Sicurezza cloud: perché è interessante l'opzione SASE
La trasformazione digitale e la migrazione cloud molte aziende hanno l'esigenza di mettere in sicurezza le nuove infrastrutture. SASE è un'opzione che vale la pena valutare.
La sicurezza cloud è la nuova sfida per la cyber security. L'emergenza sanitaria ha obbligato le aziende a spostare molti asset in cloud per agevolare il lavoro da casa, è necessario proteggerli. Un compito non facile. Il cloud è un enorme cappello sotto a cui si può inserire di tutto: delle app ai repository, per arrivare ai servizi di sicurezza. Decidere che cosa mettere in cloud e che cosa no è più difficile di quanto possa sembrare, perché da quello dipendono molti aspetti della sicurezza informatica.
È fuor di dubbio che le risorse in cloud offrano il vantaggio di non costringere chi vi accede a passare dai colli di bottiglia delle VPN. Lato azienda, quasi tutto quello che si può avere in cloud è scalabile, quindi si possono gestire i costi con relativa agilità. Il punto di attenzione è che il cloud va protetto, di più e meglio delle risorse on-premise. E, nonostante l'uso di più servizi anche molti differenti fra loro, occorre una visibilità unica di tutte le risorse in cloud, perché ogni punto cieco è una falla che i cyber criminali sfrutteranno.
Le soluzioni che si propongono per gestire questa delicata fase della trasformazione digitale sono molte. In questa sede parliamo dell'opzione SASE (Secure Access Service Edge). È un termine coniato dagli analisti di Gartner che identifica l'unione fra cyber security e connettività. L'idea risale al 2019, quando il COVID non esisteva, ma la migrazione cloud aveva già connotati importanti. Tanto da far prevedere che trasferire in cloud applicazioni e risorse aziendali avrebbe richiesto un analogo trasloco anche della sicurezza. L'estrema sintesi è che connettività e sicurezza devono risiedere dove sta tutto il resto, altrimenti le cose non funzionano.
Che la previsione fosse particolarmente azzeccata ce ne siamo resi conto nell'ultimo anno. Molte aziende hanno spostato in cloud dati e applicazioni ma hanno mantenuto on-premise gli stack di sicurezza. Si sono così creati quelli che Alessandro Biagini, Regional Sales Manager Forcepoint Italia, definisce due "mondi paralleli" in cui il flusso di dati per tutti gli utenti (anche quelli remoti) continua a passare attraverso un data center centrale, regolato da misure di sicurezza completamente diverse da quelle adottate da alcune applicazioni cloud. Il risultato è una carenza delle prestazioni, latenze elevate ed errori di connessione.
Davanti a questa situazione, e con l'urgenza di far lavorare i dipendenti da casa, molte aziende hanno dovuto permettere ai dipendenti di collegarsi alle risorse direttamente tramite Internet e applicazioni cloud, affidandosi a tecnologie come SD-WAN. Un'opzione interessante, sicuramente da valutare.
SASE è vista da alcuni come la soluzione per soddisfare le nuove esigenze in termini di prestazioni e sicurezza. Consiste nell'implementare un modello di architettura di rete e di sicurezza coerente ma radicale, che prevede il trasloco in cloud di connettività di rete, web, dati, applicazioni e sicurezza. In quest'ambito dev'essere declinato in cloud tutto quello che prima era fisicamente in azienda e che ne costituiva il perimetro: Secure Web Gateway, Firewall as a Service, Cloud Access Security Broker, Data Loss Prevention/ Data Leakage Prevention.
Una particolarità del SASE è che funziona se il controllo degli accessi funziona. Da qui il matrimonio virtuoso fra SASE e Zero Trust. Non Zero Trust inteso come un prodotto o come un componente, ma come filosofia. Consiste nell'applicare il noto paradigma di sicurezza che rimpiazza la fiducia implicita con livelli di rischio/fiducia espliciti, valutati continuamente in base al contesto nel quale ogni singola operazione e interazione viene analizzata per applicare eventuali mitigazioni, controlli e interventi in tempo reale.
Non è quindi una banale questione di controllo degli accessi, ma una valutazione continua e sulla comprensione del rischio, che si esegue continuativamente verificando tutti i segnali di attività di ogni singolo utente. Questa passa per il monitoraggio degli endpoint oltre che per i sistemi di controllo degli accessi. Integrando lo stack SASE, il monitoraggio e il controllo degli endpoint, è possibile fornire in tempo reale l'output di tali analisi, rispondendo ai rischi man mano che emergono.
