Proviamo a spiegare in modo molto terra terra una tecnologia di per sè non complessa ma che, andando a cambiare dei paradigmi, a volte si fatica a comprendere. Prima di tutto, giusto per dare un orientamento, l’ambito è in primis la cybersecurity, e, in secondo luogo, la Wan.
SASE, acronimo di Secure Access Service Edge, è quindi un INSIEME di features erogate via SaaS da un determinato provider che combinano le modalità di ACCESSO e di SECURITY alla rete.
Questa la teoria, che ancora non spiega. Andiamo dunque alla pratica.
Partiamo dagli elementi principali che compongono la soluzione, che sono due in tutto:
- Un’appliance hardware o un client software (dipende se dobbiamo collegare un’intera rete o un singolo utente).
- Un servizio in Saas erogato dal provider.
Di fatto, l’appliance, che di per sé è un firewall layer 4 (per gestire il routing della LAN), o le appliance se abbiamo più sedi, o le appliance ed i vari client software se abbiamo più sedi ed utenti remoti, si collegano al servizio Saas del vendor tramite una VPN (o analogo) ed INOLTRANO verso questo servizio Saas tutto (non necessariamente ma ci arriviamo dopo, vedi sotto nei vantaggi punto 1. B.) il traffico dati.
Finito. Questo è di fatto quello che succede. Bene, e quindi?
E quindi, visto che noi come organizzazione siamo tutti collegati in modo sicuro alla piattaforma del provider, sarà la piattaforma del provider stessa che si occuperà di farci uscire in internet fornendoci un SACCO di servizi. Quali? Di fatto, tutti quelli possibili.
Ci farà navigare protetti da un firewall layer 7, con un secure web gateway, con funzionalità di data loss prevention, con funzionalità di CASB (cloud access security broker) etc. etc.
Dulcis in fundo, visto che siamo già tutti collegati alla piattaforma del vendor mediante una QUALSIASI connettività tradizionale, ci fornirà del servizio di SD-WAN tra i vari componenti dell’organizzazione collegati.
Vogliamo banalizzare? È come usare un’appliance con sopra Linux che fa da firewall stateful, molto anni novanta di suo, che demanda ad una piattaforma in cloud tutti i servizi evoluti di security.
That’s all folks.
Ecco uno schema che esplica quanto appena descritto:
Aggiungiamo alcune note perché nello schema compaiono due elementi non spiegati prima.
- Applicazioni SaaS O piattaforme IaaS o PaaS di terze parti: nulla ci vieta, andando ad installare l’agent software su una virtual machine su Azure o AWS, di “tirare dentro” alla nostra piattaforma (con tutti i servizi di sicurezza sopra descritti) anche risorse remote in cloud, come server di backup, ambienti di disaster recovery as a service, web server o altro.
- E si, l’uscita verso internet pubblico avverrà dalla piattaforma del provider secondo le regole di security che noi abbiamo impostato sulla piattaforma.
Andiamo ora a vedere i VANTAGGI, in modo MOLTO rapido, di questa soluzione.
- Contrariamente a quanto molti pensano, è un’architettura FLESSIBILE. Avendo a disposizione un’appliance con funzionalità di firewall classico, possiamo tranquillamente:
- Attestarci le vpn di chi mi fa il telecontrollo o con il fornitore di turno.
- Posso decidere quale traffico indirizzare verso il provider Sase e quale no. Ad esempio gli utenti guest li posso far navigare diretti, come posso fare un tunnel vpn da sede a sede senza passare dal cloud se ho del traffico intercompany per repliche di backup, disaster recovery o altro.
- Se non mi servono le feature di SD-Wan e correlate, posso attivare solo la parte di security (Firewall as a service).
- La piattaforma è gestita dal provider, quindi dimentichiamoci tutti i concetti di patching, upgrade, aggiornamenti o altro che facevamo prima sui nostri firewall tradizionali.
- Il provider, che è generalmente una società internazionale con un certo numero di risorse ed un certo numero di clienti sparsi per il globo (che si collegano alla sua piattaforma), ha una visibilità a livello di minacce (ad es. zero day o di vulnerabilità) ed una capacità di reazione che fino ad ora era impensabile.
- Si riesce a garantire anche per gli utenti remoti lo stesso livello di security che avrebbero se fossero dentro il perimetro aziendale protetti dal loro bel firewall fisico.
- Avere un’unica interfaccia di gestione per tutte le componenti sopra esposte (wan, firewall as a service etc.)
- Posso eliminare, se presenti, le MPLS, che oltre ad essere relativamente costose non forniscono al CLIENTE controllo e flessibilità.
- Ci consente, grazie alla funzionalità di SD-WAN, di poter acquistare connettività dal miglior offerente per ogni location in cui dobbiamo collegarci, perché alla fine serve l’ultimo miglio per poter collegarsi alla piattaforma e basta.
- Aumenta notevolmente la visibilità ed il controllo che abbiamo su molti aspetti, ad esempio sulle performance della connettività (il provider mi garantisce 50Mbit/sec, ma me li sta fornendo realmente?), sul controllo degli utenti remoti (enforcement delle policy, zero trust etc.), sull’utilizzo delle applicazioni cloud (grazie al CASB) etc. etc.
Queste solo per citarne alcune.
Ed i difetti?
Onestamente, più che difetti ci potrebbero essere organizzazioni in cui i vantaggi sono limitati, come ad esempio società con una sola sede che non praticano smart-working per i collaboratori, e che magari utilizzano poche soluzioni cloud. Ecco che in questo caso, il classico firewall in alta affidabilità che magari mi dura dieci anni, di sicuro mi costa di meno, anche se mi offre meno ma magari non così tanto.
Dubbi, domande e/o maggiori informazioni?
Chiamaci al numero +39 045 2456669, invia una mail a info@nexsys.it o compila il form di richiesta informazioni.