Quando si tratta di proteggere un’organizzazione ci sono molte domande a cui rispondere. Dove si trovano, in prevalenza, gli utenti: onsite o da remoto? Ci saranno cambiamenti nei prossimi anni? L’organizzazione usa applicazioni on premise residenti nel data center o usa soprattutto applicazioni cloud? Quanto sono eterogenee le applicazioni e i dati da cui dipende la produttività degli utenti?
Non esistono due organizzazioni uguali: alcune possiedono applicazioni personalizzate specifiche per il proprio settore di attività, altre utilizzano solo le applicazioni di uso comune in ambienti di lavoro tra i più disparati. Se uniamo questo fattore alla presenza di siti distribuiti su diverse aree geografiche, ognuna con i propri service provider che supportano i link e i controlli di sicurezza ciascuno con un proprio sistema di controllo, possiamo avere un’idea del numero di variabili che devono essere prese in considerazione.
Una volta che l’organizzazione ha compreso questi concetti, appare chiaro quanto sia complesso proteggerne l’infrastruttura. Per i team responsabili della sicurezza dell’infrastruttura aziendale, proteggere questo groviglio di tecnologie è, da oltre vent’anni, un’operazione di bilanciamento tra diverse esigenze.
IDS, IPS, firewall, protezione degli endpoint, Secure Web Gateway e molte altre singole tecnologie richiedono competenze specifiche, unite a una conoscenza dei domini di applicazione e a investimenti operativi su diversi livelli, prima per l’implementazione e poi per renderle operative e correttamente funzionanti. Non si tratta di tecnologie che si possono installare e dimenticare, ma devono essere adattate al mutare delle condizioni, anche perché i nemici raramente riposano.
Mike Spanbauer, Senior Director and Technology Evangelist, Security, Juniper NetworksNegli ultimi anni abbiamo osservato un crescente interesse nella migrazione di queste tecnologie verso servizi cloud, disponibili in “pacchetti” predefiniti. Del resto, chi sa mettere a punto queste tecnologie meglio di chi le ha sviluppate, implementate e le gestisce tutti i giorni? Questo concetto innovativo è conosciuto con diverse definizioni, ma quella di cui si sente parlare più spesso è di Gartner:
Secure Access Service Edge (SASE).
Percorsi diversi per esigenze diverse
Lavorando con molti vendor dell’ecosistema sicurezza è possibile apprezzare quanto
SASE sia interessante per le aziende di ogni dimensione. Concettualmente, SASE si propone di rendere disponibili molte delle funzionalità chiave che le architetture di sicurezza vogliono fornire:
- Uptime
- Frequente messa a punto dell’efficacia della protezione
- Flessibilità di implementazione
- Semplicità d’uso
Questo concetto funziona bene per nuovi siti o per la migrazione a questi servizi. Ma quasi tutte le organizzazioni hanno già dei processi in essere o hanno magari già investito in qualche tecnologia - il che rende una migrazione totale difficile se non impossibile. Di conseguenza, per molte organizzazioni si tratterà di progetti a lungo termine, a causa delle interdipendenze tra applicazioni e servizi, resistenze degli stakeholder interni ed esigenze di uptime che non permettono di trovare un’unica finestra operativa nella quale eseguire la migrazione.
Per i clienti che ancora hanno applicazioni nel proprio data center e usano SaaS e/o applicazioni ospitate in un cloud pubblico può essere complicato cogliere i benefici operativi di SASE. Quando si analizzano i problemi relativi alle applicazioni o all’esperienza utente, la coerenza delle policy è essenziale. Spesso si hanno diversi motori di policy in cui le configurazioni sono tali da rendere difficile o impossibile risolvere i conflitti. Si crea così una nuova sfida operativa che offusca la visibilità, anziché migliorarla. Se uno dei cardini di questa nuova visione della sicurezza è l’agilità operativa, uno degli obiettivi dovrebbe essere avere un unico motore di policy. Altrimenti si vengono a creare nuovi problemi di manutenzione e gestione nelle attività quotidiane e degli incidenti o difficoltà investigative che ritardano la risposta e la risoluzione.
Che dire delle performance da o per il Point Of Presence (POP) per il servizio SASE? O dell’aggregazione di molteplici link sia “point-to-point” tra data center e campus sia dalle case-ufficio al cloud? SD-WAN risolve alcuni di questi problemi, ma ugualmente può essere difficile assicurare una user experience di qualità quando vengono introdotti servizi di sicurezza che oscurano la telemetria e quei dettagli che sono spesso importanti per il corretto funzionamento del servizio.
Un’avventura su misura
Oggi, molte delle offerte disponibili sul mercato hanno molteplici configurazioni delle policy e meccanismi di deployment nella rete. Ogni istanza ha la propria interfaccia di gestione, una propria struttura della policy e un proprio formato degli eventi: in questa situazione trovare una soluzione al problema è quasi impossibile, come pure avere visibilità sul comportamento di ogni dato servizio o di un’applicazione. Spostare la sicurezza nel cloud dovrebbe rendere la vita più semplice, non complicarla.
Per molte organizzazioni la user experience continua a essere la misura del successo. Una sicurezza eccellente dovrebbe aspirare a essere il più trasparente possibile per l’utente finale. Alcuni approcci, però, continuano a proporre interfacce e hardware on premise aggiuntivi e diversi motori di policy con un ulteriore aumento della complessità. Andare incontro ai clienti nel punto in cui si trovano del percorso di migrazione verso il cloud - quando hanno ancora data center e campus distribuiti - è il modo migliore per affrontare questi problemi senza complicarne ulteriormente la gestione.
Maggiori informazioni su SASE, nel white paper a questo
link.
Mike Spanbauer è Senior Director and Technology Evangelist, Security, Juniper Networks