Il blog di Professional Link

La rete per il business del futuro parte da SASE

Scritto da Professional Link | 03/12/24 15.23

 

Oggi non esiste azienda che non faccia uso del digitale. Per questa ragione, le operazioni d'impresa si basano sempre di più sulla velocità: il tempo per sviluppare nuovi prodotti, immetterli sul mercato e rispondere a un cambiamento sta continuamente riducendosi. Che cosa, quindi, rallenta le aziende oggi?

La rapidità dell'azienda dipende dalla tecnologia della quale essa dispone: automazione e flessibilità sono le caratteristiche di un'infrastruttura IT al passo con i tempi. Purtroppo, la rete e la parte di sicurezza informatica non si adattano facilmente a un modello di business cloud-centric e mobile-first. Questo perchè la rete è poco flessibile e statica, mentre la sicurezza è spesso dispersa tra sedi fisiche, risorse cloud e utenti mobili. Insieme, rete e sicurezza rallentano notevolmente le operazioni, poiché i silos creati decenni fa vengono oggi riadattati in modo approssimativo per rispondere alle nuove esigenze aziendali. In realtà, la rete e la sicurezza informatica devono essere completamente integrate nella piattaforma IT per supportare il business.

Non si può assemblare un jet utilizzando i pezzi di un'automobile

I team IT hanno sempre risposto alle nuove esigenze aziendali con soluzioni specifiche. Ad esempio, hanno integrato box SD-WAN nei collegamenti Internet per alleggerire le connessioni MPLS, oppure hanno installato firewall nelle filiali per garantire un accesso diretto e sicuro a Internet (DIA). Questo approccio ha portato alla creazione di silos tecnologici basati su soluzioni specifiche, integrate in modo approssimativo e gestite separatamente.

L'IT oggi deve fornire prestazioni costanti e un elevato livello di sicurezza, in modo economicamente conveniente, a tutte le risorse aziendali e a livello globale. È una questione di architettura, non un problema funzionale, che richiede l'eliminazione dei silos IT e dell'uso di patch per soluzioni mirate.
L'architettura IT deve evolvere al di là dei silos e dell'uso di soluzioni singole: per questo molte realtà aziendali stanno guardando a SASE.

SASE: una nuova architettura di rete e sicurezza

Il servizio SASE ha 4 caratteristiche principali: si basa sull’identità, è cloud-native, distribuito a livello globale e supporta tutti gli edge (WAN, cloud, mobile, edge computing).

Basato sull’identità: la base per le policy di rete e di sicurezza SASE

Nel SASE, ogni risorsa aziendale è legata a un'identità, che può essere una persona, un'applicazione, un servizio o un dispositivo. È l'identità, piuttosto che la posizione fisica, a definire la vera natura della risorsa. L'identità, come parte di una comprensione più ampia del contesto, stabilisce il profilo di rischio e il servizio di rete per ogni flusso, determinando così la combinazione di metodi di autenticazione, ispezione delle minacce e autorizzazione all'accesso ai dati. Il vantaggio di unire sicurezza e rete risiede nell'integrazione dell'identità durante l'intero ciclo di accesso, dalla garanzia della qualità del servizio all'applicazione di controlli di sicurezza basati sul rischio.

Cloud-native

Una caratteristica fondamentale del SASE è che si tratta di un servizio "cloud-native, as-a-service". Questo significa poter sfruttare le principali capacità del cloud come elasticità, adattabilità e auto-manutenzione.

SASE implica l'istituzione di una rete di punti di presenza (PoP) che operano il software del fornitore, offrendo una vasta gamma di funzionalità di rete e sicurezza come servizio (as a service).

I PoP possono essere aggiornati per introdurre nuove funzionalità o risolvere bug in modo fluido e senza necessità di intervento da parte dell'IT. L'architettura cloud deve comunque prevedere capacità di auto-riparazione per trasferire automaticamente l'elaborazione dai nodi di calcolo dai PoP malfunzionanti a quelli operativi. Queste funzionalità non possono essere raggiunte semplicemente attivando appliance virtuali nel cloud perchè, essendo queste progettate per servire un solo cliente (single tenant), mancano del livello di orchestrazione globale del cloud necessario per assicurare elasticità e auto-riparazione.

