Nel 2019, la società di ricerca Gartner ha coniato il termine "secure access service edge" (SASE) per descrivere "... funzioni di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA), con funzionalità WAN (es. SDWAN) per supportare la dinamica esigenze di accesso sicuro delle organizzazioni”. L'idea che gli utenti remoti possano avere un accesso sicuro, indipendentemente da dove lavorano, è diventata particolarmente interessante durante l'epidemia di COVID. L'aumento della forza lavoro a distanza dovuto alla pandemia ha aumentato la consapevolezza più velocemente del previsto. Con SASE in mente per molti amministratori di rete aziendali e Chief Information Security Officer (CISO), molte persone si chiedono:"Che cos'è esattamente Secure Access Service Edge (SASE)?"
L'idea che gli utenti remoti possano avere un accesso sicuro, indipendentemente da dove lavorano, è diventata particolarmente interessante durante l'epidemia di COVID.
Continua a leggere per uno sguardo di alto livello al modello SASE e al ruolo che una rete privata virtuale (VPN) gioca in esso.
Cos'è SASE?
Secondo Gartner, SASE non è un singolo prodotto; è un'architettura o una filosofia.
SASE combina le funzioni di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA), con funzionalità WAN (ad esempio, SDWAN) per supportare le esigenze di accesso sicuro dinamico delle organizzazioni. Queste funzionalità vengono fornite principalmente come servizio (aaS) e si basano sull'identità dell'entità, sul contesto in tempo reale e sulle politiche di sicurezza/conformità.
Di solito è necessario un approccio multi-vendor, perché così pochi fornitori offrono tutti i componenti di una piattaforma SASE.
Un'architettura SASE migra la sicurezza dai data center al cloud, unendo le singole tecnologie in Security-as-a-Service convergente. Poiché si tratta di una combinazione di funzioni di sicurezza, alcuni fornitori offrono soluzioni in bundle per accelerare l'implementazione SASE che supporta i lavoratori remoti con accesso a Internet al di fuori della rete aziendale. Più spesso è necessario un approccio multi-vendor perché così pochi fornitori offrono tutti i componenti di una piattaforma SASE. I singoli servizi di sicurezza che creano una piattaforma SASE sono:
- WAN definita dal software (SD-WAN):SD-WAN applica la rete definita dal software (SDN) alla rete WAN (Wide Area Network) su larga scala per migliorare l'agilità e le prestazioni delle app, nonché una gestione più semplice.
- Cloud Access Security Broker (CASB):software (on-prem o basato su cloud) tra utenti cloud e app cloud che monitora l'attività e applica criteri di sicurezza.
- Firewall di nuova generazione (NGFW) e Firewall-as-a-Service (FWaaS):NGFW va oltre la protezione contro i soliti sospetti — ransomware, virus, worm, trojan, adware — bloccando completamente il malware prima che entri nel tuo rete.
- Zero Trust Network Access (ZTNA):crea un perimetro sicuro attorno alle applicazioni con accesso basato su identità e contesto. Le applicazioni sono nascoste, riducendo la potenziale superficie per gli aggressori.
- Secure Web Gateways (SWG):le piattaforme SWG rilevano e prevengono minacce, accessi non autorizzati e malware utilizzando una barriera digitale e un filtro tra un sito Web e un dispositivo endpoint. Questo blocca l'accesso a siti potenzialmente dannosi oltre agli attacchi informatici.
I vantaggi di SASE
Il collaboratore di TechTarget Terry Slattery scrive:"Un'architettura distribuita basata su cloud, una gestione centralizzata e policy di sicurezza specifiche per gli endpoint..." sono i vantaggi principali di SASE. Ulteriori punti a favore di SASE, inclusi nello stesso articolo, sono:
- Le applicazioni possono risiedere ovunque:l'accesso distribuito di SASE consente alle applicazioni di vivere ovunque (un data center, cloud pubblico o privato, SaaS) e avvicina le funzioni di sicurezza agli utenti finali.
- Operazioni semplificate:con SASE il perimetro della rete è l'endpoint e la sicurezza viene applicata in modo dinamico utilizzando criteri basati sui ruoli. Ciò semplifica il networking e la sicurezza per i dipendenti, indipendentemente da dove lavorano.
- Integrazione di sicurezza e routing:SASE consolida la reputazione DNS, l'isolamento remoto del browser (RBI), ZTNA, la prevenzione della perdita di dati (DLP), la protezione da malware, CASB, NGFW, il rilevamento delle intrusioni, la prevenzione delle intrusioni e SWG.
- Costi WAN ridotti:l'operazione di routing SASE, simile a SD-WAN, aiuta a ridurre i costi WAN eliminando la necessità di costosi MPLS e circuiti affittati. Questi sono sostituiti da una VPN.
- Architettura distribuita:l'architettura distribuita e la gestione centralizzata di SASE producono efficienze nella sicurezza e nel traffico di rete. Queste stesse funzionalità hanno il potenziale per essere più resilienti anche in caso di attacchi DOS (Denial-of-Service).
- Velocità:la congestione del cloud e la latenza della rete del data center sono problemi comuni, ma SASE aiuta ad accelerare i tempi di risposta.
Una VPN è un componente essenziale di una buona architettura SASE.
Alcuni fornitori di servizi SASE promuovono i loro pacchetti di prodotti e servizi come sostituti delle VPN, ma è importante notare che una VPN è un componente essenziale di una buona architettura SASE. Quando i fornitori di SASE fanno riferimento alla fine delle VPN, si riferiscono alle VPN in sede; ma uno dei maggiori, forse i più grandi punti di forza di SASE è che è nativo del cloud. Ricorda, Gartner definisce SASE come "un servizio globale basato su cloud con uno stack di sicurezza di rete veramente convergente che supporta tutti i bordi (non solo le reti di filiali). ... Cloud Access Security Broker (CASB):una soluzione di sicurezza basata su cloud come SASE deve logicamente fornire sicurezza per le applicazioni cloud". È facile capire perché questo si rivolge alle aziende che intraprendono trasformazioni digitali e migrano al cloud.
A differenza delle VPN legacy, la VPN di nuova generazione di OpenVPN (OpenVPN Cloud) crea una rete privata nel cloud nascosta dalla rete Internet pubblica. Questo è un potente supporto per qualsiasi architettura SASE (e a costi inferiori e con meno complessità!).
OpenVPN e SASE
Le VPN non si limitano più a consentire l'accesso remoto. SASE potrebbe essere il nuovo concetto di sicurezza informatica, ma è importante tenere presente che le moderne VPN sono una componente di SASE e, da sole, forniscono funzionalità di sicurezza come il controllo degli accessi. Un altro aspetto critico di questa discussione è che OpenVPN di nuova generazione basato su cloud non è solo un sostituto per SD-WAN; ha anche una serie di componenti dell'architettura SASE - ZTNA, firewall, rilevamento delle intrusioni, prevenzione delle intrusioni, filtro dei contenuti - integrati. Vuoi vedere con quanta facilità OpenVPN Cloud si integra o addirittura sostituisce alcune delle tue altre applicazioni SASE? Registrati per tre connessioni gratuite oggi.