Nel 2021, Gartner ha introdotto una nuova categoria, il Security Service Edge (SSE), per descrivere la convergenza di determinate funzioni di sicurezza all’interno del sistema cloud. L’ SSE ha fatto convergere SWG, CASB/DLPe ZTNAin un singolo servizio cloud. L’ SSE è il segmento di sicurezza del SASE, che può essere impiegato come capacità indipendente o come step verso un percorso di trasformazione SASE completo.
Il Security Service Edge offre accesso sicuro a Internet e ad applicazioni cloud, ma solitamente non supporta l’accesso ottimizzato alle applicazioni globali del cliente e la relativa sicurezza WAN (east-west) Visibilità estesa e controllo su tutto il traffico costituiscono un aspetto fondamentale delle architetture SSE avanzate.
La transizione verso un sistema cloud comporta l’obbligo di un re-ingegnerizzazione dell’architettura delle reti e della sicurezza, al fine di supportare l’accesso degli utenti agli applicativi interni, sia nei data center fisici che in quelli cloud, nonché alle applicazioni cloud pubbliche, ovunque e in qualsiasi momento.
Man mano che il volume del traffico Internet e Cloud aumenta, non ha senso far passare tutto il traffico attraverso i firewall nei datacenter fisici (traffico di backhaul). È necessario consentire un accesso a Internet diretto e protetto in ogni sede e fino a ogni utente in remoto, al fine di attuare una visibilità e un controllo che non impatti sull’esperienza utente.
Con lo spostamento verso un modello di lavoro ibrido, anche la sicurezza IT aziendale deve adattarsi. La possibilità di lavorare da qualsiasi luogo richiede una piattaforma dotata di agilità e scalabilità, per garantire sicurezza e l’applicazione delle relative politiche di accesso in maniera totale per tutti gli endpoints (utenti, sedi, applicativi, applicazione e cloud), ovunque essi siano.
I dispositivi di sicurezza tradizionali sono incompatibili con i requisiti aziendali dei nostri giorni: essi sono vincolati alla sede, richiedono manutenzione costante e non riescono a offrire scalabilità a fronte di un aumento del carico di traffico. Per supportare il modello di lavoro ibrido è necessaria un’architettura di sicurezza che sia flessibile e scalabile, e che sia in grado di securizzare l’intera forza lavoro in qualsiasi luogo: in ufficio, a casa o in movimento.
Le soluzioni disgiunte e non integrate aumentano il lavoro manuale che l’IT deve compiere in termini di installazione di aggiornamenti e patches, nonché la probabilità di generare errori e sviste. Un modello di distribuzione sotto forma di servizio può eliminare l’esigenza di aggiornare l’infrastruttura di sicurezza e mantenere un atteggiamento orientato alla sicurezza.
Il SSE crea un infrastruttura globale che connette tutti gli endpoints in una piattaforma di sicurezza comune. Tutto il traffico generato tra due endpoints viene ispezionato, mentre le politiche aziendali vengono applicate in termini di prevenzione delle minacce cyber e di protezione dei dati.
Il SSE applica un modello di accesso “zero trust”, garantendo che gli utenti accedano soltanto agli applicativi autorizzati attraverso un accesso denominato “Least Privilege” Il traffico sull’applicazione viene continuamente monitorato per rilevare anomalie, minacce, attacchi e perdite di dati sensibili.
L’ SSE costituisce una soluzione cloud nativa, fornita attraverso una dorsale globale di PoP (Point of Presence). Il Security Service Edge ispeziona senza interruzioni tutto il traffico, fornisce scalabilità verticale e orizzontale per supportare la crescita del traffico e minimizza la latenza grazie a ciascun PoP che fornisce una latenza di accesso media di 25 ms da ciascun utente e sede.
Il SSE libera l’IT dall’onere di dover implementare manualmente gli interventi per mitigare le minacce cyber emergenti. La competenza del SOC del fornitore del Security Service Edge garantisce che gli utenti finali siano sempre protetti e che il perimetro aziendale di attacco venga ridotto al minimo.
Il fornitore del SSE migliora continuamente tutte le capacità fornite dal sistema cloud attraverso un servizio di manutenzione automatica. Questo riduce il carico di lavoro dell’IT, focalizzandosi sulle attività più critiche per l’azienda, piuttosto che sul doversi preoccupare di “tenere le luci accese”.
Il SSE 360 di Cato va ben oltre l’ambito di convergenza dell’ SSE tradizionale, per fornire visibilità, ottimizzazione e sicurezza totali per tutto il traffico, gli utenti, i dispositivi e gli applicativi in qualsiasi luogo.
