SSE: Security Service Edge

La transizione verso un sistema cloud comporta l’obbligo di un re-ingegnerizzazione dell’architettura delle reti e della sicurezza, al fine di supportare l’accesso degli utenti agli applicativi interni, sia nei data center fisici che in quelli cloud, nonché alle applicazioni cloud pubbliche, ovunque e in qualsiasi momento.

Man mano che il volume del traffico Internet e Cloud aumenta, non ha senso far passare tutto il traffico attraverso i firewall nei datacenter fisici (traffico di backhaul). È necessario consentire un accesso a Internet diretto e protetto in ogni sede e fino a ogni utente in remoto, al fine di attuare una visibilità e un controllo che non impatti sull’esperienza utente.

Con lo spostamento verso un modello di lavoro ibrido, anche la sicurezza IT aziendale deve adattarsi. La possibilità di lavorare da qualsiasi luogo richiede una piattaforma dotata di agilità e scalabilità, per garantire sicurezza e l’applicazione delle relative politiche di accesso in maniera totale per tutti gli endpoints (utenti, sedi, applicativi, applicazione e cloud), ovunque essi siano.

I dispositivi di sicurezza tradizionali sono incompatibili con i requisiti aziendali dei nostri giorni: essi sono vincolati alla sede, richiedono manutenzione costante e non riescono a offrire scalabilità a fronte di un aumento del carico di traffico. Per supportare il modello di lavoro ibrido è necessaria un’architettura di sicurezza che sia flessibile e scalabile, e che sia in grado di securizzare l’intera forza lavoro in qualsiasi luogo: in ufficio, a casa o in movimento.

Le soluzioni disgiunte e non integrate aumentano il lavoro manuale che l’IT deve compiere in termini di installazione di aggiornamenti e patches, nonché la probabilità di generare errori e sviste. Un modello di distribuzione sotto forma di servizio può eliminare l’esigenza di aggiornare l’infrastruttura di sicurezza e mantenere un atteggiamento orientato alla sicurezza.

Il SSE crea un infrastruttura globale che connette tutti gli endpoints in una piattaforma di sicurezza comune. Tutto il traffico generato tra due endpoints viene ispezionato, mentre le politiche aziendali vengono applicate in termini di prevenzione delle minacce cyber e di protezione dei dati.

Il SSE applica un modello di accesso “zero trust”, garantendo che gli utenti accedano soltanto agli applicativi autorizzati attraverso un accesso denominato “Least Privilege” Il traffico sull’applicazione viene continuamente monitorato per rilevare anomalie, minacce, attacchi e perdite di dati sensibili.

L’ SSE costituisce una soluzione cloud nativa, fornita attraverso una dorsale globale di PoP (Point of Presence). Il Security Service Edge ispeziona senza interruzioni tutto il traffico, fornisce scalabilità verticale e orizzontale per supportare la crescita del traffico e minimizza la latenza grazie a ciascun PoP che fornisce una latenza di accesso media di 25 ms da ciascun utente e sede.

Il SSE libera l’IT dall’onere di dover implementare manualmente gli interventi per mitigare le minacce cyber emergenti. La competenza del SOC del fornitore del Security Service Edge garantisce che gli utenti finali siano sempre protetti e che il perimetro aziendale di attacco venga ridotto al minimo.

Il fornitore del SSE migliora continuamente tutte le capacità fornite dal sistema cloud attraverso un servizio di manutenzione automatica. Questo riduce il carico di lavoro dell’IT, focalizzandosi sulle attività più critiche per l’azienda, piuttosto che sul doversi preoccupare di “tenere le luci accese”.

Il Single-Pass Cloud Engine (SPACE) costituisce la base del servizio cloud nativo, convergente e globale di Cato, che fornisce l’elaborazione di traffico su. Larga scala (multi-gigabits/sec) e un’applicazione delle politiche di accesso e sicurezza in tempo reale. Le attuali capacità del “motore” SPACE che alimenta l’SSE 360 di Cato includono: SWG, ZTNA, CASB/DLP, FWaaS e Prevenzione avanzata delle minacce (IPS, Anti-Malware di nuova generazione).

La rete globale, geograficamente distribuita e supportata da SLA di Cato, costituita da oltre 75 PoP, connessi attraverso interconnessioni dedicate di tipo Tier-1. Ciascun PoP processa l’intero insieme di capacità SSE su molteplici nodi di calcolo su cui gira il motore SPACE, per garantire latenza minima, fornire un’ottimizzazione dell’instradamento globale e un servizio di ridondanza e alta affidabilità completamente automatizzato.

Gli utenti si connettono a Cato tramite dei client software leggeri. Essi riescono ad accedere in maniera sicura e ottimale a Internet, agli applicativi interni, in loco, nei datacenter cloud, e sulle app global su cloud pubblico. Per dispositivi non gestiti, è disponibile l’accesso senza client attraverso un portale dedicato.

Le sedi fisiche e su cloud si connettono con dispositivi di terze parti abilitati IPsec oppure attraverso edge SD-WAN Socket di Cato Il clienti possono optare per l’utilizzo di firewall o di edge SD-WAN pre-esistenti e beneficiare comunque delle sofisticate capacità di sicurezza di Cato. I Socket Cato forniscono resilienza sul local loop e la QoS e risolvono eventuali interruzioni, sia prolungate che brevi, grazie alla selezione di automatica du un instradamento alternativo basata sulle applicazioni e orientata alla mitigazione della perdita di pacchetti.

Il nostro applicativo di gestione onnicomprensivo fornisce dati analitici chiari sulla sicurezza e sulla rete, con una configurazione totale e granulare delle politiche di sicurezza e accesso. I servizi gestiti includono l’assistenza alla configurazione della sede cliente, il monitoraggio intelligente del local loop, la configurazione della rete, le modifiche delle politiche di sicurezza e l’MDR.