Cosa aspettarsi dalla prossima generazione di gateway web sicuri

29 aprile 2022

Di Michael Schneider - Sr. Manager, Product Management, Skyhigh Security

Dopo oltre un secolo di innovazioni tecnologiche, da quando le prime unità uscirono dalle catene di montaggio di Henry Ford, le automobili e i trasporti hanno poco in comune con l'epoca del Modello T. Questa evoluzione continuerà, man mano che la società troverà modi migliori per raggiungere il risultato di spostare le persone dal punto A al punto B. Questa evoluzione continuerà, man mano che la società troverà modi migliori per raggiungere il risultato di spostare le persone dal punto A al punto B.

Mentre i Secure Web Gateway (SWG) hanno operato in tempi molto più ristretti, si è verificata un'evoluzione altrettanto drastica. Gli SWG sono ancora in gran parte focalizzati a garantire la protezione degli utenti da angoli di Internet non sicuri o non conformi, ma la transizione verso un mondo di lavoro remoto e cloud ha creato nuove sfide di sicurezza che l'SWG tradizionale non è più in grado di gestire. È giunto il momento di una nuova generazione di SWG che possa permettere agli utenti di prosperare in sicurezza in un mondo sempre più decentralizzato e pericoloso.

Come siamo arrivati qui

L'SWG è nato come soluzione di filtraggio degli URL, che permetteva alle organizzazioni di garantire che la navigazione web dei dipendenti fosse conforme alla politica di accesso a Internet dell'azienda.

Il filtraggio degli URL è poi passato ai server proxy situati dietro i firewall aziendali. Poiché i proxy terminano il traffico proveniente dagli utenti e completano la connessione ai siti web desiderati, gli esperti di sicurezza hanno rapidamente visto il potenziale per eseguire un'ispezione più approfondita rispetto al semplice confronto degli URL con le liste nere esistenti. Incorporando l'antivirus e altre funzionalità di sicurezza, il "Secure Web Gateway" è diventato una parte fondamentale delle moderne architetture di sicurezza. Tuttavia, l'SWG tradizionale poteva svolgere questo ruolo solo se era il punto di strozzatura di tutto il traffico Internet, seduto ai margini di ogni perimetro di rete aziendale e con gli utenti remoti che dovevano "tornare indietro" attraverso quella rete tramite VPN o collegamenti MPLS.

SWG di prossima generazione

La transizione verso un mondo di lavoro remoto e cloud ha imposto nuovi oneri al tradizionale SWG basato sul perimetro. Gli utenti possono ora accedere direttamente all'infrastruttura IT e alle risorse connesse praticamente da qualsiasi luogo e da una varietà di dispositivi diversi, e molte di queste risorse non risiedono più all'interno del perimetro di rete sui server aziendali.

Questa notevole trasformazione espande anche i requisiti di protezione dei dati e delle minacce, lasciando i team di sicurezza alle prese con una serie di nuove minacce sofisticate e sfide di conformità. Sfortunatamente, gli SWG tradizionali non sono stati in grado di tenere il passo con questo panorama di minacce in evoluzione, con il risultato di un'architettura inefficiente che non riesce a sfruttare il potenziale della forza lavoro distribuita.

Quasi tutte le principali violazioni oggi coinvolgono sofisticati componenti web multilivello che non possono essere fermati da un motore statico. L'approccio tradizionale dell'SWG è stato quello di coordinarsi con altre parti dell'infrastruttura di sicurezza, comprese le sandbox di malware. Ma poiché le minacce sono diventate più avanzate e complesse, questo ha comportato un rallentamento delle prestazioni o la possibilità di far passare le minacce. È qui che Remote Browser Isolation (RBI) introduce un cambiamento di paradigma nella protezione avanzata dalle minacce. Quando RBI viene implementato come componente integrale dell'ispezione del traffico SWG, può offrire una protezione zero-day in tempo reale contro ransomware, attacchi di phishing e altre minacce informatiche avanzate, in modo che anche le minacce più sofisticate non possano passare, senza ostacolare l'esperienza di navigazione.

Un altro problema della maggior parte degli SWG tradizionali è che non sono in grado di proteggere sufficientemente i dati nel momento in cui passano dagli utenti distribuiti alle app cloud, a causa della mancanza di una protezione avanzata dei dati e di un'intelligenza delle app cloud. Senza una tecnologia Data Loss Prevention (DLP) sufficientemente avanzata per comprendere la natura delle app cloud e per stare al passo con l'evoluzione delle richieste di sicurezza, le organizzazioni possono trovare delle lacune nella protezione dei dati nelle loro soluzioni SWG che le rendono vulnerabili ai rischi.