La maggior parte delle soluzioni Security Service Edge tradizionali offre accesso protetto a Internet e alle applicazioni cloud, oltre che agli applicativi interni selezionati. Tuttavia, le imprese hanno bisogno di ottimizzare e proteggere tutto il traffico, verso tutte le WAN, i sistemi cloud, nonché le applicazioni e le risorse di Internet, a prescindere dal tipo di protocollo e porta utilizzata. Questo richiede soluzioni specifiche aggiuntive, come firewall e dorsali globali, per compensare i gaps di una soluzione SSE tradizionale.
Inoltre, quando viene utilizzato in combinazione con l’Edge SD-WAN di Cato, l’SSE 360 offre un percorso chiaro verso la convergenza SASE.
“La sicurezza alla base dell’infrastruttura ci aiuta a soddisfare tutti i nostri requisiti aziendali e di audit, nonché a mantenere gli standards senza dover gestire e manutenere molteplici dispositivi di sicurezza”.
“Riusciamo a raccogliere informazioni riguardo alla qualità del local loop in ciascuna sede e a ricevere alerts di sicurezza per rimediare rapidamente agli attacchi o alle infezioni da malware”.
Le soluzioni specifiche di sicurezza non integrate fra loro sovraccaricano i team IT con risorse limitate, con impatti negativi sulla corretta postura di sicurezza e aumentando il rischio complessivo dovuto a errori di configurazione.
La convergenza SSE tradizionale mitiga queste difficoltà, ma offre visibilità limitata e un controllo che si estende soltanto a Internet, alle applicazioni cloud pubbliche e agli applicativi interni selezionati. Di conseguenza, il traffico WAN viene lasciato privo di ispezione e di ottimizzazione.
Inoltre, una piattaforma Security Service Edge che non faccia parte di un SASE di un singolo fornitore non può estendere la convergenza verso SD-WAN per completare il percorso di trasformazione SASE.
Le soluzioni specifiche di sicurezza non integrate fra loro sovraccaricano i team IT con risorse limitate, con impatti negativi sulla corretta postura di sicurezza e aumentando il rischio complessivo dovuto a errori di configurazione.
La convergenza SSE tradizionale mitiga queste difficoltà, ma offre visibilità limitata e un controllo che si estende soltanto a Internet, alle applicazioni cloud pubbliche e agli applicativi interni selezionati. Di conseguenza, il traffico WAN viene lasciato privo di ispezione e di ottimizzazione.
Inoltre, una piattaforma Security Service Edge che non faccia parte di un SASE di un singolo fornitore non può estendere la convergenza verso SD-WAN per completare il percorso di trasformazione SASE.
SSE 360 di Cato fornisce l’unica piattaforma SSE completa, con visibilità, ottimizzazione e controllo totali su tutto il traffico aziendale, includendo SaaS, applicativi web e WAN.
SSE 360 di Cato offre una transizione naturale verso un sistema SASE completo, scegliendo di far confluire tutta la connettività delle sedi fisiche con SD-WAN di Cato, se necessario.
SSE 360 di Cato fornisce l’unica piattaforma SSE completa, con visibilità, ottimizzazione e controllo totali su tutto il traffico aziendale, includendo SaaS, applicativi web e WAN.
SSE 360 di Cato offre una transizione naturale verso un sistema SASE completo, scegliendo di far confluire tutta la connettività delle sedi fisiche con SD-WAN di Cato, se necessario.
Il SSE tradizionale affronta il problema della frammentarietà delle soluzioni specifiche attraverso la convergenza. Tuttavia, per una questione di progettazione, l’ispezione avviene soltanto per SaaS e traffico web, oltre che per specifici applicativi interni. Questo crea un punto cieco nella protezione e nell’ottimizzazione del traffico WAN est-ovest.
SSE 360 è creato sull’architettura Single Pass Cloud Engine di Cato, per fornire visibilità, ottimizzazione e controllo totali di tutto il traffico (WAN, Internet e Cloud) per tutti gli endpoints (utenti, sedi, applicativi e sistemi cloud).
I fornitori di SSE tradizionali indirizzano il traffico il ricevuto nel PoP verso l’Internet pubblico e sono privi di una dorsale privata globale che permetta un instradamento del traffico ottimizzato. Questo genera latenza, perdita di pacchetti e varianza che si traduce in un un’esperienza utente non consistente.
SSE 360 di Cato ottimizza l’accesso globale a tutti gli applicativi, alla WAN, a Internet e al sistema cloud utilizzando una dorsale privata globale, dotata di un’accelerazione del traffico integrata, che risolve i problemi legati all’imprevedibilità dell’Internet pubblico.
I fornitori di SSE tradizionali non possono espandersi verso un SASE completo, poiché non supportano una convergenza verso SD-WAN. L’IT è costretto a “inventarsi” la propria soluzione SASE partendo da soluzioni puntuali e dispositivi complicati.
Cato rappresenta l’unica soluzione SSE che offre un percorso naturale verso una trasformazione SASE, offrendo un’integrazione semplice dei dispositivi Socket Edge SD-WAN di Cato.