Distribuzione globale in prossimità di tutti gli edge

SASE è implementato come una piattaforma cloud distribuita a livello globale. La sua struttura garantisce che tutte le funzionalità di rete e sicurezza siano disponibili per supportare gli edge aziendali, ovunque essi si trovino. La creazione di una piattaforma cloud globale richiede ai fornitori di migliorare la loro capacità di distribuire rapidamente i PoP nel cloud e nei data center fisici, assicurando un'elevata capacità e una connettività ridondante per supportare sia l'accesso WAN sia l'accesso cloud, implementare la sicurezza e l'ottimizzazione end-to-end per tutti gli edge.

Sedi fisiche, cloud, utenti e edge computing

La soluzione SASE offre un supporto a tutti gli edge aziendali. Con un approccio cloud-first per rete e sicurezza, SASE sposta molte funzioni come l'ottimizzazione della rete e la prevenzione delle minacce, dagli edge fisici al cloud. Ad esempio, le tradizionali appliance di sicurezza di rete sono vincolate a una posizione fisica specifica, rendendole inadatte per gli edge mobili. SASE include un componente thin-edge per connettere vari edge al PoP SASE più vicino. Gli edge collaborano con il servizio cloud SASE per superare errori dei PoP o problemi di accesso, garantendo un servizio ininterrotto.

SASE è progettato per offrire lo stesso set di funzionalità da ogni PoP, senza dipendere da componenti specifici del cliente, facilitando il reindirizzamento del traffico attraverso il Cloud.

  • Le sedi fisiche utilizzano dispositivi SD-WAN e connessioni Internet multiple per massimizzare il throughput, applicare la qualità del servizio (QoS) e superare errori o degrado delle connessioni
  • I lavoratori mobili accedono tramite web con o senza client per una protezione di livello aziendale e un accesso ottimizzato al data center e alle applicazioni cloud
  • I data center cloud si connettono a SASE Cloud attraverso tunnel multipli, con tutto il traffico protetto e ottimizzato indipendentemente dall’edge di origine

Tra le funzionalità di SASE che vale la pena evidenziare troviamo:

  • Accesso: l'accesso alle applicazioni e ai servizi essenziali è gestito da policy firewall di ultima generazione che identificano sia le applicazioni che gli utenti. Inoltre, un modello di accesso zero-trust alla rete assicura che gli utenti possano accedere esclusivamente alle applicazioni autorizzate, senza ottenere un accesso generale alla rete.
  • Definizione delle priorità: l'identificazione delle applicazioni consente di dare priorità al traffico per le applicazioni sensibili rispetto ad altro traffico, come ad esempio la navigazione Internet generica
  • Decrittazione: per consentire un'ispezione dettagliata dei pacchetti, il traffico crittografato può essere decrittografato una sola volta, permettendo a diversi motori di prevenzione delle minacce di analizzarlo
  • Prevenzione delle minacce: vari motori di sicurezza esaminano il traffico per individuare accessi potenzialmente pericolosi. Tra questi, i Secure Web Gateway (SWG) che identificano siti web malevoli, soluzioni anti-malware che bloccano il download di file nocivi, e sistemi IPS che interrompono connessioni anomale in entrata e in uscita, indicative di attività bot, e altro ancora.

  • Prevenzione della perdita di dati: SASE utilizza regole specifiche per individuare i dati sensibili nei flussi di rete e prevenirne la fuoriuscita. Allo stesso modo, un Cloud Access Security Broker (CASB) può implementare un controllo dettagliato sull'accesso alle applicazioni cloud.

La giusta infrastruttura IT per la digital transformation delle aziende

SASE è una soluzione integrata che connette tutti gli edge alle funzionalità di rete e sicurezza necessarie. Questo comporta una diminuzione dei costi, della complessità e dei rischi aziendali in un contesto dinamico. Di seguito alcuni dei benefici della piattaforma SASE:

  • Agilità: con SASE, l'IT è in grado di garantire un’elevata sicurezza a tutte le sedi, le applicazioni e gli utenti, indipendentemente da dove si trovano. La fornitura di nuove risorse e capacità è semplice e veloce: basta implementare il client edge giusto e collegarsi a SASE
  • Efficienza: con SASE, i team IT sono sollevati dalla manutenzione dell'infrastruttura on-premise; la struttura fisica, la ridondanza, la scalabilità e gli aggiornamenti sono notevolmente diminuiti
  • Riduzione dei costi: la semplificazione della rete, dello stack di sicurezza e l'integrazione di diversi prodotti specifici permettono sia ai fornitori che ai clienti di abbassare i costi complessivi per il mantenimento dell'infrastruttura.

