Dalla SD-WAN allo Zero Trust, SASE unifica networking e cybersecurity in un’unica architettura cloud-native, ma è molto di più della somma delle singole componenti. Tra efficienza e lock-in, il modello SASE impone di ripensare fiducia e sovranità digitale
Il modello SASE (Secure Access Service Edge) integra networking e sicurezza in un’unica architettura cloud-native, promettendo performance migliori, gestione centralizzata e protezione uniforme per utenti e applicazioni ovunque si trovino. È la risposta al lavoro remoto, ai workflow distribuiti in cloud e alla dissoluzione del perimetro aziendale. SASE punta a governare questa complessità unendo in un’unica architettura funzioni di networking e sicurezza: dalla SD-WAN per la gestione intelligente del traffico, ai servizi di sicurezza distribuiti come CASB, SWG, ZTNA e FWaaS. Componenti che, erogati in modalità cloud-native, permettono di mantenere la stessa protezione e le stesse policy ovunque si trovino utenti e applicazioni. Ma SASE è molto di più della somma di tecnologie: rappresenta un cambio di paradigma. Spostando i controlli di sicurezza “fuori” dal data center e “dentro” la rete globale, il modello riflette l’evoluzione stessa del business, ormai distribuito e interconnesso per natura. Ogni accesso – sia esso da laptop aziendale, da dispositivo mobile o da filiale remota – viene autenticato e monitorato in base a identità, contesto e comportamento, secondo i principi dello Zero Trust.
«SASE risponde a questa sfida integrando connettività di rete e funzionalità di sicurezza in un’unica architettura cloud-native» – spiega Fabio Panada, technical solutions architect – Security di Cisco Italia. «Il risultato è un’infrastruttura più semplice da gestire, una protezione sicura indipendentemente dalla posizione di utenti e dispositivi e una gestione centralizzata, fornendo gli strumenti necessari per supportare le moderne modalità di lavoro». Tuttavia, trasformare questa visione in realtà operativa richiede più della sola tecnologia. Servono metodo e partnership. SASE funziona davvero solo se è progettato su misura, integrato con i sistemi esistenti e gestito da chi conosce le esigenze di business tanto quanto le complessità della rete. Per questo i partner giusti diventano parte integrante dell’architettura stessa. Sono loro a tradurre il modello in un ecosistema funzionante, capace di evolvere nel tempo. SASE non è una piattaforma da attivare, ma un percorso di convergenza tra sicurezza, connettività e governance digitale. Un percorso che, se guidato con competenza, può davvero trasformare la frammentazione del cloud in un’infrastruttura coesa e resiliente.
PUNTARE AL VERO SASE
Come accade spesso nel panorama della cybersecurity anche l’acronimo SASE, è diventato un mantra. Chiacchierato, dibattuto, e con pochi esempi reali sul campo. Proviamo a fare ordine. Molti vendor provenienti dal mondo del networking o da quello della sicurezza si sono buttati a capofitto nel mercato SASE senza una vera piattaforma unificata e un’offerta di componenti separati, solo in parte interoperabili. Come distinguere allora un modello SASE autentico – definito da Gartner come la convergenza nativa tra networking e sicurezza in un’unica architettura cloud-native – da un semplice assemblaggio di soluzioni già esistenti, riverniciate dalla mano sapiente del marketing?
«Una soluzione può definirsi realmente SASE solo se integra in modo completo e nativo funzioni avanzate di networking, come SD-WAN con instradamento intelligente, e un ampio spettro di servizi di sicurezza cloud-native quali firewall-as-a-service, secure web gateway, cloud access security broker, ZTNA e sistemi per prevenire perdite di dati (DPL)» – spiega Andrea Cabras, che siede nel comitato scientifico di CLUSIT. «La gestione deve essere centralizzata, con policy dinamiche basate su identità, contesto e tipologia di applicazione. Inoltre, per supportare aziende che operano in tutto il mondo, il fornitore deve assicurare una rete estesa e capillare di punti di presenza (PoP) distribuiti per minimizzare la latenza e ottimizzare prestazioni e conformità». Attenzione, però: «Non bisogna lasciarsi ingannare da lunghe liste di componenti o funzionalità» – avverte Rich Davis, director, Product and Solution Strategy di NETSKOPE. «Ciò che conta davvero è avere un’interfaccia, un client e un gateway unici; la possibilità di applicare un set di policy uniforme che copra tutti i tipi di dati e servizi – dalla sostituzione della VPN alla DLP – e che condivida definizioni comuni per la categorizzazione di accesso e sicurezza».
