Ho letto con una certa sorpresa l’intervista su CRN al CEO di Zscaler, Jay Chaudry, in cui afferma che “i firewall di rete faranno la fine del mainframe”, che “la rete non è nient’altro che un impianto idraulico” e che l’architettura overlay basata su proxy di Zscaler la sostituirà con la sua “applicazione switchboard”.
A dire il vero, la nostra storia comune nella sicurezza di rete ci insegna una lezione ben diversa. Ecco come la vedo io.
Ho incontrato Jay Chaudry per la prima volta in un ufficio ad Atlanta nel 1995. Stavamo iniziando a costruire la rete di partner Check Point, e Jay aveva appena avviato SecureIT, un’attività di rivendita, assistenza e formazione incentrata sul nostro prodotto.
Jay è sempre stato un visionario. Era pronto a scommettere che il firewall di rete Check Point avrebbe battuto colossi affermati come Raptor, Gauntlet TIS e Sidewinder. Hai mai sentito almeno uno di questi nomi? Io credo di no. Si tratta di firewall proxy, allora leader di mercato, che proteggevano applicazioni specifiche tramite codici dedicati. Jay aveva capito che un firewall più generico, il firewall di rete, avrebbe vinto la battaglia integrando la sicurezza direttamente nella rete ed estendendo il controllo oltre il traffico delle applicazioni.
Soltanto i visionari come Jay avrebbero potuto credere in un qualcosa che, all’epoca, era stato inizialmente accolto con enorme scetticismo. Grazie alla proliferazione di protocolli e applicazioni e alla crescente complessità dello stack di sicurezza, era evidente che il firewall di rete si sarebbe imposto come approccio vincente. I firewall proxy sparirono dalla circolazione. Jay ci aveva visto lungo costruendo la sua attività attorno al firewall di rete di Check Point e sfruttando questo successo e il suo spirito imprenditoriale per lanciare Zscaler.
Attraverso l’offerta di un gateway web sicuro (SWG) come servizio, Zscaler aveva risolto un problema urgente: gli utenti desideravano l’accesso diretto a Internet da qualsiasi luogo senza la necessità di eseguire il backhaul su concentratori VPN aziendali o firewall di data center. Con la rete Internet pubblica a fungere da strato sottostante, l’unica soluzione di Zscaler risiedeva nella realizzazione di un’architettura overlay basata su proxy.
L’introduzione del SWG ha creato con il tempo la necessità di un CASB, che utilizzava la stessa architettura proxy dedicata alle applicazioni SaaS. Infine, lo ZTNA si è avvalso dello stesso approccio per accedere alle app private nei data center. Questa evoluzione ha gettato le basi per la creazione di una società di sicurezza multimiliardaria; tuttavia, la comparsa di questi prodotti ha portato con sé una serie di complessità. Le aziende erano costrette a mantenere le proprie reti MPLS, le SD-WAN e i firewall di rete sovrapponendovi i proxy SWG, CASB e ZTNA.
Migrating your Datacenter Firewall to the Cloud| Download the White PaperÈ proprio per eliminare questa complessa realtà che io e Gur Shatz abiamo deciso di lanciare Cato Networks nel 2015. Abbiamo creato l’architettura e la categoria che in seguito Gartner avrebbe chiamato SASE, definendola come il futuro della WAN e della sicurezza di rete. L’idea alla base di Cato è davvero semplice: creare un servizio cloud che faccia convergere le funzionalità di rete e la sicurezza di rete fornite dalle appliance e quelle fornite da proxy come SWG, CASB e ZTNA. Il servizio cloud che ne consegue rende tali funzionalità disponibili attraverso un’architettura single-pass distribuita in modo elastico in tutto il mondo e verso tutti i dispositivi: posizioni fisiche, data center cloud e fisici, utenti remoti, IoT, ecc. Simile ad un AWS per il networking e la sicurezza, Cato SASE consente alle aziende di ricorrere a queste funzionalità senza possederne lo stack. SASE consente a ciascuna funzionalità convergente di contribuire a rendere efficaci tutte le altre. La rete garantisce una visibilità a 360 gradi, assicurando un contesto completo in tempo reale che supporta i processi decisionali, il rilevamento e la risposta in tempo reale.
In sostanza, io e Gur abbiamo introdotto una nuovo formato del firewall di rete creato per il cloud. Ho avuto la fortuna di introdurre il primo con Gil Shwed : formato software, Firewall-1. Ho avuto la fortuna di firmare il primo assegno a Nir Zuk, il quale ha creato il secondo formato dell’appliance NG-Firewall convergente presso Palo Alto Networks. SASE e la sua implementazione da parte di Cato rappresentano il terzo formato: il Secure Cloud Network.
Jay, i firewall sono qui per restarci, con la sola differenza che usano un formato diverso. È l’approccio proxy di Zscaler che sta via via sparendo. Avevi una marcia in più 28 anni fa: dimostraci che ce l’hai anche ora.