Che cosa NON è la soluzione SASE?

SASE offre un potenziale così elevato che potrebbe scatenare una competizione di marketing tra i fornitori che aspirano a proporre SASE. Alcuni fornitori tradizionali stanno già cercando di presentare una soluzione simile al SASE, assemblando i loro prodotti esistenti in un nuovo pacchetto. Tali tecnologie non sono però progettate per una distribuzione nativa nel cloud; è quindi fondamentale esaminare attentamente l'architettura sottostante alle proposte commerciali per assicurarsi che permetta alla propria azienda di raggiungere i risultati desiderati.

Creare macchine virtuali su infrastrutture as a service (IaaS) come AWS, Azure e simili è vantaggioso, ma non adatto per la soluzione SASE. Anche se queste macchine operano su appliance on-premise per essere "nel cloud", restano soluzioni isolate che non considerano l'integrazione nativa nel cloud, l'elaborazione in un unico passaggio, la copertura globale e l'elasticità della soluzione SASE.

Dal loro lato, i fornitori di Security-as-a-Service si sono impegnati a offrire maggiori funzionalità di sicurezza attraverso i loro servizi cloud, come SWG e CASB. Tuttavia, questi fornitori non dispongono degli elementi essenziali della soluzione SASE per il controllo dei flussi di rete e il supporto nativo degli edge WAN. In assenza di una tecnologia matura e integrata nativamente per connettere in modo affidabile e sicuro tutti gli edge (uffici, data center cloud, utenti e dispositivi) al SASE Cloud, SWG e CASB restano isolati e necessitano di integrazione con altri prodotti.

Una piattaforma SASE completa da implementare oggi stesso

Come si finanzia la soluzione SASE?
La buona notizia è che il budget per SASE è già disponibile. L'aggiornamento delle attuali appliance di sicurezza, il rinnovo del contratto MPLS in scadenza, o un progetto di integrazione M&A, rappresentano ottime opportunità per avviare il progetto SASE. La migrazione può essere effettuata gradualmente, poiché la maggior parte delle piattaforme consente una transizione progressiva, durante la quale la soluzione SASE può operare insieme alle reti tradizionali e alle soluzioni di sicurezza fino alla loro completa dismissione.

Anche se la categoria SASE è relativamente nuova, la sua applicazione non lo è. Professional Link e Cato Networks infatti collaborano da tempo per offrire una soluzione SASE completa fino all'ultimo miglio. La soluzione è stata testata su aziende distribuite a livello globale, che hanno deciso di integrare le funzionalità di rete e sicurezza aziendali in un unico stack software a passaggio singolo fornito come servizio cloud.

La soluzione di PLINK e Cato Networks soddisfa tutti gli attributi dell'architettura SASE

Tutto, nell'architettura SASE fornita da Professional Link e Cato, è basato sull'identità della risorsa che si connette al cloud, indipendentemente dalla sede.

L'identità, combinata con altri elementi contestuali, è impiegata per abilitare l'autenticazione a più fattori, orientare le politiche di accesso, stabilire la qualità del servizio di rete e monitorare costantemente il rischio associato ai dati.

Stiamo parlando di un servizio cloud-native, capace di offrire scalabilità e agilità, oltre a supportare tutti gli edge: sedi fisiche, utenti mobili, data center e applicazioni. Le sedi fisiche impiegano un dispositivo edge SD-WAN, un client web browser o un Software-Defined Perimeter (SDP) senza client, e i tunnel IPsec connettono le risorse cloud alla piattaforma Cato. Indipendentemente dall'edge, l'intero set di funzionalità di rete e sicurezza è accessibile presso il PoP più vicino.

Esiste infatti una rete di oltre 50 PoP distribuiti in tutto il mondo dai quali vengono erogate le funzioni del servizio. Tutti i PoP sono interconnessi da più vettori che formano una dorsale di rete globale privata che ottimizza il traffico WAN e cloud. Il software dei PoP esegue un'ispezione approfondita dei pacchetti per proteggere il traffico dalle molteplici minacce mentre scorre attraverso la piattaforma Cloud.

Vuoi approfondire la soluzione SASE? Contattaci qui

 

Tratto dall'e-book "The Network for the Digital Business Starts with the Secure Access Service Edge" by Cato Networks