Che cos’è il Security Service Edge?

Security Service Edge, o SSE, come definito da Gartner nell’Hype Cycle for Cloud Security nel 2021, è la componente di sicurezza del SASE che protegge l’accesso al web, alle applicazioni SaaS e alle applicazioni private. Include funzionalità di sicurezza avanzate come Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) e Firewall as a Service (FWaaS).

Spiegazione di Security Service Edge (SSE)

Con l'emergere degli ambienti di lavoro ibridi, gli utenti si connettono da qualsiasi luogo e da qualsiasi dispositivo, accedendo alle applicazioni aziendali e ai dati sensibili direttamente nel cloud. Poiché il perimetro di sicurezza tradizionale continua a dissolversi, anche le funzioni di sicurezza devono spostarsi nel cloud. L'SSE consente alle organizzazioni di applicare una sicurezza coerente nel cloud e di proteggere l'accesso alle applicazioni distribuite su più cloud, data center e applicazioni software-as-a-service. Una soluzione SSE, se combinata con una SD-WAN avanzata, crea un'architettura Secure Access Service Edge (SASE) che migliora significativamente la qualità dell'esperienza dell'utente finale per le applicazioni ospitate nel cloud.

Come funziona l’SSE?

Una soluzione SSE protegge l’accesso remoto al web, ai servizi cloud e alle applicazioni private.

Tradizionalmente, le aziende ospitavano centralmente le proprie applicazioni in data center, facilitando una serie di ispezioni di sicurezza come firewall e IDS/IPS. Con lo spostamento delle applicazioni verso il cloud e le iniziative di lavoro in remoto, le aziende faticano a proteggere le applicazioni dalle minacce esterne, in quanto operano in ambienti distribuiti al di fuori del perimetro di sicurezza tradizionale. Le infrastrutture di rete esistenti impediscono ai reparti IT di monitorare tutte le connessioni tra gli utenti e le applicazioni SaaS. Inoltre, l’indirizzamento del traffico destinato al cloud verso il data center per l’ispezione della sicurezza ha un impatto significativo e negativo sulle prestazioni delle applicazioni e sull’esperienza utente.

Le soluzioni Security Service Edge sono servizi forniti nel cloud che consentono alle organizzazioni di eseguire ispezioni di sicurezza avanzate più vicine agli endpoint, compresi utenti e dispositivi. Creano un perimetro di sicurezza dinamico che fornisce protezione dalle minacce, sicurezza dei dati, monitoraggio della sicurezza e controllo degli accessi indipendentemente dal luogo in cui gli utenti si connettono.

Componenti di SSE

Security Service Edge (SSE) comprende quattro componenti di sicurezza fondamentali:

  • ZTNA
    ZTNA parte dal presupposto che, per impostazione predefinita, nessun utente possa accedere a nulla fino a prova contraria. A differenza di una VPN, che offre agli utenti connessi un ampio accesso alla rete aziendale, ZTNA limita l’accesso dell’utente, tramite un trust broker, solo a specifiche applicazioni o microsegmenti approvati per l’utente.
  • CASB
    CASB identifica e rileva i dati sensibili nelle applicazioni cloud, compreso l’accesso cloud-to-cloud e applica politiche di sicurezza come l’autenticazione e il Single Sign On (SSO). Evita che gli utenti si iscrivano e utilizzino applicazioni cloud non autorizzate dalle politiche IT e di sicurezza dell’organizzazione. Ciò consente alle organizzazioni di ridurre lo shadow IT che causa problemi di sicurezza e conformità.
  • SWG
    SWG protegge le organizzazioni dalle minacce basate sul web utilizzando diverse tecniche di difesa. Si interpone tra l’utente e un sito web, in modo che gli utenti si connettano alla soluzione SWG, che esegue diverse ispezioni di sicurezza, tra cui il filtraggio degli URL, il rilevamento di codice maligno e il controllo di accesso al web, per poi reindirizzare il traffico al sito web.
  • FWaaS
    FWaaS è un firewall basato sul cloud che analizza il traffico proveniente da più sorgenti. FWaaS consolida il traffico proveniente da più sedi gestite dall’organizzazione, tra cui la sede centrale, le filiali remote e gli utenti mobili. FWaaS spesso supporta controlli di accesso critici come IDS/IPS, prevenzione avanzata delle minacce, filtraggio degli URL e sicurezza DNS.
  • Oltre alle funzionalità principali di cui in precedenza, possono essere offerti altri servizi di sicurezza quali la prevenzione della perdita di dati (Data Loss Prevention, DLP), l’isolamento del browser da remoto (Remote Browser Isolation, RBI) e il sandboxing.

Qual è la differenza tra SSE e SASE?

