“Perché l’accesso, e non l’edge, è il vero cuore del SASE“ Contenuto a cura di Steve Riley, VP E Field CTO, Netskope
SASE (secure access service edge) è un acronimo ormai ben noto nel settore. E per chi ha passato la carriera nei meandri delle infrastrutture IT, è naturale guardare al SASE con una lente “infrastructure-first”.
Il significato di “secure” è evidente: richiama firewall, enforcement delle policy e livelli di ispezione. Poi c’è l’“edge”, fatto di SD-WAN, instradamento dei pacchetti e definizione di dove e come gli utenti si connettono.
Tutti elementi senza dubbio fondamentali: non si può costruire una sicurezza moderna senza la capacità di bloccare le minacce e applicare le policy prima che i dati raggiungano la rete o le applicazioni cloud.
Eppure, la parte dell’acronimo che spesso tendiamo a trascurare, l’ “accesso”, è proprio quella che rende il SASE davvero trasformativo. Non a caso si trova al centro dell’acronimo.
L’accesso determina:• chi può entrare• con quale dispositivo• verso quale applicazione• in quale momento• e per quale scopo
È il livello che collega identità e intenzione. Senza di esso, il SASE diventa un castello senza porte: tanta difesa, nessuna capacità di discernimento.
Proprio perché richiede decisioni dinamiche basate su fattori in continuo cambiamento, l’accesso è anche la componente più difficile da definire. È meno facile da rappresentare in uno schema, da misurare o da ingabbiare in regole statiche.
Ma la sicurezza moderna non consiste solo nel bloccare le minacce: significa prendere decisioni di accesso più intelligenti e più rapide, in modo continuo, man mano che il contesto evolve. È per questo che è arrivato il momento di prendere sul serio tutte le “A” del SASE: access, awareness, assessment e adaptation.
L’accesso non è più un cancello
Per molto tempo, l’accesso è stato binario: dentro o fuori, dipendente o no, utente/dispositivo fidato o non fidato.
L’impresa di oggi, però, è troppo complessa per questa visione. Ci sono lavoratori da remoto, fornitori terzi, politiche BYOD, shadow IT e una lunga lista di rischi associati.
Nonostante ciò, molti modelli di accesso non sono cambiati, perché non è cambiato il modo di pensarli. Chi possiede le credenziali giuste (username, password, magari MFA) entra e ottiene un accesso ampio basato su un presupposto ormai superato: “Se è sulla rete, allora è affidabile”.
Innumerevoli violazioni reali hanno dimostrato quanto sia pericolosa questa mentalità. Gli attaccanti rubano credenziali, sfruttano vulnerabilità delle VPN e si muovono lateralmente una volta entrati. Se l’accesso non è legato a identità, comportamento e rischio, una singola compromissione può spalancare tutte le porte. Il contesto conta: l’accesso deve riflettere rischio, comportamento e ambiente.
Qui entra in gioco la consapevolezza (awareness): non solo di chi è l’utente, ma di come, dove e in quali condizioni richiede l’accesso. Questo significa ripensare non solo il modo in cui l’accesso viene concesso, ma anche come viene definito, partendo da tre variabili chiave:
• Dispositivi: gestiti vs non gestiti
• Destinazioni: approvate vs non approvate o sconosciute
• Persone: interne vs esterne
È comune creare schemi tecnici che suggeriscono tipi di accesso specifici per ogni combinazione di dispositivi, destinazioni e persone. Ma è davvero l’approccio migliore?
Perché le “personas” fanno funzionare l’accesso
Per essere utile, una linea guida deve essere comprensibile anche dal business. È qui che il passaggio dai diagrammi tecnici alle mappe di personas fa la differenza.
Un dirigente con uno smartphone non gestito, un operatore che lavora su un terminale condiviso e un contractor esterno hanno esigenze di accesso molto diverse e presentano rischi distinti. Le personas aiutano a tradurre le policy in questa realtà, allineando i controlli al modo in cui le persone lavorano davvero e rendendo la protezione più intelligente e adattiva. Le policy riflettono ruoli di business, non semplici attributi tecnici.
Questo approccio riconosce anche che un corso di formazione seguito sei mesi prima non basta nel momento in cui qualcosa va storto: serve un feedback in tempo reale. È qui che entra in gioco il just-in-time coaching:
• Rischio alto? Blocca e spiega il perché.
• Rischio medio? Chiedi all’utente di confermare o giustificare.
• Rischio basso? Consenti, ma registra e notifica.
Il coaching in tempo reale rafforza le policy di sicurezza senza rallentare le persone, rendendo l’accesso più sicuro e più umano.
L’adattamento modella le risposte in base al livello di rischio, guidando gli utenti nel momento stesso in cui agiscono e regolando la fiducia in modo dinamico.
Dalle regole al rischio reale
Una massima più adatta all’ambiente attuale è: “Verifica, poi fidati e continua a verificare”.
È ciò che abilita l’approccio della fiducia adattiva continua, che sostituisce le decisioni una tantum con una valutazione costante. Invece di concedere l’accesso una sola volta e dare tutto per scontato, la fiducia viene rivalutata e aggiornata in modo continuo, adattandosi in tempo reale. Le decisioni si basano su segnali come lo stato del dispositivo, il rischio dell’applicazione, il comportamento e la posizione.
Attraverso la valutazione (assessment), si determina il livello di fiducia appropriato. Immaginiamolo come un imbuto: i segnali entrano dall’alto e portano il sistema a rispondere con una delle cinque azioni possibili:• Consentire• Limitare• Reindirizzare• Guidare (coach)• Negare
E tutto questo non avviene solo al login, ma in modo continuo, per tutta la durata della connessione.
L’accesso è solo l’inizio
Poiché il modo in cui lavoriamo e le minacce che affrontiamo evolvono costantemente, anche il nostro approccio all’accesso deve evolvere. Non si tratta solo di affinare i permessi o irrigidire i controlli, ma di ripensare le fondamenta stesse della sicurezza aziendale.
Quando le organizzazioni passano da modelli rigidi basati sui ruoli a personas che riflettono il mondo reale, l’accesso diventa il punto di convergenza. È il filo che unisce identità dell’utente, stato del dispositivo, comportamento delle applicazioni e intenzione, trasformandoli in decisioni in tempo reale.
E questo è solo l’inizio. La prossima fase del SASE porterà segnali più intelligenti, insight predittivi e un allineamento più stretto tra team di networking e sicurezza. Ci sposterà dalla reazione al rischio alla sua anticipazione.
Lo zero trust è una pratica, non un acquisto. Concede il giusto accesso alle persone giuste, verso le risorse giuste, nei momenti giusti e per le ragioni giuste. Il SASE è lo strumento che consente di adottare davvero questo cambio di mentalità.
LEGGI ANCHE: Netskope: il SASE va a servizio dell’hybrid working