Il SSE tradizionale affronta il problema della frammentarietà delle soluzioni specifiche attraverso la convergenza. Tuttavia, per una questione di progettazione, l’ispezione avviene soltanto per SaaS e traffico web, oltre che per specifici applicativi interni. Questo crea un punto cieco nella protezione e nell’ottimizzazione del traffico WAN est-ovest.
SSE 360 è creato sull’architettura Single Pass Cloud Engine di Cato, per fornire visibilità, ottimizzazione e controllo totali di tutto il traffico (WAN, Internet e Cloud) per tutti gli endpoints (utenti, sedi, applicativi e sistemi cloud).
I fornitori di SSE tradizionali indirizzano il traffico il ricevuto nel PoP verso l’Internet pubblico e sono privi di una dorsale privata globale che permetta un instradamento del traffico ottimizzato. Questo genera latenza, perdita di pacchetti e varianza che si traduce in un un’esperienza utente non consistente.
SSE 360 di Cato ottimizza l’accesso globale a tutti gli applicativi, alla WAN, a Internet e al sistema cloud utilizzando una dorsale privata globale, dotata di un’accelerazione del traffico integrata, che risolve i problemi legati all’imprevedibilità dell’Internet pubblico.
I fornitori di SSE tradizionali non possono espandersi verso un SASE completo, poiché non supportano una convergenza verso SD-WAN. L’IT è costretto a “inventarsi” la propria soluzione SASE partendo da soluzioni puntuali e dispositivi complicati.
Cato rappresenta l’unica soluzione SSE che offre un percorso naturale verso una trasformazione SASE, offrendo un’integrazione semplice dei dispositivi Socket Edge SD-WAN di Cato.
L’ SSE 360 vede il traffico di tutti gli endpoints, su tutte le porte e tutti i protocolli, a verso tutte le direzioni: WAN, Internet e Cloud. Il SSE 360 applica in maniera uniforme tutte le ispezioni e le ottimizzazioni di sicurezza a tutto il traffico tra utenti, dispositivi, applicativi e sedi.
L’SSE 360 viene impiegato su oltre 75 PoP (punti di presenza) cloud, che sono creati per l’elaborazione di traffico su larga scala (multi-gigabits/sec), al fine di garantire una latenza bassa (< 25 ms da ogni utente e sede) e alte prestazioni sul cosiddetto “middle-mile” verso destinazioni sia cloud che WAN.
Tutte le politiche, gli eventi e i dati analitici dell’ SSE 360 sono accessibili attraverso un’unica interfaccia di controllo e consentono una gestione granulare delle politiche di accesso e sicurezza. Tutti gli eventi riguardanti utenti, minacce, dati e accesso agli applicativi sono disponibili all’interno di una singola dashboard unificata, contenente i dati analitici.
Un’architettura convergente e di tipo “single-pass” consente facilmente di aggiungere nuove funzionalità di sicurezza senza difficoltà tramite il servizio cloud SSE 360. Il sistema cloud SSE 360 è progettato per fornire un’alta disponibilità, per garantire un’ispezione di sicurezza continua anche in caso di malfunzionamento di un PoP o della rete.
Il SSE 360 di Cato offre un percorso naturale verso l’impiego completo del SASE di Cato, estendendo il suo utilizzo verso un SD-WAN convergente e un’ottimizzazione WAN, snellendo ulteriormente l’infrastruttura IT del cliente.
Il Single-Pass Cloud Engine (SPACE) costituisce la base del servizio cloud nativo, convergente e globale di Cato, che fornisce l’elaborazione di traffico su. Larga scala (multi-gigabits/sec) e un’applicazione delle politiche di accesso e sicurezza in tempo reale. Le attuali capacità del “motore” SPACE che alimenta l’SSE 360 di Cato includono: SWG, ZTNA, CASB/DLP, FWaaS e Prevenzione avanzata delle minacce (IPS, Anti-Malware di nuova generazione).
La rete globale, geograficamente distribuita e supportata da SLA di Cato, costituita da oltre 75 PoP, connessi attraverso interconnessioni dedicate di tipo Tier-1. Ciascun PoP processa l’intero insieme di capacità SSE su molteplici nodi di calcolo su cui gira il motore SPACE, per garantire latenza minima, fornire un’ottimizzazione dell’instradamento globale e un servizio di ridondanza e alta affidabilità completamente automatizzato.
Gli utenti si connettono a Cato tramite dei client software leggeri. Essi riescono ad accedere in maniera sicura e ottimale a Internet, agli applicativi interni, in loco, nei datacenter cloud, e sulle app global su cloud pubblico. Per dispositivi non gestiti, è disponibile l’accesso senza client attraverso un portale dedicato.