Nell’unificazione risiedono i benefici di efficienza del SASE. «Patchwork mal integrati, spesso risultato di acquisizioni mal gestite da parte dei vendor, possono sembrare un approccio SASE consolidato. In realtà, non sono altro che un elenco di prodotti puntuali provenienti da un unico fornitore». Distinguere un SASE autentico da un semplice assemblaggio di soluzioni assomiglia molto a una prova di maturità tecnologica per aziende e system integrator. La trappola in cui molti cadono – osserva Davis di NETSKOPE – è partire da un singolo prodotto o caso d’uso – ZTNA per esempio – e scegliere un fornitore forte su quell’aspetto, ma incapace di offrire coerenza sull’intera piattaforma. «Se una soluzione richiede console diverse per le parti rete e sicurezza, o se integra moduli solo parzialmente adattati, non può essere definita SASE».
Tamara Zancan, direttore Cybersecurity, Compliance e Identity di Microsoft Italia aggiunge un ulteriore elemento alla discussione: «Secondo il framework di Gartner, è fondamentale valutare la maturità della piattaforma. Questo significa capire quanto le funzionalità sono integrate in modo coerente e come inserirsi nell’ecosistema esistente, per evitare silos tecnologici e semplificare la gestione. Inoltre è importante garantire una visibilità end-to-end, che consenta di monitorare e proteggere l’intero perimetro digitale, dall’identità, all’accesso, fino al traffico applicativo».
Per Federico Saraò, specialized system engineer SASE di Fortinet Italy un modello SASE coerente si fonda su due elementi chiave: «Il primo è la consistenza della user-experience, che assicura lo stesso livello di sicurezza e la stessa granularità di accesso alle applicazioni in qualsiasi scenario d’uso. Ciò è reso possibile da un’intelligenza di sicurezza unificata e applicata a tutte le architetture, come avviene con l’intelligence dei FortiGuard Labs nel modello Unified SASE». Il secondo – continua Saraò – è la convergenza e la correlazione dei dati, indispensabile per ottimizzare la capacità di analisi dell’intera infrastruttura. «Risultato che si ottiene grazie alla coerenza dei log generati da una soluzione SASE single-vendor e ai servizi di analisi che arricchiscono la visibilità complessiva». Più che un prodotto da acquistare, SASE è dunque una strategia da costruire. E come ogni strategia, richiede tempo, metodo e i partner giusti per trasformare un modello teorico in un’infrastruttura robusta e sicura.
INTEGRARE, NON SOSTITUIRE
Nessuna azienda vuole essere un laboratorio. Eppure, quando si parla di SASE il rischio è proprio quello di trasformare l’infrastruttura IT esistente in un cantiere, con impatti potenzialmente critici sulla produttività. SASE è trasformazione, non upgrade: va introdotto per fasi, seguendo un percorso di maturità che rispetti i tempi e le priorità dell’azienda. Il modello “Big Bang” – spegnere l’esistente e accendere tutto il nuovo – semplicemente non funziona. La chiave – spiegano gli esperti – è integrare, non sostituire.
Nicola Ferioli, senior solutions engineer di Akamai sottolinea l’importanza di un approccio graduale: «Il vero valore del modello emerge quando viene introdotto con pragmatismo. Non sempre un rollout completo è la scelta migliore. All’inizio, può sembrare efficiente, ma espone l’organizzazione a rischi operativi elevati. Il consiglio è di iniziare da casi d’uso mirati come l’accesso remoto sicuro o la protezione del traffico web» – prosegue Ferioli. «In questo modo, le aziende possono testare policy e prestazioni senza bloccare le attività critiche, monitorando l’efficacia della soluzione prima di estenderla su larga scala». Del resto, SASE non nasce per demolire l’esistente, ma per valorizzarlo. «Per noi è fondamentale che una piattaforma SASE si integri senza attriti con strumenti come SIEM, EDR, Identity Provider o piattaforme cloud già operative. Akamai garantisce interoperabilità tramite API aperte e log centralizzati, così le aziende possono mantenere visibilità end-to-end, rafforzare le pratiche di rilevamento delle minacce e gestire incidenti o compliance in maniera efficace».
