SASE e zero trust a confronto: quali sono le principali differenze

Perché il SASE e lo zero trust sono importanti

SASE e zero trust esistono a causa delle carenze insite nei metodi tradizionali di sicurezza e connettività. Nello specifico si tratta di strategie troppo datate che non sono state concepite per garantire una connettività sicura tra applicazioni cloud e utenti in remoto.

Il problema principale riguarda l'evoluzione e la portata. Un tempo le organizzazioni operavano con la maggior parte dei dipendenti in ufficio, che accedevano ad applicazioni e dati nel data center aziendale. In questo contesto aveva senso fornire connettività e sicurezza nel data center, e per i pochi dipendenti in viaggio o in remoto bastava una VPN che instradasse il traffico verso il data center.

Oggi, però, nell'era del cloud e del lavoro da remoto, sono molte di più le attività che si svolgono al di fuori dell'ufficio, anziché al suo interno. Utenti, dati, dispositivi e applicazioni possono essere praticamente ovunque. Cercare di adattare i metodi tradizionali per fornire sicurezza e connettività dal data center significa dover instradare il traffico da tutto il mondo verso delle sedi centralizzate. Attenersi a questo tipo di architettura incentrata sulla rete incrementa il rischio informatico e introduce latenza, danneggiando l'esperienza utente. 

Con la crescita del lavoro da remoto e dell'adozione del cloud, il SASE e lo zero trust stanno rivoluzionando il modo in cui le organizzazioni erogano la sicurezza e la connettività negli ambienti decentralizzati.

Cosa si intende per zero trust?

Lo zero trust è un'architettura basata su un principio chiave: "fidarsi mai, verificare sempre" secondo cui l'attendibilità non viene mai concessa di default ad alcuna entità (utenti, workload o dispositivi connessi); al contrario, prima di concedere l'accesso, il traffico viene intercettato e ogni singola entità viene costantemente verificata in base al contesto e al rischio.

Invece di collegare le entità a una rete considerata attendibile per accedere alle risorse IT, l'architettura zero trust connette le entità direttamente alle risorse, senza estendere l'accesso alla rete. In altre parole, applica una microsegmentazione estremamente granulare. Questa comunicazione zero trust viene erogata come servizio all'edge, da un cloud globale appositamente progettato.

Un'architettura zero trust consente alle organizzazioni di superare i rischi insiti nelle architetture incentrate sulla rete, per:

• Ridurre al minimo la superficie di attacco eliminando indirizzi IP pubblici e connessioni in entrata
• Bloccare le compromissioni ispezionando tutto il traffico (anche TLS/SSL) e applicando policy in tempo reale
• Impedire il movimento laterale delle minacce sulla rete grazie alla connettività diretta alle applicazioni
• Prevenire la perdita dei dati attraverso qualsiasi canale di fuga, come web, SaaS, endpoint e altro

Cos'è il SASE?

Il SASE (Secure Access Service Edge) è un paradigma di rete e sicurezza che combina la funzionalità di una rete WAN definita dal software (SD-WAN) con il Security Service Edge (SSE), creando una piattaforma consolidata che riunisce diverse soluzioni:

• SD-WAN per collegare sedi a livello globale e instradare dinamicamente il traffico di rete
• Secure web gateway (SWG) per filtrare e proteggere il traffico web
• ZTNA (Zero Trust Network Access) per proteggere l'accesso alle applicazioni private
• CASB (Cloud Access Security Broker) per monitorare e controllare l'uso del SaaS
• Prevenzione della perdita dei dati (Data Loss Prevention, DLP) per proteggere l'accesso ai dati sensibili
• Firewall come servizio (Firewall as a Service, FWaaS) per ispezionare altro traffico e applicare la prevenzione delle minacce

Zero Trust e SASE: analogie e differenze

Zero Trust e SASE condividono obiettivi come migliorare la sicurezza, ottimizzare l'esperienza utente e ridurre la complessità. Dove differiscono è nel modo in cui forniscono connettività e mitigano i rischi. Scollegando sicurezza e connettività dall'accesso alla rete, Zero Trust supera le sfide legate alle architetture perimetrali e incentrate sulla rete, su cui la maggior parte delle soluzioni SASE ancora si basa.

Questa tabella evidenzia alcune delle principali differenze tra Zero Trust e SASE:

SASE vs. Zero Trust: due domande cruciali

Abbiamo discusso le aree in cui il SASE e Zero Trust si sovrappongono. Entrambi mirano ad aiutare le organizzazioni ad adottare in modo più efficace aspetti del lavoro moderno, come lavoro remoto e applicazioni cloud. Entrambi unificano sicurezza e connettività erogate al perimetro. La differenza chiave tra SASE e Zero Trust, però, risiede in due domande:

1. Connettività sicura per cosa?
2. Connettività sicura a cosa?

Connettività sicura per cosa?
SASE si concentra principalmente nel garantire accesso sicuro alle forze lavoro, perché inizialmente è stato costruito su tre soluzioni principali orientate alla protezione degli utenti: SWG, CASB e ZTNA. Con questi al centro del SASE, lo sviluppo del framework è rimasto incentrato sugli utenti.