Le sedi fisiche e su cloud si connettono con dispositivi di terze parti abilitati IPsec oppure attraverso edge SD-WAN Socket di Cato Il clienti possono optare per l’utilizzo di firewall o di edge SD-WAN pre-esistenti e beneficiare comunque delle sofisticate capacità di sicurezza di Cato. I Socket Cato forniscono resilienza sul local loop e la QoS e risolvono eventuali interruzioni, sia prolungate che brevi, grazie alla selezione di automatica du un instradamento alternativo basata sulle applicazioni e orientata alla mitigazione della perdita di pacchetti.
Il nostro applicativo di gestione onnicomprensivo fornisce dati analitici chiari sulla sicurezza e sulla rete, con una configurazione totale e granulare delle politiche di sicurezza e accesso. I servizi gestiti includono l’assistenza alla configurazione della sede cliente, il monitoraggio intelligente del local loop, la configurazione della rete, le modifiche delle politiche di sicurezza e l’MDR.
Nel 2021, Gartner ha presentato il Security Service Edge (SSE). Il SSE fa confluire le funzioni di accesso protetto agli applicativi, che includono SWG, ZTNA e CASB/DLP, in un unico servizio cloud. Il SSE dà modo alle imprese di migrare da un’architettura IT rigida e disaggregata, verso una piattaforma di sicurezza convergente, disponibile sotto forma di servizio cloud nativo. Con il SSE, l’IT aziendale può rapidamente dedicarsi ai nuovi requisiti aziendali e di sicurezza, come la migrazione vero il cloud, l’adozione di applicazioni su cloud pubblico e lo smart working. L’architettura convergente dell’SSE riduce il costo e la complessità di soluzioni tradizionali attraverso una console di gestione controllo unificata, un’infrastruttura di rete gestita ad altissima affidabilità (99.999%) in grado di evolvere autonomamente aggiungendo meccanismi di difesa per mitigare le minacce cyber emergenti.
In un approccio tradizionale l’IT aziendale installa nelle proprie sedi un sistema di sicurezza attraverso molteplici soluzioni puntuali, solitamente fornite sotto forma di macchine fisiche. Le imprese sono sempre più lente nel rispondere ai nuovi requisiti aziendali e tecnici in continua evoluzione, nonché all’evoluzione continua delle minacce cyber. A tale scenario si abbina la scarsità di skills in ambito sicurezza informatica, risorse e budget limitati e gli alti costi di supporto esternalizzato.
L’SSE rappresenta un primo passo nel raggiungimento di una trasformazione orientata alla sicurezza, facendo convergere un accesso protetto e consistente a tutti gli applicativi per tutti gli utenti. L’SSE, che fa parte di una piattaforma SASE di un singolo fornitore, offre un percorso naturale verso una trasformazione SASE completa in una fase successiva, con un’ottimizzazione convergente di SD-WAN e WAN. Più profonda è la convergenza IT, più l’impresa potrà godersi i benefici di un’accresciuta visibilità, di costi ridotti, di maggiori risparmi sui costi operativi e di un’aumentata agilità d’impresa.
Due anni dopo aver presentato il SASE (Secure Access Service Edge), Gartner ha introdotto l’SSE (Security Service Edge.) Il SASE fa convergere SD-WAN e sicurezza su un sistema cloud nativo (FWaaS, CASB, SWG e ZTNA) in un singolo servizio cloud. L’SSE definisce un insieme specifico di funzioni convergenti per la sicurezza della rete, che sono composte da SWG, CASB/DLP e ZTNA. L’SSE si concentra sul fornire un accesso protetto agli applicativi, senza però rispondere alle esigenze di connettività di rete globale ottimizzata e alla corrispondente sicurezza WAN est-ovest.
Le soluzioni SSE tradizionali si basano su un’architettura di proxy di rete, che supporta gli accessi ai siti web e alle applicazioni SaaS. Per abilitare lo ZTNA per tutti gli applicativi, i fornitori di un SSE tradizionali hanno dovuto introdurre un’architettura supplementare basata su “connettori” di applicazioni interne. Persino con tale estensione, il traffico generato da endpoints dell’impresa come l’IoT, il traffico app-to-app e la maggior parte del traffico WAN resta non supportato.
SSE 360 è creato sull’architettura Single Pass Cloud Engine di Cato, per fornire visibilità, ottimizzazione e controllo totali di tutto il traffico (WAN, Internet e Cloud) su tutti i fronti (utenti, sedi, applicativi e sistemi cloud). SSE 360 di Cato ottimizza l’accesso globale utilizzando una dorsale privata globale, dotata di un’accelerazione di traffico integrata, che elimina i problemi legati all’imprevedibilità dell’Internet pubblico. Infine, Cato offre un percorso naturale verso una trasformazione SASE completa, attraverso l’impiego dei dispositivi Socket Edge SD-WAN di Cato.