L’introduzione della nuova architettura SASE nel mondo della Cybersecurity può portare importanti benefici nel potenziare e nel securizzare tecnologie consolidate come le SD-WAN. In questo articolo vedremo come questo sia possibile.

Se il SASE (Secure Access Service Edge) rappresenta un’architettura nuova in ambito Cybersecurity, SD-WAN è invece una tecnologia consolidata sul mercato. Infatti Gartner, nella ricerca “Hype Cycle of Enterprise Networking 2019”, considera la SD-WAN una soluzione che vive una fase di crescita verso la piena produttività.

Il SASE, come abbiamo visto nel precedente articolo “SASE, cos’è e perché è strategico per le aziende“, rappresenta una tecnologia innovativa ancora in uno stato embrionale di “potenza”, che non è ancora stata messa in azione del tutto.

Nonostante questo “gap generazionale”, i due “oggetti” possono essere connessi tra loro. Tra i vari punti di contatto vi è la securizzazione delle SD-WAN, argomento dell’articolo di oggi.

 

INDICE DEGLI ARGOMENTI

1. SD-WAN E LOCAL BREAKOUT

2. L’APPROCCIO SECURE-SDWAN 

3. L’APPROCCIO SASE

 

 

SDWAN E LOCAL BREAKOUT 

Missione della SD-WAN è garantire la produttività degli utenti nelle branch remote tramite un’overlay definito dal software. Tra le proprietà caratterizzanti tale overlay abbiamo:

  • la capacità di usare simultaneamente linee WAN multiple, eterogenee tra loro, in modo trasparente per l’utente
  • Lo smistamento del traffico governato dai requisiti applicativi e dalla qualità istantanea delle linee, con steering automatico dei pacchetti sul link migliore completamente trasparente per l’utente
  • la predisposizione per l’accesso ottimizzato a servizi cloud-based
  • l’agilità nell’implementare o spostare siti

La SD-WAN nasce come tecnologia di networking e grazie ad esso sono nate molte startup pioniere dal 2015. Negli ultimi anni, però, ha gradualmente assunto sempre maggiore importanza il tema della Security nell’SD-WAN.

Nelle branch SD-WAN è divenuto fondamentale poter accedere ad applicazioni e contenuti Internet o SaaS con percorso diretto, senza passare dall’overlay verso il Datacenter centrale. Tale approccio – comunemente detto “Local Breakout” – è perfettamente in armonia con i principi SD-WAN del routing guidato da regole di business, nonché con il contesto generale del SASE.

La securizzazione dell’uscita Internet e SaaS delle branch è uno dei punti che il progettista SD-WAN è oggi chiamato ad affrontare.

Tra le diverse soluzioni oggi disponibili possono essere evidenziate due strade, che chiameremo: “Secure-SDWAN” e “approccio SASE”

L’APPROCCIO SECURE SD-WAN 

“Secure-SDWAN” prevede che siano apparati firewall a costruire l’overlay SD-WAN. In questo modo lo stesso apparato locale della branch controllerà il traffico verso Internet o SaaS.

Punto di attenzione in questo caso è il fatto che questi branch-firewall sono apparati progettati per funzionare in autonomia, con control-plane locale, cui sono state aggiunte successivamente le funzioni SD-WAN in forma non nativa.

D’altra parte, il firewall locale può essere usato efficacemente anche per la securizzazione del traffico all’interno della branch stessa.

L’APPROCCIO SASE

L’ “approccio SASE” usa invece il Cloud: il traffico Internet e SaaS della branch è veicolato dal terminatore SD-WAN verso un servizio Cloud-based del tipo Firewall-As-A-Service (FWaaS) o Secure Web Gateway. Il servizio effettuerà l’ispezione del traffico e la sua securizzazione per poi inviarlo verso la destinazione finale.

L’apparato SD-WAN, in questo modo, sarà più semplice, economico e con control-plane nativamente centralizzato in cloud.

Il nostro punto di vista Aditinet è che l’opzione “Secure-SDWAN” e l’“approccio SASE” siano destinate nel tempo a convergere, cogliendo l’una il meglio dall’altra.

I team di esperti Aditinet sono in grado già oggi di poter offrire una consulenza di alto valore anche nella risoluzione delle problematiche legate alla securizzazione delle SD-WAN attraverso il SASE. Per avere maggiori informazioni e parlare con i nostri consulenti, potete far riferimento ai contatti che trovate qui.