Il mondo della security ruota spesso intorno a sigle e acronimi che, nel giro di poco tempo, riescono a guadagnarsi un ruolo centrale nella definizione delle strategie di protezione dei servizi IT. Il concetto di SASE (Secure Access Service Edge) rappresenta la nuova frontiera nella gestione del controllo delle applicazioni a livello di rete. Secondo gli esperti, la “distribuzione” della gestione non interesserà solo la sicurezza, ma avrà un impatto molto più ampio che porterà a ridisegnare processi e strategie.
L’evaporazione del concetto di perimetro
L’evoluzione dei sistemi IT a cui abbiamo assistito negli ultimi anni ha portato, sotto il profilo della cyber security, a una vera e propria rivoluzione. La tradizionale impostazione legata alla protezione del “perimetro”, inteso come quell’area definita dall’estensione della rete aziendale, ha infatti lasciato il posto a una interpretazione di sicurezza informatica che deve fare i conti con un livello di articolazione e complessità decisamente più elevato.
Nel panorama attuale, individuare un perimetro definito che separi un “dentro” e un “fuori” nel network aziendale diventa estremamente problematico. All’origine di questo cambiamento ci sono molteplici fattori: dall’adozione sempre più estesa di forme di lavoro “agile” che prevedono connessioni in remoto e in mobilità, alla distribuzione degli stessi servizi digitali e delle risorse aziendali, che non sono necessariamente collocate all’interno di una struttura fisica. Insomma: la concezione di “rete” è cambiata radicalmente ed è molto più diffusa di quanto non fosse in passato
La sua estensione richiede un approccio completamente diverso e un cambio di strategia nella concezione stessa di cyber security. «In questo nuovo quadro, definire un perimetro è impossibile», spiega Cosimo Rizzo di NovaNext. «I confini, in pratica, si espandono comprendendo qualsiasi punto di accesso che consente l’utilizzo di servizi o risorse».
Who's Who
Cosimo Rizzo
Dal cloud alla mobilità: non esiste più un centro
I fenomeni accennati rendono perfettamente l’idea della metamorfosi che ha interessato il settore IT e le ricadute che questo rivolgimento ha sulle logiche di cyber security, portando a una concezione di rete estremamente estesa e decentrata. In uno scenario come quello descritto, infatti, è possibile che un utente si colleghi attraverso il suo dispositivo mobile a un servizio che è erogato dal cloud al di fuori della sfera fisica del network aziendale. Uno scenario in cui (per lo meno sotto un profilo fisico) la rete aziendale non è coinvolta, ma le risorse cui accede il dispositivo fanno a tutti gli effetti parte del patrimonio aziendale. In altre parole, l’idea di definire dei “nodi” che consentano di controllare il traffico e gli eventi di sicurezza si scontra con una realtà in cui le geometrie di trasmissione dei dati possono variare in base alle condizioni e sfuggire, di conseguenza, ai tradizionali sistemi di controllo.
Un cambio di prospettiva
La dissoluzione della prospettiva “geografica” a livello di gestione di sicurezza comporta uno spostamento delle logiche di controllo su altri aspetti. In particolare, la nuova declinazione della cyber security si focalizza non più sulla collocazione degli utenti, quanto sulla protezione e gestione dell’identità: dall’account al dispositivo utilizzato per accedere al network. «Il concetto di SASE, come definito anche da Gartner, estende il controllo di sicurezza oltre il perimetro, in qualsiasi fase dell’attività a livello IT» conferma Rizzo. Una rappresentazione “visiva” dell’approccio basato su SASE, di conseguenza, non è più quello di una linea che delimita un perimetro, ma di una “texture” che copre un’intera area, in cui i controlli di sicurezza sono spalmati a ogni livello: dall’accesso alla gestione dei privilegi dei singoli utenti. «Le policy di sicurezza a livello di Secure Access Service Edge intersecano ogni attività degli utenti» spiega Rizzo.
Implementare la security attraverso un framework
La filosofia SASE propone, in pratica la disponibilità di una piattaforma che consente di avere a disposizione strumenti di autenticazione e di monitoraggio erogati in maniera nativa che superano le tradizionali distinzioni tra on premise, cloud privato o cloud pubblico. Dal firewall alla verifica degli accessi, passando anche per le funzionalità anti-malware e di intrusion prevention vengono erogati già a livello della rete estesa (SD-WAN) contando su un sistema centralizzato di controllo che permette anche di ottimizzare il traffico e gestirne il monitoraggio senza doversi preoccupare di eventuali problemi di compatibilità e dialogo tra i vari livelli.
«SASE consolida numerose capacità e funzioni di reti e sicurezza in un’unica piattaforma integrata e nativamente in cloud» sintetizza Cosimo Rizzo. «La declinazione di questa filosofia varia a seconda delle soluzioni messe a punto dalle varie aziende, ma l’orizzonte verso cui ci si muove è quello di offrire alle aziende una nuova modalità di approcciare la gestione dei servizi facendo piazza pulita delle complessità, mettendole a sistema», aggiunge.
SASE: Un cambio di prospettiva
L’approccio basato sulla Secure Access Service Edge, in definitiva, è una prospettiva che interessa non solo l’ambito della cyber security, ma anche la gestione a livello logistico e la stessa architettura delle infrastrutture IT. Un vero e proprio cambio di prospettiva che, oltre ad aumentare il livello di sicurezza complessivo, permetterà di gestire con maggiore semplicità quegli strumenti, distribuiti tra infrastrutture aziendali e servizi cloud che, a oggi, si collocano in una sorta di “area grigia” che crea qualche problema a livello di amministrazione. Questa forma di integrazione tra sicurezza e gestione della rete rappresenta, secondo molti osservatori, un livello di convergenza ormai necessario per consentire alle imprese di governare l’evoluzione dell’IT attraverso un’unica piattaforma facilmente accessibile.
