Architettura SASE

Le aziende stanno passando da applicazioni, dati e servizi on-premises a quelli ospitati nel cloud, per collegare un nuovo lavoro da qualsiasi luogo. In questo articolo scopriremo i componenti di un'architettura SASE e il loro valore.

La crescita del cloud, la transizione al telelavoro e l'aumento dell'uso di dispositivi mobili significano che l'Infrastruttura IT di un'organizzazione si sta rapidamente spostando al di fuori del perimetro della rete. Per proteggere il nuovo patrimonio IT distribuito senza sacrificare le prestazioni e user experience è necessario un nuovo approccio alla progettazione della rete, che Gartner chiama architettura Secure Access Service Edge (SASE).

Per saperne di più Scarica la scheda tecnica

Che cos'è un'architettura Secure Access Service Edge (SASE)?

L'azienda moderna ha probabilmente più utenti, dispositivi, applicazioni, servizi e dati all'esterno del perimetro di rete che all'interno. Ciò significa che la tradizionale architettura di sicurezza incentrata sul perimetro non è più efficace.

Per rispondere alle esigenze dell'impresa moderna, Gartner ha definito l'architettura SASE. Questa architettura è progettata per soddisfare le esigenze di rete e di sicurezza di un'organizzazione in un'unica soluzione.

  • Routing della rete ottimizzato: Utenti e servizi distribuiti significano che la topologia della rete Wide Area aziendale (WAN) è diventata più complessa. Un'elevata qualità dell'esperienza (QoE) richiede una selezione dinamica e ottimizzata dei percorsi per il traffico di rete, utilizzando politiche definite dal software.
  • Sicurezza come servizio: La sicurezza centralizzata presso i siti fisici di un'organizzazione aumenta la latenza della rete per il traffico fuori sede. La sicurezza deve essere implementata sul bordo del cloud come servizio, piuttosto che in loco sul perimetro della rete della sede centrale. Un'architettura di rete geograficamente distribuita offre alla forza lavoro mobile distribuita un migliore accesso alle applicazioni cloud.
  • Accesso sicuro: Poiché i servizi di sicurezza sono consolidati e forniti come servizio cloud, i principi di fiducia zero con una forte gestione dell'accesso multi-fattore possono essere applicati durante tutta la sessione. L'efficienza si ottiene unificando la gestione e l'ispezione. La decodifica, l'ispezione e la crittografia avvengono una sola volta, riducendo la latenza.

Per bilanciare le esigenze di prestazioni e sicurezza della rete, è necessaria un'architettura di rete e di sicurezza con queste caratteristiche. Come mostrato nell'immagine sottostante, SASE incorpora una serie di diverse funzioni di rete e di sicurezza.

Questa funzionalità può essere classificata in tre categorie: sicurezza ospitata nel cloud, principi di accesso alla rete a fiducia zero e servizi di rete.

#1. Componenti di sicurezza basati sul cloud

Con lo spostamento della sicurezza verso il bordo della rete, le soluzioni di sicurezza tradizionalmente implementate nel perimetro della rete devono trasferirsi nel cloud. L'architettura SASE offre opzioni cloud-native per le funzionalità di sicurezza principali, tra cui:

  • firewall come servizio (FWaaS): Il firewall è la base dell'architettura di sicurezza della rete di un'organizzazione. Con SASE, un firewall può essere distribuito come servizio basato sul cloud per garantire la sicurezza con un impatto minimo sulle prestazioni della rete.
  • Secure Web Gateway (SWG): Sia gli utenti in sede che quelli in remoto devono essere protetti dalle minacce basate sul Web. Un SWG applica le politiche aziendali di cybersecurity e ispeziona e filtra il traffico Internet dannoso.
  • Cloud Access Security Broker (CASB): CASB è una soluzione di sicurezza e controllo degli accessi Software-as-a-Service (SaaS). Aiuta a monitorare e proteggere l'accesso alle applicazioni basate sul cloud, come Office 365.

#2. Componenti ZTNA

Una politica di sicurezza a fiducia zero è progettata per limitare le autorizzazioni e l'accesso di un utente alla rete al minimo richiesto per il suo ruolo lavorativo. Questo limita la probabilità e l'impatto di un incidente di sicurezza.

Le soluzioni di accesso alla rete a fiducia zero (ZTNA) - note anche come perimetro definito dal software(SDP) - applicano un modello di sicurezza a fiducia zero. Questo si ottiene implementando:

  • Autenticazione forte: Con un'architettura a fiducia zero, l'accesso e le autorizzazioni si basano sul ruolo dell'utente all'interno dell'organizzazione e sulla verifica del dispositivo. La sicurezza basata sull'identità richiede un'autenticazione forte dell'utente, protetta da soluzioni di autenticazione a più fattori (MFA) e di conformità del dispositivo.
  • Autorizzazione e controllo dell'accesso: Una volta dimostrata l'identità di un utente, una soluzione ZTNA deve determinare la validità di qualsiasi richiesta futura. Ciò richiede di confrontare una richiesta con i controlli di accesso basati sui ruoli (RBAC) e di consentire o negare l'accesso caso per caso.
  • Monitoraggio continuo della sessione: La sicurezza a fiducia zero è progettata per minimizzare il rischio, il che richiede un monitoraggio continuo della sessione. Questo monitoraggio continuo consente di aggiornare i calcoli del rischio e i livelli di fiducia in base al comportamento osservato.

#3. Componenti dei servizi di rete

Oltre a garantire la sicurezza della WAN aziendale, SASE è anche progettato per ottimizzare le prestazioni della rete per l'organizzazione distribuita. Questo obiettivo viene raggiunto integrando la funzionalità WAN definita dal software (SD-WAN) e proteggendo gli utenti mobili e temporanei.

SD-WAN viene distribuito come una rete di appliance SD-WAN, fisiche o nel cloud. Tutto il traffico che scorre sulla WAN aziendale viene instradato dal punto di ingresso all'appliance SD-WAN più vicina alla destinazione, in base all'applicazione e all'intento aziendale. L'uso di SD-WAN come parte di SASE offre una serie di vantaggi:

  • Selezione del percorso ottimizzata: Le interruzioni di rete, i limiti di larghezza di banda e la congestione possono aumentare la latenza della rete. SD-WAN utilizza il monitoraggio delle prestazioni e la selezione intelligente dei percorsi per massimizzare le prestazioni della rete.
  • Routing basato su applicazioni: Anche gli utenti aziendali remoti e mobili hanno bisogno di una connettività sicura alle risorse aziendali quando non si trovano in ufficio. Inoltre, gli appaltatori possono avere bisogno di accedere da dispositivi che non sono gestiti. Con una soluzione di Accesso Remoto Sicuro, sia il client che il dispositivo clientless possono avere un accesso sicuro alla rete SASE e, da lì, alla risorsa desiderata.

Valore di un'architettura SASE

Con l'evoluzione delle reti aziendali, le architetture di rete e di sicurezza devono evolvere con esse. SASE è stato progettato per offrire sicurezza e prestazioni di rete ottimizzate in un'unica soluzione. Spostando le funzionalità di sicurezza e di routing della rete ai bordi della rete, SASE riduce al minimo l'impatto della sicurezza su user experience, pur mantenendo un elevato livello di sicurezza.

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK