Secure Access Service Edge (Sase). E’ il termine, introdotto per la prima volta da Gartner nel 2019, che indica uno specifico modello di difesa per la cybersecurity e delinea un nuovo sistema architetturale basato sul cloud, in linea con i processi di digitalizzazione attuali che vedono la dissoluzione dei perimetri di difesa delle organizzazioni, tanto più quanto più avanzano i processi di trasformazione digitale. Più nel dettaglio, si parla di un framework con base nel cloud che combina in modo completo le funzionalità della Wan con la sicurezza della rete e comprende funzioni come Swg (Secure Web Gateway), Casb (Cloud Access Security Broker), FWaaS (Firewall as a Service) e Ztna (Zero Trust Network Access) per supportare le esigenze di accesso sicuro e dinamico alle risorse. Jay Chaudry, Ceo e Founder di Zscaler già diversi anni prima, nel 2008, aveva intuito le potenzialità di un approccio alla “Web Security” non come prodotto ma come servizio e l’evoluzione successiva della sua intuizione verso il modello Sase consente oggi all’azienda di posizionarsi in alto a destra nel quadrante Gartner in questo ambito.
In occasione di Zenith Live 2023, a Berlino, facciamo il punto sulla proposizione Zscaler e ne approfondiamo le potenzialità con esperti, clienti e management insieme agli oltre seimila i partecipanti al keynote di apertura di Jay Chaudhry, che – non a caso – esordisce con un messaggio che potrebbe sembrare avere poco a che fare con il tema della sicurezza ed invece c’entra gli obiettivi della sua azienda: “Vogliamo portare il business delle organizzazioni ad essere semplice e produttivo, in un contesto come quello attuale in cui la spesa per le soluzioni di sicurezza ogni anno vale 219 miliardi di dollari“… ma il business sicuro resta per nulla garantito tanto che “nonostante la crescita nella spesa per firewall e Vpn, che complicano la gestibilità di risorse e sicurezza – crescono breaches e minacce. Mobility, cloud, Iot/OT, AI e ML indirizzano la trasformazione delle aziende, ma i Cxo dovrebbero modificare il proprio mindset per non rimanere bloccati dall’inerzia, dai freni delle tecnologie ‘stratificate’ nel tempo che non consentono di esprimere il potenziale”.
E quello proposto da Zscaler è un approccio diverso che vuole realizzare l’ideale di una zero trust architecture e lo fa a partire dalla piattaforma Zero Trust Exchange. Nativa in cloud, costruita su architettura zero trust, basa la propria efficacia sul principio dell’“accesso a privilegi minimi, stabilisce l’attendibilità dell’utente in base all’identità e al contesto in cui sta operando (tra cui posizione, dispositivo, applicazione e contenuti), ed apre solo a questo punto connessioni sicure e dirette da utente ad app, tra le applicazioni, tra i server, e all’edge negli scenari IoT/OT“.
Il “traffico” non arriva mai direttamente sulla rete, ma attraverso gli exchange, riducendo in modo significativo il rischio di subire attacchi ransomware. Il report 2023 ThreatLabz Ransomware di Zscaler non lascia, in proposito, dormire sonni tranquilli. In un suo intervento lo spiega bene anche Deepen Desai, Global Ciso e head of Security Research, Zscaler: “Il ransomware-as-a-service ha contribuito a un costante aumento degli attacchi più sofisticati e complessi. Gli autori riescono a nascondersi lanciando attacchi senza crittografia che comportano l’esfiltrazione di grandi volumi di dati”. Le applicazioni legacy sono inefficaci e occorre migrare verso una piattaforma zero trust integrata che riduca al minimo la superficie di attacco, prevenendo la compromissione, riducendo il raggio di esplosione in caso di attacco riuscito e prevenendo l’esfiltrazione di dati.
I punti cardine su cui si basa la proposta della piattaforma Zscaler sono cinque: azzerare la superficie di attacco, appunto (1); collegare gli utenti direttamente alle app anziché alla rete eliminando la necessità di eseguire il backhauling e quindi dovendo aggiungere controlli di sicurezza centralizzati che rallentano (2); sfruttare le architetture proxy (non passthrough) progettate per l’ispezione completa dei contenuti, incluso il traffico criptato (3); liberare il potenziale del modello Sase, con le policy che vengono applicate all’edge e quindi distribuite nei DC (4); l’utilizzo di una platform basata su un cloud multitenant che può indirizzare le esigenze delle organizzazioni sempre più interconnesse (anche quando si espandono ed hanno bisogno di rapidità nel proteggere nuove sedi e branch, 5).
Riprende Chaudhry: “Il contesto è il nuovo perimetro e la proposta di Zscaler cambia il paradigma perché di fatto agisce come una vera e propria switchboard”. E’ possibile accedere alle private app senza Vpn. La segmentazione delle applicazioni, senza le complicazioni delle segmentazioni di rete, riduce il rischio del movimento laterale e dell’accesso con privilegi inadeguati, migliorando l’esperienza utente. E Zero Trust Exchange offre protezione dalle minacce informatiche, protezione dati (Dlp, Casb, Cspm) e connessioni veloci e dirette al cloud per gli uffici delle filiali.
Chaudhry parla della “secure transformation”, come di un viaggio in quattro fasi: “La sicurezza della forza lavoro nell’accesso alle risorse, la protezione del dato ovunque, zero trust nei workload, la possibilità di integrare sicurezza per clienti e fornitori”. Cyber threat protection, data protection, connettività zero trust (e i sistemi di visualizzazione Business Insights) si qualificano quindi come gli ambiti di azione chiave, che Zscaler indirizza così come illustriamo nell’immagine.
Ci spiega con chiarezza la proposizione Marco Pacchiardo, security architect Emea di Zscaler. “Oggi Zscaler offre una “trust platform” declinata sostanzialmente su tre pilastri: Zscalers for Users, Zscaler for Workloads, e Zscaler for Iot e OT. Nel primo confluiscono le proposta Zscaler Internet Access (Zia) e e Zscaler Private Access (Zpa), si parla quindi di cyber threat protection e data protection, di accesso remoto alle app senza Vpn e di diretto accesso alle app negli ambienti multicloud, di integrazione SD-Wan e di strumenti per ottimizzare l’esperienza finale dell’utente. Zscaler for Workloads indirizza invece i temi della sicurezza della comunicazione tra server (workload to workload) e Secure Internet e SaaS Access ed infine Zscaler for IoT and OT viene proposto per il controllo dei privilegi di accesso remoto per gli OT device e per mettere in sicurezza la connettività dei device IoT”.
Zscaler sulla scorta di questa proposta si trova oggi in una posizione vantaggiosa riconosciuta da analisti e mercato. Conta 1,5 miliardi di ricavi ricorrenti dalle sottoscrizioni ed una crescita dei ricavi anno su anno di oltre il 60%. Oltre 7mila sono i clienti, con il 40% di essi nella classifica Fortune 500. Continua lo sviluppo inoltre in particolare nell’ambito dell’AI integrata nei servizi. Un aspetto importante, questo, che ha visto Zscaler lavorare già dal 2018 e che in occasione di Zenith Live a metà giugno, a Las Vegas, ha portato all’annuncio di una serie di novità in proposito.
Chaudhry rimarca. “L’IA generativa rappresenta un punto di svolta ]…[ Riconoscendo l’importanza di questa tecnologia già anni fa, abbiamo implementato funzionalità di intelligenza artificiale e machine learning per migliorare notevolmente diversi servizi, dalla protezione dei dati al monitoraggio dell’esperienza digitale. Oggi Zscaler propone anche una suite di funzionalità di sicurezza che consentono ai nostri clienti di sfruttare in modo sicuro la potenza dei nuovi strumenti di intelligenza artificiale generativa per prevedere e bloccare le violazioni”.
In particolare, con l’AI ma anche per la sicurezza nelle applicazioni AI vengono migliorate le funzionalità di Data Loss Prevention, i sistemi di valutazione del rischio per il crescente numero di applicazioni di intelligenza artificiale, la possibilità di stabilire una serie di criteri diversi per gruppi di utenti diversi, con un controllo preciso sull’accesso alle applicazioni di IA. Inoltre, ancora in anteprima (a Las Vegas e richiamati a Berlino), l’annuncio di Security Autopilot per la previsione delle violazioni con un proattivo alla protezione dei dati che consente ai motori di intelligenza artificiale di apprendere continuamente dalle modifiche delle regole e dei log cloud. E di Zscaler Navigator come interfaccia in linguaggio naturale semplificata e unificata per consentire ai clienti di interagire con i prodotti Zscaler e accedere ai dettagli della documentazione pertinente utilizzando un approccio ottimizzato, sicuro e di facile utilizzo.