Un percorso progressivo, consente di valutare l’impatto, formare i team interni e misurare i benefici reali prima di estendere il modello a tutta l’organizzazione. «La sicurezza “as a Service” richiede un approccio pratico e un’adozione efficace che preveda un percorso graduale» – concorda Panada di Cisco Italia. «Progetti pilota e implementazioni a fasi permettono di integrare l’architettura SASE con i sistemi esistenti senza interrompere le operazioni critiche».
Una delle chiavi per testare SASE è cominciare dai punti in cui l’impatto sulla user experience è più evidente come accesso al cloud, VPN legacy, filiali con alta mobilità di utenti: qui il modello dimostra subito il suo valore, migliorando le performance e semplificando la gestione. Per esempio – come suggerisce Tamara Zancan, di Microsoft Italia – SASE può rappresentare un’evoluzione naturale se guidata con un approccio Identity First Security. «Il perimetro di sicurezza non è più la rete, ma l’identità: chi accede, da dove e con quali dispositivi. Le soluzioni moderne permettono di avere una visione unificata e dinamica degli utenti, garantendo un’esperienza fluida con ambienti esistenti on-premise e cloud». Zancan sottolinea che la chiave è la gestione dinamica del rischio: «Gestire gli accessi in base ai cambiamenti del contesto o del livello di rischio, applicando controlli mirati e coerenti è fondamentale».
È questo il punto di contatto più autentico tra l’approccio identity-based e il paradigma SASE. SASE è un progetto di convergenza che richiede trasparenza e fiducia reciproca tra cliente e vendor. Non tutti i vendor sono strutturati per supportare un approccio graduale. Alcuni impongono architetture monolitiche o contratti rigidi, poco adatti a chi vuole sperimentare prima di migrare completamente. I più affidabili, spiegano gli esperti, sono quelli che offrono percorsi modulari e la possibilità di integrare in modo nativo componenti già presenti in azienda. Ferioli di Akamai insiste anche sulla necessità di coinvolgere partner esperti nella fase di disegno. L’affidabilità del partner è il punto di partenza di un percorso graduale, basato su una piattaforma distribuita a livello globale, attraverso un ecosistema che integra servizi come ZTNA, SWG e firewall cloud-native, arricchiti da un supporto consulenziale dedicato. L’integrazione, se fatta bene, non è un compromesso ma un moltiplicatore. Consente di valorizzare gli investimenti esistenti, ridurre i tempi di adozione e ottenere risultati misurabili in tempi brevi, senza – o con minime e controllate – interruzioni operative.
CULTURA E ORGANIZZAZIONE
Implementare SASE significa fondere due mondi tradizionalmente separati: reti e sicurezza. Spostiamo l’attenzione dal piano tecnologico a quello organizzativo. Come riconoscono molti esperti del settore, non è raro imbattersi in aziende che scoprono tra i principali ostacoli all’adozione del modello non tanto la complessità del cloud o la migrazione dei dati, bensì la difficoltà di far convivere due mondi – rete e sicurezza – che per decenni hanno viaggiato su binari paralleli. Da sempre i team di networking e quelli di security hanno avuto obiettivi e metriche differenti. I primi misurano il successo in termini di disponibilità, performance e uptime. I secondi puntano su controllo, isolamento e protezione. In molti casi, il risultato è una tensione permanente tra chi privilegia la velocità e chi la prudenza. SASE, fondendo i due domini in un unico modello operativo, costringe a un cambio di mentalità che richiede forme di collaborazione aggiornate.
«Il primo freno è la persistenza di silos organizzativi, in particolare tra i team IT (rete/operations) e sicurezza» – spiega Michele Lamartina, regional vice president Italia, Grecia, Cipro & Malta di Palo Alto Networks. «Storicamente separati e con obiettivi divergenti, con SASE questi gruppi devono condividere un’unica visione. La convergenza richiede collaborazione e una ownership condivisa, che può generare attriti su chi sia responsabile o meno».