Qual è l'opzione più adatta dipende dalla struttura aziendale, dalle necessità peculiari di ciascuna impresa e da molti altri aspetti tecnici ed economici. L'importante è condurre valutazioni accurate che tengano in conto di tutti gli aspetti nella loro complessità, e affidarsi per la progettazione e la realizzazione a personale altamente qualificato. Può essere un vendor, oppure un provider, che oltre a realizzare l'infrastruttura la gestisca poi fornendo un servizio esterno di alto livello.
È fuor di dubbio che le risorse in cloud offrano il vantaggio di non costringere chi vi accede a passare dai colli di bottiglia delle VPN. Lato azienda, quasi tutto quello che si può avere in cloud è scalabile, quindi si possono gestire i costi con relativa agilità. Il punto di attenzione è che il cloud va protetto, di più e meglio delle risorse on-premise. E, nonostante l'uso di più servizi anche molti differenti fra loro, occorre una visibilità unica di tutte le risorse in cloud, perché ogni punto cieco è una falla che i cyber criminali sfrutteranno.
Le soluzioni che si propongono per gestire questa delicata fase della trasformazione digitale sono molte. In questa sede parliamo dell'opzione SASE (Secure Access Service Edge). È un termine coniato dagli analisti di Gartner che identifica l'unione fra cyber security e connettività. L'idea risale al 2019, quando il COVID non esisteva, ma la migrazione cloud aveva già connotati importanti. Tanto da far prevedere che trasferire in cloud applicazioni e risorse aziendali avrebbe richiesto un analogo trasloco anche della sicurezza. L'estrema sintesi è che connettività e sicurezza devono risiedere dove sta tutto il resto, altrimenti le cose non funzionano.
Che la previsione fosse particolarmente azzeccata ce ne siamo resi conto nell'ultimo anno. Molte aziende hanno spostato in cloud dati e applicazioni ma hanno mantenuto on-premise gli stack di sicurezza. Si sono così creati quelli che Alessandro Biagini, Regional Sales Manager Forcepoint Italia, definisce due "mondi paralleli" in cui il flusso di dati per tutti gli utenti (anche quelli remoti) continua a passare attraverso un data center centrale, regolato da misure di sicurezza completamente diverse da quelle adottate da alcune applicazioni cloud. Il risultato è una carenza delle prestazioni, latenze elevate ed errori di connessione.
Davanti a questa situazione, e con l'urgenza di far lavorare i dipendenti da casa, molte aziende hanno dovuto permettere ai dipendenti di collegarsi alle risorse direttamente tramite Internet e applicazioni cloud, affidandosi a tecnologie come SD-WAN. Un'opzione interessante, sicuramente da valutare.
SASE è vista da alcuni come la soluzione per soddisfare le nuove esigenze in termini di prestazioni e sicurezza. Consiste nell'implementare un modello di architettura di rete e di sicurezza coerente ma radicale, che prevede il trasloco in cloud di connettività di rete, web, dati, applicazioni e sicurezza. In quest'ambito dev'essere declinato in cloud tutto quello che prima era fisicamente in azienda e che ne costituiva il perimetro: Secure Web Gateway, Firewall as a Service, Cloud Access Security Broker, Data Loss Prevention/ Data Leakage Prevention.
Una particolarità del SASE è che funziona se il controllo degli accessi funziona. Da qui il matrimonio virtuoso fra SASE e Zero Trust. Non Zero Trust inteso come un prodotto o come un componente, ma come filosofia. Consiste nell'applicare il noto paradigma di sicurezza che rimpiazza la fiducia implicita con livelli di rischio/fiducia espliciti, valutati continuamente in base al contesto nel quale ogni singola operazione e interazione viene analizzata per applicare eventuali mitigazioni, controlli e interventi in tempo reale.
Non è quindi una banale questione di controllo degli accessi, ma una valutazione continua e sulla comprensione del rischio, che si esegue continuativamente verificando tutti i segnali di attività di ogni singolo utente. Questa passa per il monitoraggio degli endpoint oltre che per i sistemi di controllo degli accessi. Integrando lo stack SASE, il monitoraggio e il controllo degli endpoint, è possibile fornire in tempo reale l'output di tali analisi, rispondendo ai rischi man mano che emergono.
Qual è l'opzione più adatta dipende dalla struttura aziendale, dalle necessità peculiari di ciascuna impresa e da molti altri aspetti tecnici ed economici. L'importante è condurre valutazioni accurate che tengano in conto di tutti gli aspetti nella loro complessità, e affidarsi per la progettazione e la realizzazione a personale altamente qualificato. Può essere un vendor, oppure un provider, che oltre a realizzare l'infrastruttura la gestisca poi fornendo un servizio esterno di alto livello.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
