Cos’è l’architettura SASE?
Quando Gartner ha presentato per la prima volta Secure Access Service Edge (SASE) nel suo “Hype Cycle for Enterprise Networking, 2019“, SASE è stato identificato come la prossima trasformazione della gestione della rete e della sicurezza aziendale. L’architettura SASE non descrive una nuova capacità, ma un uso migliore delle tecnologie esistenti facendo convergere i domini di gestione delle reti e sicurezza in un unico servizio cloud globale.
La categoria era così strategica che Gartner ha etichettato SASE come “trasformazionale”. Per contestualizzare questo dato, la SD-WAN, con tutto il suo impatto sulle reti aziendali, non ha mai raggiunto una valutazione di trasformazione da parte di Gartner in un Hype Cycle.
SASE continua a essere considerata trasformativa e rilevante come sempre. L’architettura è stata ampiamente adottata come direzione del settore della gestione delle reti aziendali e della sicurezza. Ma al di là dei discorsi di marketing, nessuno ha introdotto un’architettura SASE completamente distribuita e ridondante come Cato Single Pass Cloud Engine (SPACE), che costituisce l’elemento centrale della piattaforma SASE di Cato (per un approfondimento su SASE e su come Cato offre le funzionalità SASE, cliccate qui per leggere questo white paper). Diamo un’occhiata più da vicino.
Perché ora e cosa rende SASE così trasformativa?
SASE si sta facendo strada in risposta alle esigenze del business digitale di oggi. Il business digitale è tutta una questione di velocità e agilità. Operiamo più velocemente e ovunque, con uffici remoti e utenti mobili. Riunire team e risorse, indipendentemente dalla loro ubicazione, per sviluppare più velocemente nuovi prodotti, lanciarli prima sul mercato e rispondere più rapidamente ai cambiamenti delle condizioni aziendali sono i tratti distintivi della trasformazione digitale del business. La tecnologia è essenziale per questi cambiamenti; basti pensare all’adozione diffusa del cloud computing. I vantaggi della tecnologia SASE contribuiscono a inaugurare questa nuova era.
Ma mentre il cloud è agile, elastico e onnipresente, l’infrastruttura di gestione delle reti e di sicurezza delle aziende è stata esattamente l’opposto. La rete è rigida e statica. La sicurezza è frammentata tra sedi fisiche, risorse cloud e utenti mobili. Insieme, la gestione delle reti e la sicurezza stanno rallentando l’attività, poiché i silos eretti decenni fa sono stati allungati e rattoppati per soddisfare le esigenze di business emergenti.
Il modo in cui le imprese hanno progettato le loro reti è ormai superato. Pensare di mettere insieme dispositivi SD-WAN, firewall, appliance IPS e il resto del paniere di soluzioni di sicurezza e gestione delle reti per risolvere i problemi di rete è diventato il problema stesso. Come scrive Gartner, “la trasformazione digitale e l’adozione di modelli di implementazione mobile, cloud ed edge cambiano radicalmente i modelli di traffico di rete, rendendo obsoleti i modelli di rete e di sicurezza esistenti”.
Cos’è l’architettura di rete SASE?
L’architettura SASE Cloud affronta questo problema. Fornisce un’unica rete che collega e protegge qualsiasi risorsa aziendale, fisica, cloud e mobile, ovunque. In questo senso, il SASE Cloud è caratterizzato da quattro caratteristiche principali: è basato sull’identità, è cloud-native, supporta tutti gli edge ed è distribuito a livello globale.
Basato sull’identità. L’identità degli utenti e delle risorse, e non un semplice indirizzo IP, determina l’esperienza di gestione delle reti e il livello dei diritti di accesso. La qualità del servizio, la selezione del routing, l’applicazione di controlli di sicurezza basati sul rischio: tutto è guidato dall’identità associata a ogni connessione di rete. Questo approccio riduce l’overhead operativo consentendo alle aziende di sviluppare un unico set di criteri di gestione delle reti e di sicurezza per gli utenti, indipendentemente dal dispositivo o dalla posizione. Architettura cloud-native. L’architettura SASE sfrutta le principali funzionalità del cloud, tra cui l’elasticità, l’adattabilità, l’auto-guarigione e l’auto-manutenzione, per fornire una piattaforma che ammortizza i costi tra i clienti per ottenere la massima efficienza, si adatta facilmente ai requisiti aziendali emergenti ed è disponibile ovunque. Supporta tutti gli edge. SASE crea un’unica rete per tutte le risorse aziendali: data center, filiali, risorse cloud e utenti mobili. Ad esempio, le appliance SD-WAN supportano gli edge fisici, mentre i client mobili e l’accesso browser clientless connettono gli utenti in movimento. Distribuito globalmente. Per garantire che tutte le funzionalità di gestione delle reti e di sicurezza siano disponibili ovunque e per offrire la migliore esperienza possibile a tutti gli edge, il SASE Cloud deve essere distribuito a livello globale. Per questo motivo, osserva Gartner, devono espandere la loro presenza per fornire un servizio a bassa latenza agli edge delle aziende.
SASE non è il vostro servizio di rete gestito da telco
Il servizio SASE Cloud gestisce un motore di elaborazione del traffico a passaggio singolo che elabora il traffico da qualsiasi “edge”: siti, cloud e utenti mobili. Applica in modo efficiente tutte le ottimizzazioni di rete, l’ispezione di sicurezza e l’applicazione dei criteri con un contesto ricco prima di inoltrare il traffico a destinazione.