La resistenza al cambiamento può essere marcata. I professionisti sono legati a strumenti e processi consolidati. E l’idea di unificare i ruoli può generare il timore di perdere il controllo o dover acquisire in fretta nuove competenze. Il tutto talvolta appesantito da una mentalità “legacy”. «Le aziende hanno investito molto in infrastrutture tradizionali come firewall on-premise, VPN datate. La prospettiva di dismettere o integrare queste soluzioni con un approccio Cloud-First può essere vista come una sfida insormontabile» – commenta Lamartina. «Abbracciando cloud ed edge computing, SASE richiede un significativo cambio di mentalità e nuove skill. Il timore di interruzioni o nuove vulnerabilità può frenare l’innovazione. Inoltre, anche la mancanza di competenze e formazione rappresenta un ostacolo concreto».
L’approccio “phased” oltre a ridurre i rischi tecnici, aiuta a gestire quelli culturali. Il cambiamento, soprattutto in realtà complesse e strutturate, va costruito e accompagnato da una leadership capace di comunicare visione e fiducia. «L’implementazione di SASE esige competenze ibride – networking avanzato, sicurezza cloud, automazione – che spesso i team attuali non possiedono, creando un divario che rallenta l’adozione». Il quadro si complica ulteriormente a causa di processi e governance inadeguati, spesso manuali e troppo burocratici. «SASE, per il suo potenziale, richiede automazione, agilità e decisioni rapide, spesso non allineate con le pratiche esistenti» – continua Lamartina. «Senza una chiara strategia e una leadership forte che promuova la convergenza, l’adozione di SASE rischia di procedere a singhiozzo, con progetti pilota isolati che non scalano a livello aziendale».
Microsoft suggerisce di affrontare la trasformazione SASE come un percorso di change management, promuovendo la collaborazione tra i team, la formazione continua e la condivisione di obiettivi di sicurezza e business. «L’adozione del modello SASE – afferma Tamara Zancan di Microsoft Italia – richiede anche una revisione dei processi di governance e una maggiore attenzione alla user experience». Una visione che sposta l’attenzione dal “come” al “chi”, consapevole del fatto che non bastano soluzioni tecnologiche evolute se le persone che devono gestirle non parlano lo stesso linguaggio.
In molte realtà inoltre i reparti IT e Security rispondono a catene gerarchiche differenti, con budget, priorità e strumenti non sempre allineati. L’introduzione di una piattaforma SASE che centralizza gestione e policy, può essere percepita come una minaccia all’autonomia operativa, generando resistenze, ritardi o decisioni diluite nel tempo. La situazione si aggrava quando l’azienda opera ancora su sistemi legacy rigidi e processi di change management non allineati per sostenere l’agilità che il modello SASE richiede. Il successo dipende proprio dalla capacità di superare questi silos interni e di costruire fiducia tra i team perché sviluppino un linguaggio condiviso basato su obiettivi comuni. Le aziende che falliscono nella trasformazione spesso non lo fanno per limiti tecnici, bensì perché non riescono a creare una governance integrata tra le due funzioni. Per Ferioli di Akamai, implementare SASE significa unire reti e sicurezza: «Ecco perché insistiamo sull’importanza di una governance trasversale, di programmi di formazione e della definizione di KPI condivisi che uniscano sicurezza, prestazioni e user experience. Solo così SASE può trasformarsi da promessa a realtà operativa».
Le parole di Ferioli sintetizzano un principio condiviso da molti leader IT: SASE è un percorso di trasformazione aziendale. Che richiede comunicazione, visione e, soprattutto, la capacità di leggere la tecnologia come strumento di coesione, non come territorio di competenza. Costruire un terreno condiviso tra IT e Security significa ridefinire anche il modo di misurare il valore. Nel modello SASE, le metriche di successo non possono più essere solo tecniche. Occorre valutare esperienza utente, resilienza, adattabilità e tempo di risposta agli incidenti. Un set di KPI comuni diventa così la base per un dialogo costruttivo tra chi gestisce l’infrastruttura e chi la protegge. Allineare questi mondi – spiega chi ha già affrontato la transizione – rappresenta il vero punto di svolta.
