L'architettura Secure Access Service Edge (SASE) è diventata famosa negli ultimi anni e sembra che tale tendenza non sia destinata a rallentare a breve.
Mentre i team di sicurezza cercano di spostare l'applicazione delle politiche verso il perimetro per prevenire le minacce e offrire un'esperienza utente migliore, il SASE continua a essere l'opzione principale per semplificare il modo in cui le strategie di sicurezza vengono implementate e mantenute.
In questa guida
Scopri l'impatto sulla sicurezza informatica e i vantaggi per le aziende dell'architettura Secure Access Service Edge (SASE) con la nostra guida esaustiva.
- Introduzione al SASE
- Come funziona l'architettura SASE
- I cinque componenti chiave del SASE
- Accessi protetti ovunque con il SASE
- Migliore protezione dei dati con Data-First SASE
- Best practice per la migrazione e l'implementazione
- Conformità e Data-First SASE
- Accelera la trasformazione con Data-First SASE
- Risorse e riferimenti
Introduzione al SASE
Il SASE combina soluzioni di rete e di sicurezza con le funzionalità in un unico modello di servizio disponibile su cloud. Unendo queste funzionalità, è possibile ridurre i costi, migliorare le prestazioni delle applicazioni e proteggere meglio le organizzazioni.
Introdotto come concetto da Gartner® per la prima volta nel 2019, le circostanze dovute alla pandemia hanno accelerato l'adozione del SASE, dal momento che i team IT hanno cercato di supportare forza lavoro e reti IT sempre più distribuite.
In pochi anni, il SASE è passato da un concetto accademico all'architettura più comune supportata dai leader del settore della sicurezza informatica. Entro il 2025, Gartner prevede che le aziende che offrono SASE generalmente disponibile a fornitore unico aumenteranno del 50% rispetto alla metà del 2023.
Unire rete e sicurezza consente al SASE di accelerare le prestazioni degli utenti finali rendendo possibili le connessioni direct-to-cloud anziché effettuare il backhauling del traffico attraverso un data center centrale per l'ispezione. Analogamente, i servizi di sicurezza unificati promuovono un'esperienza utente più semplice per i dipendenti che interagiscono con le applicazioni necessarie per svolgere il loro lavoro.
Con il SASE, le organizzazioni stanno introducendo nuove soluzioni, mentre abbandonano gradualmente tecnologie datate, come l'accesso alla rete privata virtuale (VPN). Lo Zero Trust Network Access (ZTNA) è un elemento fondamentale del SASE e consente alle organizzazioni di evitare la latenza causata dalla VPN e al contempo di autenticare utenti e dispositivi per l'accesso alle applicazioni interne.
Con così tante persone che lavorano da casa e che si riuniscono da tutto il mondo, le soluzioni SASE sono essenziali per mantenere la produttività e garantire una solida sicurezza del cloud per le organizzazioni. Il SASE rende possibile il lavoro da remoto, migliora la scalabilità e rende le politiche “Bring Your Own Device” (BYOD) più sicure.
Come funziona l'architettura SASE
Gli aspetti legati alla sicurezza e alle reti del SASE sono noti rispettivamente come Security Service Edge (SSE) e Software-Defined Wide Area Networking (SD-WAN).
Se forniti congiuntamente da un unico fornitore, questi elementi costituiscono il modello SASE più efficiente come definito da Gartner® e comunemente in uso al giorno d'oggi:
Security Service Edge
L'SSE protegge tre punti chiave di accesso: il web, il cloud e le applicazioni private. È ideale per tenere lontani gli aggressori e inserire dati sensibili.
Grazie all'unione di queste funzionalità di sicurezza, le organizzazioni possono consolidare il controllo degli accessi, la protezione dei dati, la protezione dalle minacce e il monitoraggio sotto un'unica piattaforma. I singoli componenti dell'SSE possono essere incorporati in base alle esigenze in una strategia di sicurezza, con l'obiettivo di integrarli tutti in unica soluzione.
