Fino a tempi relativamente recenti, la maggior parte delle aziende ospitava i propri dati e le proprie applicazioni in data center gestiti internamente. Di conseguenza, il ruolo dei responsabili delle reti e dell’infrastruttura aziendali era principalmente quello di supportare la connettività sicura al data center. I servizi di sicurezza che ispezionavano il traffico e applicavano le policy avevano alcune caratteristiche in comune: proteggevano il traffico che scorreva da e verso il data center e avevano la forma di appliance collocate nei data center. Negli ultimi anni, i dati e le applicazioni sono migrati dal data center al cloud. Due esempi sono Microsoft Office 365, per le attività di produttività dell’ufficio e Salesforce.com, per l’automazione delle vendite e la gestione delle relazioni con i clienti. Di conseguenza, non è più realistico considerare il data center come l’unica preoccupazione per la connettività, oltre che per la sicurezza. Al contrario, l’obiettivo principale diventa l’utente e le sue varie esigenze. L’enfasi è ora su una piattaforma integrata di connettività con servizi di sicurezza incorporati. Dal punto di vista dell’utente, questa architettura semplifica l’accesso sicuro e protetto alle applicazioni Web, cloud, SaaS e private. Dal punto di vista dell’IT aziendale, ecco che l’approccio SSE (Security Service Edge) risulta interessante, perché sostituisce un mix di diverse tecnologie di connettività e sicurezza. Forse ancora più importante, l’approccio tradizionale non è più praticabile: una raccolta di dispositivi fisici o virtuali collegati in cascata all’interno di un data center semplicemente non funzionerà più dopo che applicazioni, utenti e dati si sono spostati nel cloud. SSE può diventare il modo in cui ogni utente raggiunge ogni servizio. Combina i migliori aspetti di una WAN aziendale e di Internet, con una connettività sicura ad alte prestazioni verso un’ampia raccolta di destinazioni.
SSE è anche un percorso per il flusso del traffico tra utenti e servizi applicativi; una serie di meccanismi di ispezione e applicazione delle policy per evitare problemi di sicurezza come malware o fuga di dati; e un mezzo per isolare i servizi pubblici di un’organizzazione dalle connessioni Internet dirette, rendendoli più difficili da rilevare e attaccare, oltre a mitigare il rischio di movimento laterale.
Quali sono i requisiti principali di cloud security per SSE?
Alla base di SSE c’è un security cloud. In termini più semplici, i requisiti chiave di un security cloud sono un’architettura distribuita, con calcoli relativamente intensi eseguiti in un numero relativamente ampio di siti, e strumenti di gestione e visibilità sufficienti per creare un servizio elastico ma ad alte prestazioni.
In generale, un security cloud deve:
- Supportare le connessioni di utenti aziendali di tutto il mondo, su diversi dispositivi. Parte di tale diversità include sia i dispositivi gestiti dall’IT che i dispositivi non gestiti dall’IT (questi ultimi chiamati “bring your own device” o “BYOD”)
- Controllare l’accesso a una varietà di servizi cloud, inclusi diversi servizi SaaS e workload di app aziendali che possono essere implementati in una disposizione multi-cloud
- Eseguire l’ispezione e l’applicazione delle policy sul traffico aziendale che viaggia tra utenti e servizi cloud
- Mantenere la corretta localizzazione e le informazioni di prossimità per ogni combinazione possibile di utente/servizio
- Essere veloce. Più specificamente, un security cloud deve essere sufficientemente veloce in modo che l’esperienza utente non motivi gli utenti a bypassare o rifiutare i controlli di sicurezza forniti dal security cloud
I problemi chiave per avere prestazioni ottimali sono la distanza (vincoli di velocità della luce) e l’attraversamento di reti multiple (peering e vincoli di mercato). Entrambi questi problemi sono ben noti agli architetti di rete e cloud. Un’implementazione centralizzata di un security cloud globale non può raggiungere prestazioni elevate. Al contrario, i servizi di sicurezza devono essere distribuiti a livello globale per offrire vantaggi SSE: sia in termini di prestazioni, sia in termini di disponibilità e resilienza.
Sarebbe bello se potessimo semplicemente costruire un security cloud globale in un cloud pubblico e chiamarlo SSE, ma sfortunatamente le cose non funzionano in questo modo, almeno, non se vogliamo ottenere i migliori risultati. Invece, un security cloud globale moderno è un tipo diverso di cloud. Deve effettivamente combinare le intense capacità di elaborazione di un cloud pubblico con la portata globale di una rete di distribuzione dei contenuti (Content Delivery Network, CDN).
Realizzare la promessa di SSE – e, in definitiva, la sicurezza e la convergenza di rete di SASE – richiede la risoluzione di questi problemi di prestazioni. Di conseguenza, è fondamentale per i clienti che prendono decisioni di investimento comprendere le scelte architettoniche di un vendor in quest’area. Netskope NewEdge è un security private cloud unico che utilizza informazioni dettagliate, rapide, native in cloud e incentrate sui dati, costruite da zero per SSE e SASE, con Service Level Agreements leader del settore.
Per un’analisi più approfondita sulle considerazioni di rete e infrastruttura in questa era in rapida evoluzione di SSE e SASE, è possibile scaricare una copia gratuita di “The Network Is the Security: Perspective On the Design & Implementation of Security Clouds” di Mark Day, Chief Scientist e Distinguished Network Advisor di Netskope.
Per maggiori informazioni: https://www.netskope.com/platform/newedge
