Nell’ultimo decennio, le organizzazioni si sono concentrate principalmente sulla difesa del perimetro della rete e sulla protezione dei loro utenti al suo interno. La VPN, nello stesso periodo, ha rappresentato la principale modalità per connettersi alle risorse interne. Nella maggior parte dei casi, costringeva i remote worker a inviare tutto il loro traffico attraverso il firewall aziendale di nuova generazione.
Con la migrazione cloud e la digital transformation, la VPN è diventata un collo di bottiglia che impedisce di scalare. Proprio in questo nuovo contesto sono emersi i cloud access security broker (CASB), tool mirati a mitigare i rischi riguardanti le risorse del cloud quando gli utenti vi accedono dall’interno del perimetro dell’organizzazione.
I CASB possono essere considerati come un insieme di tecnologie e funzionalità per la protezione dell’accesso ai dati. Sono stati introdotti quando l’utente risiedeva ancora all’interno del perimetro dell’organizzazione e avevano come focus la crittografia dei dati a riposo e in transito. Fornivano al perimetro del cloud un livello di ispezione e sicurezza simile a quello del perimetro locale. Molte organizzazioni hanno utilizzato le capacità di analisi dei log del CASB per identificare lo shadow IT. Successivamente, i fornitori di CASB hanno fatto evolvere la propria offerta aggiungendo la Data Loss Prevention (DLP), il secure web gateway (SWG) e altre capacità.
Il cloud e il lavoro remoto generano un nuovo modello di rete
Verso la fine dello scorso decennio, la migrazione al cloud ha accelerato con decisione. Nel 2020, la pandemia ha innescato un cambiamento disruptive, sgretolando il concetto di perimetro locale tradizionale, in ufficio, con il diffondersi di forme di smart working e remote working. Questo significativo cambiamento ha reso necessario un nuovo modello infrastrutturale più adeguato.
Il nuovo approccio doveva proteggere gli utenti dall’accesso ai servizi cloud e alle risorse all’interno del perimetro indipendentemente dalla loro posizione fisica, fornendo gli stessi servizi e controlli di sicurezza della rete. Gartner ha chiamato questo modello Secure Access Service Edge (SASE).
CASB e SASE, però, non sono da intendere come contrapposti l’uno all’altro. Il SASE è una evoluzione naturale del CASB, che comprende anche altre funzionalità in grado di rendere l’architettura IT più adeguata. Il modello di sicurezza SASE è un modello end-to-end. Combina la sicurezza perimetrale con la sicurezza del cloud, incorpora severi controlli di accesso alla rete che seguono i concetti di Zero Trust e include il CASB come una delle sue componenti.
Considerando questo modello e osservando un diagramma dell’architettura SASE, si può individuare la relazione che si crea tra CASB e SASE, notando che il primo può essere posto all’interno del secondo.
Caratteristiche del cloud access security broker
Il punto in comune tra CASB e SASE è la “A” di “accesso”. È necessario distinguere le diverse definizioni di accesso possibili, a seconda che le risorse siano pubblicamente disponibili o private:
- accesso alle applicazioni SaaS di un’organizzazione – come Microsoft 365, Salesforce, repository di codice o altre risorse – che possono essere eseguite nel cloud e utilizzate come servizio, richiedendo la convalida dell’identità dell’utente
- accesso alle risorse IaaS per operazioni di manutenzione e distribuzione in ambienti cloud, come AWS, Google Cloud Platform e Microsoft Azure
- accesso alle risorse del data center aziendale, ai sistemi HR e al software di contabilità, compreso l’accesso remoto di terze parti
Uno degli obiettivi principali del CASB è quello di ridurre il rischio di accesso non autorizzato alle informazioni memorizzate nel cloud e la perdita di questi dati. Più che controllo della sicurezza ciò che effettua è un controllo del rischio
Quando il CASB è stato sviluppato, aveva tre obiettivi: la prevenzione dello shadow IT, la crittografia e il blocco del caricamento di informazioni riservate su applicazioni cloud non approvate. Ma non fa solo questo: cerca anche di controllare l’accesso ad applicazioni autorizzate da parte di utenti non autorizzati. Un’altra sua caratteristica è quella di identificare le informazioni sensibili e utilizzare la policy definita dall’azienda per limitarne l’accesso. In alcuni casi utilizza l’analisi del comportamento degli utenti e delle entità.
Caratteristiche di Secure Access Service Edge
Uno dei vantaggi fondamentali di SASE è rappresentato dallo Zero Trust Network Access (ZTNA). I remote workers lo usano per accedere alle risorse aziendali, vengono autenticati e accedono al livello delle applicazioni a loro attribuito, in linea con quanto richiesto dalle linee guida per la cybersecurity.
Nei primi anni di vita del SASE, i dispositivi software-defined WAN (SD-WAN) erano strettamente accoppiati agli SWG. Per le aziende con più sedi, questo permetteva un onboarding veloce e facilitava il controllo e l’ottimizzazione dei collegamenti ISP.
Con lo smart working, molti provider SWG hanno sviluppato un client per l’utente finale che indirizza il traffico in modo sicuro verso il punto di presenza ad essi più vicino. In questo modo, i lavoratori possono beneficiare dello stesso livello di sicurezza, indipendentemente dalla loro posizione. L’unico requisito è una connessione internet. Quando gli utenti tornano in ufficio, non devono spegnere il client, ma mantenere gli stessi livelli di sicurezza.
Oggi, la funzione dei dispositivi SD-WAN è principalmente quella di collegare le sedi aziendali, proteggere i server e altri dispositivi dove il client non può essere installato e fornire l’accesso ai sistemi legacy che non possono essere spostati nel cloud.
È meglio avere funzioni di sicurezza SASE come CASB, DLP, SWG e ZTNA, sotto un unico provider per ottenere un migliore instradamento del traffico, un accurato monitoraggio e una più efficiente risoluzione dei problemi. Il fattore più importante è però la presenza di un’unica dashboard di controllo per la creazione di policy di sicurezza. Così si riduce il numero di client installati sui dispositivi degli utenti, si facilita la creazione di policy e la risoluzione di problemi. Può anche aiutare a selezionare metriche migliori su cui basare il proprio programma di sicurezza e potenziare la gestione del sistema aumentando la visibilità.
Gartner ha iniziato a considerare come nuovo mercato il verticale dei security service edge (SSE), mettendo tutti i componenti di sicurezza sotto un unico ombrello. Sono esclusi gli elementi legati alla rete, come SD-WAN che converge con il SSE nel modello SASE.