La crescente dispersione degli utenti e delle applicazioni ha reso urgente ripensare il modo in cui si applicano le policy di rete e la sicurezza. Molte soluzioni SASE tradizionali si affidano ancora a punti di ispezione centralizzati, con il risultato di creare ritardi legati al backhaul del traffico e perdere parte del controllo operativo. In risposta a questi limiti, Zenarmor ha evoluto la sua SASE Anywhere Architecture per estendere il modello al mobile e agli ambienti container, consentendo distribuzioni che rimangono sotto la gestione di partner o clienti.
La scelta tecnica alla base dell’aggiornamento è chiara: spostare l’enforcement dove il traffico entra realmente nel perimetro operativo. Con un modello di enforcement distribuito, le ispezioni avvengono più vicino agli utenti, alle applicazioni e ai workload, riducendo la dipendenza da PoP cloud pubblici.
Questo approccio valorizza la sovranità (l’ownership dei dati e dei log) e permette ai provider gestiti e alle enterprise di mantenere controllo e visibilità senza dover reindirizzare tutto attraverso infrastrutture vendor-controllate.
Architettura distribuita e impatto operativo
La nuova configurazione prevede che i punti di ispezione siano inseriti direttamente nel percorso del traffico, sia che si tratti di un ufficio, di un data center del cliente o di un nodo gestito da un MSP. I gateway Zenarmor possono agire come uscite internet sicure e come motori di ispezione per dispositivi roaming, supportando piattaforme come iOS e Android. L’obiettivo è eliminare il traffico di ritorno verso PoP distanti e quindi minimizzare la latency, oltre a preservare la capacità operativa di patch, aggiornamenti e troubleshooting all’interno dell’infrastruttura controllata dal partner o dal cliente.
Ispezione inline e qualità di servizio
Con gli utenti che si collegano al gateway più vicino, il traffico viene esaminato in linea prima di raggiungere internet o le risorse aziendali. Questo consente di applicare policy applicative coerenti, protezioni avanzate contro malware e phishing, blocco dei canali di comando e controllo e filtri di contenuto. Inoltre, la piattaforma fornisce piena visibilità su utilizzo delle applicazioni, consumo di banda e eventi di sicurezza, e sfrutta il routing intelligente per garantire percorsi di rete ottimali e prestazioni costanti anche per dispositivi mobili in roaming.
Integrazione con container e ambienti cloud-native
Una componente chiave dell’estensione è la capacità di eseguire i gateway come container Docker, rendendo possibile l’inserimento della sicurezza inline direttamente all’interno di cluster Kubernetes, reti effimere e piattaforme di sviluppo.
Questo approccio riduce il divario tra il rilascio delle applicazioni e le policy di protezione, consentendo di proteggere workload che si avviano e terminano rapidamente senza dover introdurre appliance dedicate o percorsi di ispezione centralizzati. L’installazione può essere effettuata su piattaforme comuni come pfSense, OPNsense, OpenWRT, Linux o cloud provider, offrendo grande flessibilità operativa.
Centralizzazione della gestione e integrazioni
Per evitare derive di policy e buchi di visibilità, la soluzione mantiene una console centrale che orchestra le regole e raccoglie telemetria e log da tutti i punti di enforcement. Questa orchestrazione centralizzata facilita l’applicazione uniforme delle regole e l’integrazione con strumenti esistenti come SIEM e SOAR via API e Syslog. Per i provider gestiti, la possibilità di offrire una singola istanza di gestione multi-tenant e opzioni white-label semplifica l’adozione commerciale e accelera le operazioni di deployment e risoluzione dei problemi.
Perché conta e quali vantaggi porta
La transizione verso un SASE distribuito che opera nei confini dell’infrastruttura partner o cliente affronta tre bisogni pratici: ridurre la latenza, aumentare la sovranità dei dati e semplificare l’operatività per MSP e operatori di rete. Tra i vantaggi concreti vi sono aggiornamenti più rapidi, minore dipendenza da PoP vendor, e la possibilità di estendere protezioni coerenti a utenti mobili e workload containerizzati. Esperti del settore hanno sottolineato come l’eliminazione dei PoP centralizzati possa ridurre i punti ciechi operativi e accelerare i tempi di rilascio delle funzionalità di sicurezza.
In sintesi, la proposta posiziona la SASE non più come una cappa centrale, ma come un insieme di punti di controllo distribuiti e orchestrati, capaci di seguire gli utenti e le applicazioni ovunque si trovino. Questo modello si integra con i principi di Zero Trust, spostando l’attenzione dalla rete al dispositivo e all’identità, e offre a MSP, operatori e aziende strumenti pratici per proteggere ambienti sempre più eterogenei senza rinunciare a prestazioni o controllo.