Il SASE ottimizza la connettività e riduce la latenza, in modo tale che l'SSE possa funzionare in modo efficiente e con un'esperienza utente di alta qualità
Software Defined Wide Area Networking
L'SD-WAN consente alle organizzazioni di indirizzare e gestire il traffico in modo più efficiente e di creare ed estendere facilmente le politiche di rete ovunque si trovino gli utenti.
È in grado di ridurre i costi di rete utilizzando qualsiasi combinazione di tipi di connessione, tra cui MPLS, LTE e servizi Internet a banda larga, al fine di consentire agli utenti di accedere più rapidamente alle applicazioni e alle risorse aziendali. Inoltre, la tecnologia SD-WAN può migliorare le prestazioni indirizzando il traffico in modo più efficiente per ottimizzare il consumo di banda.
Le soluzioni Secure SD-WAN includono alcune funzionalità di sicurezza integrate come IPS e Advanced Malware Detection, le quali si combinano bene con una piattaforma SASE incentrata sulla sicurezza al fine di garantire un'esperienza utente sicura e senza interruzioni
In un modello di sicurezza tradizionale, le organizzazioni utilizzano vari prodotti separati per proteggere la forza lavoro ibrida dalle minacce. Tuttavia, tale modello di sicurezza eterogeneo comporta lacune nella copertura, avvisi di falsi positivi e prestazioni scadenti per gli utenti. Ciò permette alle minacce di non venir rilevate e spinge i dipendenti ad aggirare le regole, mettendo a rischio l'organizzazione
Il SASE cambia le carte in tavola. A livello di sicurezza, consolida la configurazione e l'applicazione delle politiche all'interno di un'unica console, rendendo più facile la gestione e la manutenzione. I servizi di sicurezza forniti dal cloud e il miglioramento delle reti offrono prestazioni e sicurezza superiori per le applicazioni cloud, mentre la copertura senza agente rende l'esperienza utente più fluida.
I cinque componenti chiave del SASE
Ci sono cinque componenti essenziali che devi adottare per implementare correttamente il SASE. Includono:
Secure Web Gateway (SWG)
SWG protegge da siti web dannosi e applica le politiche di navigazione web aziendali mediante filtri di ispezione dei contenuti al fine di proteggere il traffico avviato dagli utenti. Può utilizzare un proxy cloud oppure essere eseguito direttamente sull'endpoint. Forcepoint ONE SWG è parte di Zero Trust Web Access (ZTWA), che migliora la sicurezza del SASE con due prodotti e funzionalità chiave:
Remote Browser Isolation (RBI): RBI effettua il rendering dei siti rischiosi in un container virtuale remoto, impedendo che il codice malevolo infetti l'endpoint
Zero Trust Content Disarm & Reconstruction (CDR): Zero Trust CDR estrae le informazioni aziendali valide dai file, ne controlla la sicurezza e crea nuovi file per trasmetterle, prevenendo anche exploit e attacchi zero-day avanzati
Cloud Access Security Broker (CASB)
CASB protegge l'accesso alle applicazioni cloud e applica le politiche di protezione dei dati al loro interno. Forcepoint ONE CASB offre una copertura basata su agente e senza agente per estendere la protezione a qualsiasi dispositivo. Inoltre, rileva automaticamente l'utilizzo delle applicazioni cloud (sanzionato o non sanzionato), analizza i rischi e applica controlli appropriati per oltre 800.000 applicazioni SaaS e di produzione.
Zero Trust Network Access (ZTNA)
ZTNA offre accesso controllato alle app web private ovunque tu sia, abilitando un controllo avanzato sui dati in uso su dispositivi gestiti e non gestiti. Forcepoint ONE ZTNA offre accesso in base al contesto specifico dell'utente, utilizzando il principio del privilegio minimo e in generale offrendo funzioni come l'Autenticazione multi-factor (MFA) e Single Sign-On (SSO).
