Cosa non è SASE?
Quando Gartner ha pubblicato “The Future of Network Security Is in the Cloud” nel 2019 ha fatto due cose. In primo luogo, ha identificato e descritto con precisione la direzione delle architetture di rete e di sicurezza aziendali nel prossimo decennio. In secondo luogo, per descrivere questo nuovo approccio ha creato una delle più grandi parole chiave dell’IT dell’epoca: SASE, l’abbreviazione di “Secure Access Service Edge”.
A causa di tutto il fermento intorno a SASE, molti “fornitori SASE” commercializzano soluzioni con caratteristiche presenti in SASE. Tuttavia, la maggior parte di queste soluzioni non riesce a raggiungere la promessa di SASE di una soluzione di sicurezza di rete olistica e convergente. In questa sede, esamineremo ciò che non è SASE per aiutare a identificare il valore che i fornitori SASE dovrebbero fornire alle aziende.
La SD-WAN non è SASE
In alcuni contesti, SASE è visto come la prossima generazione di SD-WAN. Dal punto di vista dell’agilità e della convergenza dell’infrastruttura di rete, è comprensibile il motivo del confronto. Infatti, la capacità di eseguire il routing in modo ottimale del traffico e di astrarre dal mezzo fisico sottostante (che sono i vantaggi principali della SD-WAN) è una parte importante di SASE. Tuttavia, la SD-WAN da sola è solo una parte di una soluzione più ampia che i fornitori SASE dovrebbero fornire. Inoltre, non tutte le implementazioni SD-WAN sono uguali. Ad esempio, SASE mira a supportare tutti gli edge della rete (WAN, edge computing, cloud computing e mobile), ma in molte appliance SD-WAN il supporto mobile è carente o inesistente.
La sicurezza basata sul cloud non è SASE
Come nel caso della SD-WAN, le caratteristiche di sicurezza sono numerose e importanti per una soluzione SASE. Tra gli esempi, IPS (intrusion prevention system), NGFW (next-generation firewall) e SWG (secure web gateway).
Poiché la sicurezza basata sull’identità e l’architettura nativa del cloud sono caratteristiche fondamentali di SASE, può essere facile credere che un firewall basato sul cloud ricco di funzionalità possa servire come metodo per implementare SASE. Tuttavia, nella pratica, non è proprio così. La sicurezza è solo una parte dell’architettura SASE e un firewall basato sul cloud e IPS basati sul cloud non possono aiutare con il routing e l’ottimizzazione della WAN su scala globale.
Anche in questo caso, come nel caso di SD-WAN, queste tecnologie sono una parte importante di SASE grazie ai loro vantaggi, ma anche se raggruppate insieme non sono di per sé SASE.
Più appliance disparate su cui vengono eseguite patch non sono SASE
La funzionalità SD-WAN, che consente un routing agile ed efficiente, è una parte importante di SASE. Allo stesso modo, le funzioni di sicurezza come IPS, SWG e NGFW sono una parte importante di SASE. Tuttavia, la semplice implementazione di appliance e soluzioni di “fornitori SASE” che soddisfano tutti i requisiti del set di funzionalità SASE non manterrà la promessa di SASE. Questo perché la creazione di un mosaico di appliance di rete e di sicurezza e di soluzioni cloud semplicemente non può fornire l’agilità, la visibilità, la semplicità e le prestazioni di un’unica soluzione convergente. L’approvvigionamento, la distribuzione, la gestione e l’integrazione di più prodotti non solo fa lievitare i costi, ma aumenta anche la complessità della rete. Di conseguenza, un mosaico di soluzioni che sulla carta sembrano buone, spesso creano rallentamenti operativi e sviste di sicurezza su scala. Sebbene alcuni sostengano che sia necessario trasferire la complessità a un fornitore di servizi, questo non risolve i problemi di fondo e spesso porta a costi più elevati per prestazioni non ottimali.
Le appliance virtuali su dispositivi edge non sono SASE
L’esecuzione di appliance virtuali su un dispositivo edge riduce l’ingombro dell’hardware, ma non incide sui costi operativi. Le appliance devono ancora essere implementate, integrate, aggiornate e mantenute. I silos e la complessità sottostanti non scompaiono. Le vere piattaforme SASE eliminano il fattore di forma dell’appliance. Le funzioni vengono fornite come piattaforma cloud-native multi-tenant. I fornitori SASE gestiscono e mantengono la piattaforma sottostante a beneficio di tutti i clienti. Né l’azienda né il provider devono sostenere l’overhead operativo della gestione delle appliance.
Quindi cos’è esattamente SASE?
SASE si occupa della convergenza della gestione delle reti e della sicurezza in modo da migliorare le prestazioni, semplificare la complessità operativa e aumentare la sicurezza su scala globale. Per soddisfare questi criteri, una vera soluzione SASE deve avere le seguenti caratteristiche:
- Supporto per tutti gli edge. Le postazioni mobili, cloud, WAN ed edge devono essere tutte supportate senza sacrificare le prestazioni o la funzionalità. Molte appliance virtuali e fisiche faticano a soddisfare questo criterio. Questo perché le appliance di sicurezza sono spesso intrinsecamente legate a un luogo specifico.
- Sicurezza basata sull’identità. Il modello di sicurezza SASE si basa sull’identificazione granulare delle risorse. SASE richiede che si possa tenere conto di ogni app, persona e dispositivo e che i flussi di dati possano essere analizzati in profondità. In questo modo si ottiene una visibilità completa della rete e una consapevolezza contestuale che aiuta a mitigare le minacce.
- Architettura cloud-native. Per semplificare la complessità della gestione e garantire l’elasticità, la resilienza e l’auto-manutenzione che rendono SASE performante e scalabile per l’azienda, è indispensabile un’architettura cloud-native multi-tenant.
- Connettività di rete distribuita a livello globale. Una piattaforma cloud distribuita a livello globale garantisce la disponibilità di tutte le funzionalità di SASE indipendentemente dalla posizione geografica degli edge della rete aziendale. Ciò significa che i PoP (punti di presenza) SASE devono andare oltre i data center del cloud pubblico e garantire una connettività a bassa latenza per tutti gli endpoint WAN.
I veri fornitori SASE capiscono che la convergenza è fondamentale
Il punto di partenza fondamentale è questo: SASE non si limita a un solido set di funzioni di rete e di sicurezza, ma si occupa di far convergere questo set di funzioni per migliorare le prestazioni e la sicurezza, riducendo al contempo la complessità e i costi. Per il terzo anno consecutivo, Cato Networks è stato un “sample vendor” SASE nel recente Hype Cycle for Enterprise Networking di Gartner e l’approccio di Cato a SASE è stato costruito tenendo conto della convergenza e della moderna azienda digitale.
Per un approfondimento su SASE e su cosa può significare per la vostra attività, consultate l’e-book The Network for the Digital Business Starts with the Secure Access Service Edge (SASE). In alternativa, se desiderate provare personalmente la nostra soluzione SASE basata sul cloud, contattateci o registratevi per una demo oggi stesso.