezza. Alcuni dei casi d'uso più comuni includono:

  • Protezione della forza lavoro distribuita: SASE fornisce un accesso sicuro alle applicazioni cloud e in locale utilizzando ZTNA e SWG, garantendo ai dipendenti la possibilità di connettersi da qualsiasi luogo con policy di sicurezza coerenti e prestazioni ottimizzate.
  • Adozione di applicazioni cloud e SaaS: SASE consente l'accesso diretto e sicuro alle applicazioni cloud (ad esempio, AWS, Microsoft 365, Salesforce) senza dover effettuare il backhaul del traffico attraverso un data center centralizzato. Ottimizza le prestazioni grazie all'edge computing e alla SD-WAN, fornendo al contempo servizi di sicurezza come CASB per controllare l'utilizzo delle app cloud e proteggere i dati.
  • Semplificazione della gestione del networking e della sicurezza: SASE fa convergere networking e sicurezza in un'unica piattaforma, fornendo controllo e visibilità centralizzati. Questo approccio unificato semplifica la gestione delle policy, riduce la necessità di soluzioni multipunto e garantisce un'applicazione coerente delle policy di sicurezza in tutta la rete. 
  • Connettività delle filiali: SASE sostituisce MPLS con SD-WAN, fornendo una connettività sicura e ad alte prestazioni per le filiali. I servizi di sicurezza, come i firewall di nuova generazione (NGFW) e la protezione dalle minacce, sono integrati nell'architettura, garantendo la protezione di ogni filiale senza la necessità di hardware di sicurezza in sede.
  • Implementazione della sicurezza Zero Trust: SASE si basa sul modello ZTNA che verifica continuamente l'identità di utenti e dispositivi, concedendo loro l'accesso soltanto alle risorse specifiche di cui hanno bisogno. Questo limita il movimento laterale delle minacce all'interno della rete.
  • Accesso sicuro a Internet e SaaS: SASE sfrutta SWG e CASB per fornire un accesso sicuro e controllato alle applicazioni SaaS e basate sul Web. Garantisce inoltre l'applicazione uniforme delle policy di sicurezza, proteggendo i dati dall'esposizione e prevenendo malware o attacchi di phishing.
  • Protezione dei dati e conformità: SASE include funzionalità DLP, che aiutano le organizzazioni a monitorare e controllare il movimento dei dati sensibili. La sua piattaforma unificata semplifica inoltre l'auditing e la reportistica, garantendo la conformità a normative come GDPR, HIPAA o PCI-DSS.
  • Prestazioni ottimizzate per gli utenti globali e distribuiti: SASE sfrutta un'architettura cloud distribuita a livello globale e l'edge computing, garantendo la connessione degli utenti al punto di presenza (POP) più vicino. Questo riduce la latenza e ottimizza le prestazioni delle applicazioni, soprattutto per gli utenti in sedi remote.

In sintesi, l'architettura SASE è ideale per le organizzazioni che desiderano proteggere la forza lavoro distribuita, adottare applicazioni cloud e SaaS, semplificare la gestione del networking e della sicurezza e migliorare le prestazioni pur mantenendo la protezione dei dati e la conformità alle normative.

 

SASE contro SSE

SASE è un framework completo che combina servizi di networking (ad esempio, SD-WAN) e di sicurezza (ad esempio, SWG, CASB, ZTNA) in un'unica soluzione cloud native progettata per connettere in modo sicuro utenti, dispositivi e sedi distribuite. Invece, SSE (Security Service Edge) è un sottoinsieme di SASE che si concentra esclusivamente sui servizi di sicurezza senza includere gli aspetti di networking, come la SD-WAN. SSE protegge l'accesso ai servizi cloud, alle applicazioni private e a Internet, ma lascia la gestione e l'ottimizzazione della rete ad altre soluzioni. In sostanza, SASE si occupa sia della rete che della sicurezza, mentre SSE si limita alle sole funzioni di sicurezza.