Firewall-as-a-Service (FWaaS) / Cloud Firewall
Mentre SWG, CASB e ZTNA si uniscono per formare l'SSE, la tecnologia firewall rappresenta l'intersezione tra sicurezza e rete. La tecnologia Next-Generation Firewall (NGFW) è disponibile mediante apparecchiature sia fisiche che virtuali. Tuttavia, gli amministratori che vogliono scalare il lavoro da remoto all'interno di un'architettura SASE probabilmente si affideranno soprattutto a soluzioni basate su cloud comunemente note come Firewall-as-a-Service (FWaaS). Queste possono essere implementate da qualsiasi parte del mondo attraverso il cloud, fornendo visibilità e controllo mediante la gestione centralizzata e l'automazione.
Software-Defined Wide Area Networking (SD-WAN)
Oltre a eliminare l'installazione dell'hardware e a utilizzare in modo flessibile qualsiasi connessione disponibile, una Secure SD-WAN offre funzionalità di sicurezza integrate come l'ispezione multilivello, la prevenzione delle intrusioni e il sinkholing DNS. Inoltre, Forcepoint Secure SD-WAN fa sì che le applicazioni mission-critical ricevano la larghezza di banda necessaria e possano applicare funzionalità come la gestione del traffico e il monitoraggio dello stato di integrità delle applicazioni al fine di ridurre la latenza e l'instabilità.
Accessi protetti ovunque con il SASE
Il SASE non è l'unico framework di sicurezza ad aver fatto passi da gigante negli ultimi anni. Vale la pena di segnalare il framework Zero Trust, il quale richiede che tutti gli utenti e i dispositivi siano costantemente autenticati e convalidati prima di ricevere l'accesso alle risorse IT all'interno di una rete. Tale approccio è in opposizione alla pratiche di network security tradizionali, in cui chiunque o qualsiasi cosa all'interno del perimetro di rete sicura era considerata affidabile.
Ma non si tratta di scegliere tra un'architettura SASE o Zero Trust. Infatti, qualsiasi piattaforma SASE degna di nota incorpora i principi Zero Trust. La fusione di questi due concetti fornisce le basi per pratiche di protezione dei dati a prova di futuro.
Questo approccio integrato alla protezione dei dati è alla base del concetto di Data-First SASE introdotto da Forcepoint.
Data-First SASE va oltre la semplice protezione degli accessi. Proteggendo continuamente l'utilizzo dei dati aziendali, semplifica la sicurezza per massimizzare la produttività e ridurre i costi operativi. Tra i vantaggi principali di Data-First SASE vi sono:
Protezione dei dati ovunque: estendi le politiche di protezione dei dati in modo semplice su web, cloud, e-mail, rete ed endpoint con pochi clic
Applicazione distribuita: applica le politiche su cloud, perimetro ed endpoint con prestazioni superiori
Scalabilità affidabile: cresci con l'elasticità di una piattaforma hyperscaler AWS
Migliore protezione dei dati con Data-First SASE
Data-first SASE comincia con Forcepoint ONE. La piattaforma di sicurezza all-in-one nativa per il cloud combina le prestazioni con la sicurezza, il tutto all'interno di un'unica console.
Forcepoint ONE offre una struttura modulare che consente alle organizzazioni di aggiungere servizi in base alle esigenze e ridurre al minimo il tempo trascorso per la configurazione e la formazione. I team della sicurezza possono utilizzarlo per creare un'architettura Data-first SASE un passo alla volta, aggiungendo all' SSE e alla SD-WAN l'elemento aggiuntivo dato dalla protezione dei dati zero trust.
Forcepoint ONE offre protezione dei dati ovunque attraverso un'integrazione tra Forcepoint ONE e Forcepoint DLP. Consente di replicare la configurazione delle politiche su cloud, web, e-mail, rete ed endpoint con pochi clic. Sfrutta l'unione introdotta dal SASE per fornire un accesso più sicuro ai dati, ovunque si trovino gli utenti.
Scopri la facilità di poter proteggere i tuoi dati ovunque.
Funzionalità chiave e casi d'uso di Data-First SASE
Nel Gartner® Critical Capabilities for Single-Vendor SASE del 2023, Gartner ha individuato tre casi d'uso chiave: SASE essenziale, SASE basato su rete e SASE con sicurezza avanzata.