Nel 2019, Gartner ha coniato il termine SASE (Secure Access Service Edge) per combinare le funzionalità SD-WAN con i servizi di sicurezza forniti nel cloud. Sebbene la rete e la sicurezza siano strettamente correlate, rimangono due ambiti di competenza diversi e molto complessi. La sicurezza si evolve rapidamente per garantire la protezione contro i rischi di cybersecurity in continua evoluzione, mentre la wide area network si occupa di fornire connessioni veloci, solide e flessibili. Inoltre, la sicurezza e la rete sono in genere gestiti da team diversi.

All’inizio del 2022, Gartner ha pubblicato il Magic Quadrant SSE, una nuova categoria per la componente di sicurezza fornita nel cloud di SASE. SSE definisce l’insieme dei servizi di sicurezza che contribuiscono a realizzare la visione di sicurezza di SASE, mentre SD-WAN definisce i requisiti di funzionalità di rete edge WAN di SASE.

In breve, SASE = SD-WAN + SSE

SASE = SD-WAN + SSE

Perché dovrei prendere in considerazione SSE?

  • SSE fornisce accesso remoto sicuro
    Dal momento che il lavoro ibrido è la nuova norma, le aziende devono proteggere i lavoratori da remoto in modo che possano connettersi da qualsiasi luogo. SSE offre funzionalità Zero Trust che presuppongono che, per impostazione predefinita, nessun utente sia affidabile. In base all’identificazione, gli utenti possono accedere a determinate parti della rete e vedere solo le applicazioni cloud rilevanti per il loro ruolo nell’organizzazione, impedendo loro di accedere e sfruttare i dati aziendali sensibili.
  • SSE protegge le organizzazioni cloud-first dalle minacce esterne
    Con l’accelerazione della digitalizzazione, la criminalità informatica è cresciuta di pari passo. Dal momento che la maggior parte delle applicazioni si è spostata nel cloud, le organizzazioni devono trovare modi efficaci per proteggere i propri asset digitali. SSE offre funzionalità firewall e protegge le organizzazioni dalle minacce basate sul web utilizzando diverse tecniche, come il filtraggio degli URL e il rilevamento di codice maligno. Grazie alle sue funzioni CASB, protegge i dati sensibili ospitati nel cloud applicando le politiche di sicurezza. Altre funzionalità di sicurezza, come l’isolamento del browser da remoto (Remote Browser Isolation, RBI), isolano gli utenti web da Internet ricostruendo pagine web prive di codice maligno.
  • SSE aiuta a costruire un SASE migliore con una SD-WAN avanzata
    Grazie alla stretta integrazione con più fornitori di SSE, una soluzione SD-WAN avanzata consente alle organizzazioni di costruire un’architettura SASE migliore senza compromettere le prestazioni o la sicurezza. Le organizzazioni hanno la libertà di scegliere le migliori soluzioni SSE. Per integrarsi con le soluzioni SSE, una SD-WAN avanzata può automatizzare la configurazione di tunnel sicuri tra le filiali e i punti di presenza SSE, identificare le applicazioni sul primo pacchetto, assegnare politiche al traffico proveniente da applicazioni specifiche e instradare automaticamente il traffico verso un servizio SSE in base alle politiche di sicurezza impostate dalle organizzazioni.

Quali sono i vantaggi dell'SSE?

  • Miglioramento della sicurezza
    SSE avvicina la sicurezza all’utente e consente un approccio più flessibile alla connettività al di fuori delle mura aziendali. Ospitato nel cloud, SSE è facilmente aggiornabile per affrontare le più recenti minacce alla sicurezza e le modifiche alle politiche possono essere trasmesse immediatamente e automaticamente agli utenti remoti, fornendo un approccio coerente alla sicurezza.
  • Operazioni semplificate
    SSE unifica diversi servizi di sicurezza in un’unica piattaforma, eliminando le sovrapposizioni e sfruttando i vantaggi di un’unica piattaforma attraverso la deduplicazione e l’armonizzazione delle politiche di sicurezza. Fornisce una maggiore visibilità sugli incidenti di sicurezza da una posizione centrale e contribuisce a semplificare le operazioni e a ridurre i costi.
  • SASE migliore
    Grazie a due funzionalità distinte, SD-WAN e SSE, le aziende possono scegliere le migliori funzionalità di rete e di sicurezza che si adattano alle loro esigenze per costruire un’architettura SASE migliore. Inoltre, le soluzioni SD-WAN avanzate consentono alle organizzazioni di andare oltre il SASE e di proteggere i dispositivi IoT, integrando funzionalità firewall di prossima generazione che segmentano dinamicamente la rete in base al ruolo e all’identità.

Si comincia!