 

La soluzione SASE di Juniper

Juniper Secure AI-Native Edge non è solo una soluzione di sicurezza, ma è anche un fattore trainante per le aziende. Aiuta le organizzazioni a raggiungere migliori risultati aziendali garantendo un'efficienza operativa superiore e una migliore esperienza utente. Se combinato con l'efficacia della sicurezza leader del settore, offre una protezione e prestazioni di alto livello con un'agilità operativa eccezionale.

Juniper offre l'unica soluzione Secure AI-Native Edge che integra networking e sicurezza in un portale operativo comune con AIOps leader del settore. Questo migliora la collaborazione e la visibilità di rete, consentendo una risoluzione dei problemi più efficiente e risposte più rapide agli incidenti di sicurezza. 

Secure AI-Native Edge offre una sicurezza completa per le applicazioni Web, SaaS e in locale. Garantisce agli utenti un accesso coerente e sicuro, disponibile ovunque si trovino, proteggendoli efficacemente da un'ampia serie di minacce digitali. Se combinata con la SD-WAN basata su AI di Juniper, la soluzione Secure AI-Native Edge offre un approccio SASE onnicomprensivo. Questa integrazione contribuisce a semplificare le operazioni WAN, a migliorare le prestazioni delle applicazioni cloud e a garantire una connettività sicura e ottimizzata indipendentemente dalla posizione.

Juniper aiuta a ridurre i rischi sfruttando gli efficienti servizi di prevenzione dalle minacce che si sono dimostrati i più efficaci sul mercato per ispezionare il traffico, garantendo un accesso sicuro alle applicazioni Web, SaaS e in locale da qualsiasi luogo.

Domande frequenti su SASE

Che cos'è SASE?

SASE (Secure Access Service Edge) è un framework di sicurezza informatica che combina le capacità WAN (Wide Area Network) con servizi di sicurezza per supportare le esigenze di accesso dinamico e sicuro delle organizzazioni moderne.

SASE si basa sul cloud?

Sì, SASE si basa sul cloud fin dalla progettazione. Integra i servizi di networking e sicurezza in una piattaforma unificata e cloud native. Questo approccio incentrato sul cloud consente a SASE di fornire scalabilità, flessibilità e gestione centralizzata per le aziende con forza lavoro distribuita, diverse filiali e ambienti cloud.

SASE effettua il backhaul del traffico?

No, SASE di solito non effettua il backhaul del traffico in senso tradizionale. Uno dei vantaggi principali di SASE è che elimina la necessità di effettuare il backhaul del traffico, un problema comune nelle architetture di rete tradizionali. La riduzione del backhaul diminuisce la quantità di traffico ridondante che attraversa la rete, liberando larghezza di banda e migliorando l'efficienza complessiva della rete stessa.

Che cos'è una rete consapevole delle minacce?

Una rete consapevole delle minacce è progettata per rilevare, rispondere e mitigare in modo proattivo le minacce alla sicurezza in tempo reale. Integra meccanismi di sicurezza avanzati e informazioni sulle minacce per monitorare il traffico, identificare potenziali vulnerabilità e agire rapidamente per neutralizzare le attività pericolose prima che possano causare danni. La caratteristica principale di questa tipologia di rete è la sua capacità di valutare e adattarsi costantemente alle minacce informatiche in continua evoluzione.

SASE è una soluzione economicamente vantaggiosa?

Sì, SASE è in genere considerata una soluzione economicamente vantaggiosa grazie alla sua capacità di consolidare più strumenti di sicurezza e networking, ridurre i costi di hardware e manutenzione, migliorare l'efficienza della larghezza di banda e aumentare la scalabilità. La sua architettura cloud native elimina la necessità di hardware costoso, mentre i modelli di prezzo basati su abbonamento consentono una flessibilità finanziaria. Inoltre, la capacità di SASE di ottimizzare le prestazioni di rete e migliorare la sicurezza riduce sia le spese operative che i rischi finanziari associati alle minacce informatiche, rendendola una scelta finanziariamente solida per le aziende moderne.