Gartner ha osservato che, “across all offerings, most vendors provide strong branch networking and branch security capabilities. However, the level of advanced security features across all offerings is only mediocre for most enterprises."*
In questo report, Forcepoint è stata indicata come miglior fornitore per Advanced Security Use Case.
Quali organizzazioni hanno bisogno del SASE con sicurezza avanzata? Gartner parla chiaro: "This is typically a highly regulated enterprise or one that deals with sensitive information, such as financial services, insurance and healthcare. It is an organization that requires advanced security capabilities, not simply “good-enough” security."
Benefici e vantaggi di Data-First SASE
Previeni gli attacchi web noti e sconosciuti con SWG, RBI e Zero Trust CDR.
Applica controlli dei dati solidi in qualsiasi app cloud con CASB.
Fornisci un accesso Zero Trust alle app web private senza una VPN con ZTNA.
Connetti e proteggi uffici, filiali e sedi remote con Secure SD-WAN.
Applica coerentemente le politiche di protezione dei dati ovunque vi si acceda con Data Loss Prevention (DLP).
Tieni traccia del valore economico e delle security analytics in tempo reale con Forcepoint ONE Insights.
Best practice per la migrazione e l'implementazione
Migrare un'azienda verso un nuovo modello di sicurezza può essere una prospettiva scoraggiante, ma puoi trovare consigli e best practice per mettere in atto questi nuovi sistemi. Di seguito ci sono due guide realizzate da Forcepoint per rendere i processi più facili.
La facilità di implementazione di un modello di sicurezza Data-First SASE aumenta drasticamente quando i singoli prodotti provengono dallo stesso fornitore e sono progettati per funzionare insieme. Forcepoint ONE, un'unica piattaforma Data-first SASE illustra i vantaggi del SASE a fornitore singolo, in che modo Forcepoint si differenzia dagli altri fornitori SASE e come Forcepoint ONE rende l'adozione di Data-First SASE più semplice.
Conformità e Data-First SASE
Data-First SASE è ideale per aiutare le aziende a conformarsi alle normative sui dati in tutto il mondo. Forcepoint DLP offre oltre 1.700 classificatori e modelli di politiche predefiniti, che rispettano i requisiti di riservatezza dei dati di più di 80 paesi. Mediante Forcepoint ONE, queste politiche possono venir estese a tutti gli angoli dell'organizzazione e fornire ampia copertura e visibilità ai fini di audit.
È importante che le organizzazioni comprendano le normative pertinenti e adottino misure per dimostrare la loro conformità. Alcune delle normative chiave che possono riguardare la tua attività sono:
Conformità alla riservatezza dei dati (semplificata)
Consolidando le funzioni di sicurezza in un'unica piattaforma SASE a fornitore singolo, le organizzazioni possono applicare più facilmente le politiche su più canali. In questo modo, è più facile gestire in modo flessibile le modifiche della normativa o l'introduzione di nuove norme.
La protezione dei dati ovunque è la funzionalità di Forcepoint che permette di impostare una politica su SWG, CASB e ZTNA, nonché su endpoint e e-mail, velocizzando le modifiche e riducendo il lavoro necessario.
Accelera la trasformazione con Data-First SASE
Le organizzazioni di tutto il mondo sono concentrate sulla trasformazione digitale e cercano nuove opportunità per aumentare la produttività aziendale e ridurre i costi operativi. Le organizzazioni sempre più distribuite stanno riprogettando le proprie reti e sicurezza per spostare i dati e le applicazioni più preziosi sul cloud, al fine di fornire agli utenti un accesso alle risorse aziendali più rapido e conveniente.
Molte organizzazioni ottengono la connettività affidabile e sicura necessaria per il cloud grazie al SASE. Il SASE offre molti vantaggi a livello organizzativo, tra cui:
Aumenta la produttività accelerando l'adozione di app SaaS/cloud che migliorano il lavoro
Riduce il rischio aumentando la sicurezza durante la distribuzione SD-WAN direct-to-cloud per tenere gli intrusi alla larga
Riduce i costi evitando la necessità di costose connessioni MPLS
Ottimizza le operazioni integrando connettività e sicurezza tra migliaia di siti