L'architettura Zero Trust, invece, mira a proteggere l'accesso all'intero ecosistema IT di un'organizzazione. Può proteggere qualsiasi entità, come forze lavoro (utenti, fornitori, partner B2B), cloud (workload su diversi cloud pubblici) e filiali (compresi dispositivi IoT/OT al loro interno), mentre accedono a qualsiasi destinazione. Dunque, mentre Zero Trust può soddisfare le esigenze del SASE, il contrario potrebbe non essere vero.

Connettività sicura a cosa?
Il SASE generalmente connette gli utenti alla rete per accedere alle applicazioni anch'esse connesse a quella rete. Anche se può fornire questa connettività tramite SD-WAN, si tratta comunque di un'architettura incentrata sulla rete, basata su location affidabili, in contrasto con Zero Trust.

Inoltre, molte soluzioni SD-WAN integrate nel SASE si basano su firewall in ogni sede per la sicurezza, anch'esso non coerente con Zero Trust. Anche lo ZTNA, nominalmente una soluzione “Zero Trust”, spesso funziona collegando gli utenti a una rete instradabile per estendere l'accesso alle applicazioni private.

La maggior parte delle soluzioni SASE, nonostante si presentino come framework moderni, ereditano le limitazioni delle architetture tradizionali incentrate sulla rete:

• Espandono la superficie di attacco esponendo indirizzi IP pubblici, rendendoli vulnerabili alla scoperta da parte dei criminali informatici e che consentono connessioni in entrata.
• Non riescono a impedire la compromissione, basandosi su firewall (virtuali o fisici) che hanno difficoltà a ispezionare e proteggere il traffico cifrato a causa di limiti di scalabilità.
• Permettono il movimento laterale delle minacce concedendo agli utenti un ampio accesso alla rete invece di limitarli alle sole applicazioni necessarie.
• Richiedono un routing complesso tra sedi man mano che le reti si espandono su forze lavoro, filiali e cloud, creando sfide amministrative e di gestione.

In breve, affidarsi a SD-WAN tradizionali e ad altri strumenti orientati alla rete come parte di un'implementazione del SASE è in conflitto con il principio Zero Trust di accesso any-to-any a privilegi minimi. Le organizzazioni che vogliono implementare un SASE che risponda ai requisiti di Zero Trust hanno bisogno di una forma diversa di SD-WAN: la Zero Trust SD-WAN.

Zero Trust SD-WAN e Zero Trust SASE

La Zero Trust SD-WAN è l'elemento di connessione fondamentale che consente a un'implementazione SASE di allinearsi completamente all'architettura Zero Trust. Supera i limiti orientati alla rete della SD-WAN tradizionale e del SASE estendendo l'accesso a privilegi minimi a utenti, dispositivi e workload in filiali, data center e cloud. Fornisce inoltre connettività diretta alla risorsa richiesta, invece che alla rete in cui risiede la risorsa.

Vantaggi di SASE e Zero Trust insieme

Integrare la Zero Trust SD-WAN in un framework SASE completo consente di ottenere un vero Zero Trust SASE, offrendo:

• Maggiore sicurezza: la verifica continua e l'eliminazione della fiducia implicita riducono i rischi informatici su forze lavoro, filiali e cloud.
• Produttività superiore: la connettività Zero Trust diretta al cloud fornisce accesso veloce, sicuro ed esperienze fluide per utenti distribuiti.
• Risparmio sui costi: consolidare strumenti di sicurezza e networking in una piattaforma cloud nativa Zero Trust riduce complessità, costi tecnologici e overhead.

Costruisci un futuro sicuro con Zscaler Zero Trust SASE

Il SASE di Zscaler, basato sull'AI, è stato progettato fin dall'inizio per garantire sicurezza, prestazioni e scalabilità. Con oltre 160 data center globali che elaborano più di 500 miliardi di transazioni al giorno, e con accordi di peering con centinaia di partner nei principali internet exchange a livello mondiale, Zscaler offre Zero Trust senza eguali ovunque.

• Architettura cloud-first: consolida e semplifica l'IT per accelerare l'adozione del cloud, migliorare le esperienze utente e standardizzare tra le varie sedi.
• Ispezione completa TLS/SSL inline: garantisce protezione avanzata dalle minacce e prevenzione della perdita di dati per il 100% del traffico, grazie a un'architettura proxy basata su AI.
• Ottimizzazione delle prestazioni: ottimizza l'instradamento del traffico tramite il peering globale con i principali fornitori di applicazioni e servizi per assicurare esperienze utente di livello superiore.
• Comunicazioni Zero Trust: collega in modo sicuro forze lavoro, filiali e cloud senza fiducia implicita e senza mai portare entità all'interno della tua rete.
• Superficie di attacco zero: rendi invisibili a internet e utenti non autorizzati gli indirizzi IP e la rete. Gli aggressori non possono colpire ciò che non vedono.