SASE E RISCHIO LOCK-IN
La sicurezza nel modello SASE è un patto di fiducia tra chi innova e chi governa. Un’unica architettura cloud-native, che fonde rete e sicurezza sotto la regia di un solo fornitore, promettendo efficienza, visibilità e governance unificata. Ogni CISO sa che la vera domanda è un’altra: quanta fiducia si può riporre in un unico provider per la sicurezza? Concentrando in un solo punto la gestione del traffico, dei controlli di accesso e delle policy di sicurezza, SASE permette di eliminare la frammentazione tra soluzioni e vendor. In teoria, meno strumenti significano meno complessità da gestire e meno margini di errore. Ma la centralizzazione, per definizione, comporta sempre un rischio di concentrazione. Se il provider ha un problema, lo ha anche il cliente. «Il vendor lock-in è un rischio crescente quando si cerca di ottenere economie di scala, affidandosi a un unico fornitore SASE» – rileva Cabras di CLUSIT.
«Centralizzare networking e sicurezza semplifica la gestione e può ridurre i costi, ma aumenta la dipendenza tecnologica ed economica, esponendo l’azienda a problemi contrattuali, aumenti di prezzo e scarsa flessibilità. Per evitarlo, l’architettura SASE deve basarsi su standard aperti e API ben documentate per garantire interoperabilità». Per questo è fondamentale pianificare una exit strategy che consenta di sostituire o integrare moduli senza rifare tutta l’infrastruttura. «Spesso – conclude Cabras – un approccio ibrido che combina piattaforme integrate con componenti best-of-breed è la soluzione migliore per mantenere autonomia e controllo senza rinunciare ai benefici della gestione consolidata».
Affidarsi a un unico provider può semplificare governance e visibilità, ma comporta inevitabilmente una maggiore concentrazione del rischio – concorda Ferioli di Akamai. «Per questo sottolineiamo l’importanza di SLA solidi, procedure di business continuity ed exit strategy chiare. Inoltre, offriamo la possibilità di esportare configurazioni e log, così da preservare autonomia e ridurre il rischio di lock-in. L’obiettivo è dare alle aziende la tranquillità di poter contare su un unico fornitore, senza rinunciare al controllo».
Il punto di equilibrio sta nel combinare semplicità gestionale e sovranità operativa: l’utente deve poter usufruire dei vantaggi di un’unica piattaforma senza perdere la capacità di governare e verificare ciò che accade al suo interno. Detto questo, la tendenza alla centralizzazione è forte quando la sicurezza deve seguire utenti e applicazioni ovunque si trovino. Così i grandi hyperscaler perimetrano la frontiera del SASE con infrastrutture globali e architetture Zero Trust integrate. «Affidarsi a un hyperscaler come Microsoft per l’adozione di un servizio di sicurezza SASE rappresenta una scelta strategica che abilita vantaggi concreti in termini di performance, resilienza e protezione» – afferma Tamara Zancan di Microsoft Italia.
«Parliamo di SLA ottimizzati per il traffico verso applicazioni SaaS, scalabilità nativa, architettura Zero Trust con controlli granulari sull’identità e di una threat intelligence alimentata da oltre 84 trillion di segnali analizzati ogni giorno». La logica è spostare la sicurezza più vicino ai servizi che le aziende già utilizzano (Microsoft 365, Azure, e altre piattaforme cloud). Anche in questo scenario però la fiducia deve essere accompagnata da trasparenza, verificabilità e governance condivisa.
L’altro rischio, avverte Federico Saraò di Fortinet, è che la corsa al SASE trasformi un paradigma di sicurezza in una semplice questione di performance. «SASE, per definizione, racchiude al suo interno diverse funzioni architetturali che mirano a ottimizzare l’accesso degli utenti alle applicazioni. Tuttavia, aspetti come la geodistribuzione dei PoP o gli strumenti di visibilità e gestione dei dispositivi vengono spesso messi in primo piano, relegando la sicurezza a un ruolo marginale». Saraò parla di un vero e proprio «fraintendimento tecnologico», che molto spesso comporta una focalizzazione errata nella scelta di una soluzione SASE. «Occorre partire, invece, da principi in grado di assicurare il massimo livello di protezione dell’infrastruttura, affidandosi a un vendor riconosciuto come punto di riferimento per la cybersecurity, l’unico elemento imprescindibile di una soluzione SASE».