In questo senso, SASE rappresenta un approccio fondamentalmente diverso rispetto al modo in cui i servizi delle telco integrano i pacchetti di soluzioni specifiche. Anche se questo approccio maschera la complessità della rete sottostante, le aziende vedono comunque aumentare la spesa per pagare sia i prodotti che le persone che li gestiscono.
Al contrario, con un’architettura basata sul cloud a passaggio singolo, il SASE Cloud non solo sembra essere più snello, ma lo è davvero. Tutte le funzioni convergono insieme. Il traffico viene elaborato più rapidamente e con un contesto più ampio rispetto a una serie di prodotti specifici. SASE è costruito con la scalabilità, il self-service e l’agilità del cloud. La vostra telco no.
Lo stesso vale per i fornitori di rete che eseguono macchine virtuali nel cloud o, se vogliamo, per le soluzioni della catena di servizi. In entrambi i casi, le VNF (Virtual Network Functions), le macchine virtuali e i servizi specifici devono essere dimensionati, scalati e gestiti separatamente. Per quanto riguarda i fornitori di sicurezza che integrano varie funzionalità di sicurezza nel cloud, non dispongono ancora degli elementi chiave di SASE, ovvero il controllo dei flussi di rete e il supporto nativo dell’edge WAN.
In definitiva, SASE offre la convergenza come attributo chiave di definizione. Non fornire funzionalità di gestione delle reti e di sicurezza, mantenerle come appliance separate o affidarsi al service chaining non è convergenza, ma collegamento allentato di soluzioni specifiche.
Cato è la prima piattaforma SASE al mondo
Cato offre un’architettura SASE completa sin dalla nascita dell’azienda nel 2015, quattro anni prima dell’introduzione di SASE. Ogni giorno, Cato connette e protegge centinaia di aziende in tutto il mondo con centinaia di migliaia di filiali, istanze cloud e utenti mobili. Da quella prima presentazione, Cato è stato nominato “sample vendor” nella categoria SASE di ogni Hype Cycle of Enterprise Networking.
In particolare, la piattaforma Cato SASE è:
- Cloud-native. Cato ha fatto convergere gestione delle reti e sicurezza in una piattaforma software che soddisfa i cinque attributi di una piattaforma cloud-native: multitenancy, scalabilità, velocità, efficienza e ubiquità. Il Cato SPACE è l’elemento centrale dell’architettura SASE di Cato ed è stato costruito da zero per alimentare un servizio cloud SASE globale, scalabile e resiliente. Migliaia di Cato SPACE consentono a Cato SASE Cloud di fornire l’intero set di funzionalità di gestione delle reti e sicurezza a qualsiasi utente o applicazione, ovunque nel mondo, su scala cloud e come servizio che si auto-guarisce e si occupa della sua auto-manutenzione.
- Basato sull’identità. Con un approccio user-aware, l’IT può collegare i criteri di sicurezza e di gestione delle reti all’identità dell’utente. Cato è assolutamente consapevole dell’identità e quest’ultima è uno dei tanti elementi contestuali estratti da Cato SPACE da ogni flusso.
- Supporta tutti gli edge. Cato collega tutti gli edge dell’azienda, sedi fisiche, risorse cloud e dispositivi mobili, tra loro e con Internet. Le sedi fisiche si connettono tramite i dispositivi SD-WAN di Cato; gli utenti mobili si affidano all’accesso client e clientless di Cato; la configurazione agentless di Cato connette le risorse cloud a Cato. Il traffico viene inviato al PoP Cato più vicino, dove un Cato SPACE estrae il contesto e applica i criteri pertinenti al flusso.
- Distribuito globalmente. La dorsale privata Cato è una rete globale, geograficamente distribuita e con SLA di oltre 65 PoP, interconnessa da più carrier tier-1. Ogni PoP esegue lo stack software convergente completo di Cato ed estende la rigorosa definizione di SASE includendo l’ottimizzazione della WAN e del cloud per migliorare l’accesso globale alle applicazioni ovunque.
Cato è onorata di essere stata nominata nuovamente “sample vendor” nella categoria SASE. Mentre molti dei nostri concorrenti hanno ignorato la convergenza o hanno spinto per la convergenza delle appliance, mosse strategiche sbagliate da entrambi i punti di vista, Cato ha a lungo sostenuto quella che è una piattaforma SASE. Come afferma Shlomo Kramer, CEO e co-fondatore di Cato Networks, “Sin dalla fondazione di Cato, ci siamo concentrati sulla convergenza di gestione delle reti e sicurezza nel cloud, creando un’unica architettura globale e cloud-native che connette e protegge tutte le sedi, le risorse cloud e gli utenti mobili ovunque”.
Per saperne di più su ciò che Cato ha da offrire, scoprite il confronto CASB vs. SASE, ZTNA vs. SASE e chiarite cosa non è SASE. Diventate un esperto certificato SASE con il corso e l’esame disponibili. Contattateci e iniziate il vostro viaggio SASE oggi stesso!
** Gartner, “Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge”, Joe Skorupa e Neil MacDonald, 29 luglio 2019
Esclusione di responsabilità:
Gartner non approva alcun fornitore, prodotto o servizio descritto nelle sue pubblicazioni di ricerca e non consiglia agli utilizzatori della tecnologia di scegliere solo i fornitori con le valutazioni più alte o altri titoli. Le pubblicazioni di ricerca di Gartner sono costituite dalle opinioni dell’organizzazione di ricerca di Gartner e non devono essere interpretate come dichiarazioni di fatto. Gartner non riconosce alcuna garanzia, espressa o implicita, in relazione alla presente ricerca, comprese le garanzie di commerciabilità o di idoneità a uno scopo particolare.