Infine, c'è la questione delle applicazioni cloud. Sebbene le applicazioni cloud operino sullo stesso Internet dei siti web tradizionali, funzionano in un modo fondamentalmente diverso che gli SWG tradizionali semplicemente non possono comprendere. I Cloud Access Security Broker (CASB) sono progettati per fornire visibilità e controllo sulle applicazioni cloud, e se l'SWG non ha accesso a un database di applicazioni CASB completo e a controlli CASB sofisticati, è di fatto cieco nei confronti del cloud. Solo un SWG cloud-aware con funzionalità CASB integrate può estendere la protezione dei dati a tutti i siti web e alle applicazioni cloud, consentendo alle organizzazioni e ai loro utenti di essere meglio protetti contro le minacce avanzate.

Cosa ci serve dagli SWG della prossima generazione

Un SWG di nuova generazione deve contribuire a semplificare l'implementazione dell'architettura Security Service Edge e ad accelerare l'adozione del cloud sicuro. Allo stesso tempo, deve fornire una protezione avanzata dalle minacce, un controllo unificato dei dati e abilitare in modo efficiente una forza lavoro remota e distribuita.

Ecco alcuni casi d'uso:

• Abilita una forza lavoro remota con un'architettura direct-to-cloud che offre una disponibilità del 99,999%. Mentre Paesi e Stati sono usciti lentamente dagli ordini di rifugio, molte organizzazioni hanno indicato che il supporto di una forza lavoro remota e distribuita sarà probabilmente la nuova norma. Mantenere la produttività dei lavoratori remoti, la sicurezza dei dati e la protezione degli endpoint può essere a volte un'impresa ardua. Un SWG di nuova generazione dovrebbe fornire alle organizzazioni la scalabilità e la sicurezza necessarie per supportare la forza lavoro remota e l'ecosistema digitale distribuito di oggi. Un'architettura cloud-native aiuta a garantire la disponibilità, a ridurre la latenza e a mantenere la produttività degli utenti ovunque il suo team stia lavorando. Un vero servizio di livello cloud dovrebbe offrire una disponibilità di cinque nove (99,999%) in modo costante.
• Ridurre la complessità amministrativa e abbassare i costi - Oggi, con la crescente adozione del cloud, oltre l'80% del traffico è destinato a Internet. Il backhauling del traffico internet in un'architettura tradizionale "Hub and Spoke", che richiede costosi collegamenti MPLS, può essere molto costoso. La rete si blocca quando il traffico aumenta, e le VPN per i lavoratori remoti si sono dimostrate inefficaci. Un SWG di nuova generazione dovrebbe supportare il framework SASE e fornire un'architettura direct-to-cloud che abbassi i costi operativi totali, riducendo la necessità di costosi collegamenti MPLS. Con un modello di consegna SaaS, gli SWG di nuova generazione eliminano la necessità di implementare e mantenere l'infrastruttura hardware, riducendo i costi hardware e operativi e aumentando al contempo le prestazioni, l'affidabilità e la scalabilità.
• Bloccate i vostri dati, non la vostra attività - Oltre il 95% delle aziende oggi utilizza servizi cloud, ma solo il 36% delle aziende è in grado di applicare le regole DLP nel cloud. Inoltre, la maggior parte degli SWG tradizionali non è in grado di proteggere sufficientemente i dati nel momento in cui fluiscono dagli utenti distribuiti alle applicazioni cloud, a causa della mancanza di una protezione avanzata dei dati e di un'intelligenza delle app cloud. Un SWG di nuova generazione dovrebbe offrire un modo più efficace per imporre la protezione, con modelli integrati di Data Loss Prevention e flussi di lavoro di protezione dei dati in linea, per evitare che i dati limitati escano dall'organizzazione. Una protezione dei dati device-to-cloud offre una visibilità completa dei dati e controlli coerenti tra endpoint, utenti, cloud e reti. Con la tecnologia DLP integrata, gli SWG di nuova generazione assicurano che le organizzazioni rimangano conformi alle politiche di sicurezza aziendali, nonché alle normative di settore e governative.
• Difendersi dalle minacce conosciute e sconosciute - Con la crescita e l'evoluzione del web, crescono e si evolvono anche gli attacchi malware nati sul web, al di là della protezione che possono fornire gli SWG tradizionali. Ransomware, phishing e altre minacce avanzate basate sul web mettono a rischio gli utenti e gli endpoint. Un SWG di nuova generazione deve essere dotato dei controlli di sicurezza integrati più avanzati, tra cui l'intelligence globale sulle minacce e il sandboxing, in modo che anche le minacce più sofisticate non possano passare. Un SWG di nuova generazione con soluzioni di protezione dalle minacce che lavorano insieme è in grado di garantire politiche coerenti, protezione dei dati e visibilità sul traffico isolato e non isolato. Un SWG di nuova generazione dovrebbe anche includere Remote Browser Isolation integrato per evitare che le minacce sconosciute raggiungano gli endpoint.

Gli SWG hanno chiaramente fatto molta strada, passando da semplici dispositivi di filtraggio degli URL al punto in cui sono essenziali per favorire l'adozione sicura e accelerata del cloud. Ma dobbiamo spingere la proverbiale busta molto più in là. La trasformazione digitale non richiede niente di meno.