Non strettamente correlato con lo sviluppo basato sull’AI, invece la proposta di Zscaler Risk360 per aiutare Cio e Ciso a prendere decisioni aziendali informate e rapide che contribuiscono a ridurre i rischi sfruttando una serie di segnali provenienti da fonti interne ed esterne all’interno della piattaforma Zscaler, per guadagnare visibilità e Zero Trust Branch Connectivity che riduce i costi generali ricorrenti associati alle connessioni Mpls per le filiali e si basa su nuovo approccio che elimina i rischiosi collegamenti Vpn site-to-site su SD-WAN, migliorando la sicurezza degli utenti, delle applicazioni e dei dati, riducendo i costi e la complessità operativa. In ultimo, ma non certo meno importante Zscaler Identity Threat Detection & Response (Itdr) per la visibilità sugli errori di configurazione delle identità e sulle autorizzazioni a rischio.
Amplifon, i vantaggi di Zero Trust Exchange
Zenith Live 2023 a Berlino è occasione anche per il confronto sul campo con una realtà italiana, Amplifon (retailer di apparecchi acustici), che ha fatto tesoro della proposizione Zscaler nel tempo. Ne parliamo con David Mallen, global IT network operator manager: “Oltre 2 miliardi di ricavi nel 2022 e 183 milioni di net profit, poco meno di 20mila tra dipendenti e collaboratori che lavorano in più di 9mila Audiological Center, in 25 Paesi nel mondo per oltre un milione di clienti ogni anno sono i numeri di Amplifon” – sono i numeri che snocciola Mallen e che evidenziano le esigenze di connettività complesse di un’azienda di questo tipo.
“Amplifon ha iniziato ad implementare Zscaler nel 2016 – prosegue Mallen – in particolare scegliendo di utilizzare Zscaler Internet Access (Zia) spinta dalla necessità di evolvere il sistema proxy.
La piccola componente client installata sulle macchine abilita il controllo sull’accesso ai componenti ed ai contenuti dell’utilizzatore, come anche sulla macchina stessa, per l’analisi di base di “contesto” (disponibilità di antivirus, cifratura del disco etc.) fino alla categorizzazione delle informazioni, a seconda del lavoro compiuto sulla Zscaler Central Authority, per gestire quindi i possibili comportamenti della macchina, i possibili siti accessibili etc.etc., ma anche disporre di Ssl inspection.
Dal 2016 l’adozione della platform Zscaler è evoluta.
Come è evoluta l’infrastruttura cloud di Zscaler, così anche l’adozione da parte di Amplifon fino alla scelta di implementare oltre a Zia (Zscaler Internet Access) anche Zscaler Private Access (Zpa). Mallen sottolinea proprio come in un sistema in evoluzione e complesso come la rete di risorse Amplifon, il lavoro svolto da firewall e Vpn nel tempo si è mostrato inadeguato, mentre Zscaler favorisce tramite dashboard e sistemi visivi l’effettivo controllo su cosa succede. La platform prima di concedere l’accesso qualifica “l’identità di chi effettua la richiesta, la richiesta stessa, i contenuti che vengono introdotti sulle risorse di rete e quelli che potrebbero essere esfiltrati”.
E così come Zscaler Internet Access protegge l’accesso al mondo Internet ed al mondo SaaS, l’adozione di Zscaler Private Access permette quindi di proteggere l’accesso verso i servizi interni all’azienda, quelli in cloud o on-prem sull'”intranet”, con Amplifon che già da tempo ha scelto un approccio multicloud con tutti i principali hyperscaler. La scelta di Zscaler, già nel 2016 per Amplifon, è da collegare direttamente all’intuizione di Zscaler della proposta di una piattaforma nativa cloud. I riscontri dei benefici sono oggettivi anche per i dipendenti, per la facilità d’uso ed il minor impatto sull’experience rispetto a Vpn e firewall, ma anche per la possibilità di estendere protezione e servizi in modo rapido in call-center e branch con un impatto minimo.
© RIPRODUZIONE RISERVATA