Delegare non significa abdicare. Il successo del modello SASE dipende dalla maturità del provider, ma anche dalla consapevolezza del cliente nel definire ruoli, responsabilità e metriche di controllo. Ogni fornitore – anche il più affidabile – deve operare all’interno di un quadro contrattuale chiaro, con visibilità costante e piani di continuità operativa ben definiti. Nel modello SASE, gran parte delle funzioni di rete e sicurezza viene gestita da provider esterni. Questo comporta inevitabilmente un grado di dipendenza. Se il fornitore modifica la propria infrastruttura – cambia la rete di transito, aggiorna i meccanismi di instradamento – anche il cliente può subirne gli effetti, spesso senza preavviso. Per questo motivo, gli analisti insistono sulla necessità di accordi di servizio trasparenti e meccanismi di notifica preventiva. Le aziende devono essere informate e in grado di reagire tempestivamente a qualunque modifica che tocchi infrastruttura, instradamento o allocazione dei flussi.
Accanto al tema dell’affidabilità, c’è quello, più tangibile, dei costi nascosti. Molti CIO scoprono troppo tardi che la spesa reale non è solo legata alle licenze o ai servizi di sicurezza, ma anche ai costi di uscita del traffico dati (“egress fees”) applicati dai provider cloud. Ogni gigabyte che lascia un’infrastruttura cloud per raggiungerne un’altra – o un data center esterno – può generare un costo aggiuntivo, che moltiplicato per i volumi di traffico di un’azienda moderna può diventare una voce significativa nel budget IT.
«Un aspetto che le aziende non devono sottovalutare e che devono calcolare in anticipo» – mette in guardia Ferioli di Akamai. «Anche lo spostamento di un PoP può avere impatti sulle prestazioni e sulla compliance». Per mitigare questi rischi – spiega Ferioli – servono visione integrata di rete e sicurezza, trasparenza dei costi, meccanismi di notifica preventiva per ogni cambiamento e stabilità infrastrutturale. Akamai dispone di una piattaforma dedicata che comprende connettività, nodi di elaborazione cloud e una rete di nodi di prossimità altamente distribuita. «Questo permette di minimizzare la latenza dei servizi, ottimizzandone le prestazioni, di ridurre i costi di egress e di avere un pieno controllo sull’allocazione e gestione delle risorse di elaborazione».
Cabras di CLUSIT sottolinea l’importanza di tenere sotto controllo il TCO nel modello SASE, poiché i costi possono aumentare rapidamente a causa del traffico cloud, dell’espansione degli utenti o di funzionalità aggiuntive. «Per contenerli, è fondamentale adottare strumenti di monitoraggio e analisi in tempo reale dell’uso delle risorse, assicurando trasparenza sulle voci di costo principali. Inoltre, nelle prime fasi preliminari del progetto, il rischio è che si registrino troppi log rispetto a quelli veramente necessari». Le piattaforme più avanzate – osserva Cabras – offrono dashboard che attribuiscono i costi a business unit, geografie o applicazioni, facilitando la gestione del budget. «È importante negoziare contratti flessibili pay-as-you-go, evitando costi fissi elevati e permettendo di scalare secondo le esigenze reali. Una governance attiva dei costi e bilanciata con le necessità di performance – conclude Cabras – è la chiave per mantenere il TCO sostenibile nel medio-lungo termine».
Non si tratta dunque solo di offrire sicurezza, ma di costruire fiducia operativa. Visibilità, comunicazione e prevenzione diventano parte integrante del servizio. SASE mantiene le sue promesse solo quando la trasparenza diventa parte del contratto e la fiducia è supportata da metriche e procedure verificabili. Anche nel cloud – come nella sicurezza – ciò che non si misura, alla lunga, si paga.
