Perché SASE? Il Problema che Vuole Risolvere
Immaginate questo scenario: avete 40 dipendenti, tre sedi (Milano, Como, lavoro da casa), un ERP su cloud, Microsoft 365 per email e Teams, un gestionale on-premise nella sede principale. Ogni mattina, 15 persone si connettono da casa, 10 da Milano, 8 da Como e il resto in giro per i clienti. Come garantite che tutte queste connessioni siano sicure senza diventare matti?
La risposta tradizionale era il VPN: tutti si connettono al tunnel cifrato, tutto passa dal datacenter centrale, il firewall controlla. Funzionava bene nel 2015 quando tutti erano in ufficio e il cloud era una parola di moda. Oggi è un collo di bottiglia: il traffico Microsoft 365 esce da casa dell'utente, va al datacenter, poi torna su internet verso i server Microsoft. Un giro inutile che rallenta tutto e non aggiunge sicurezza reale.
SASE (pronunciato "sassy", come l'aggettivo inglese) risolve questo problema fondendo due mondi che tradizionalmente andavano separati: la connettività di rete (SD-WAN) e la sicurezza cloud (quello che Gartner chiama SSE — Security Service Edge). Il tutto erogato come servizio cloud, il più vicino possibile all'utente.
Anatomia di SASE: I Componenti Che Contano
SASE è un termine ombrello che racchiude cinque tecnologie. Le capite una per una, poi tutto il quadro diventa chiaro.
SD-WAN — La Parte di Rete
SD-WAN (Software-Defined Wide Area Network) è la parte che gestisce come le sedi si connettono tra loro e a internet. In pratica sostituisce i costosi link MPLS dedicati con connessioni internet commodity (fibra, 4G/5G come backup) gestite in modo intelligente via software. L'appliance in sede capisce automaticamente: "questo traffico va su Teams, mandalo direttamente su internet ottimizzando la latenza; quest'altro va al gestionale interno, instradalo sul tunnel sicuro verso la sede principale". Per approfondire come funziona tecnicamente, leggete la nostra guida completa a SD-WAN.
ZTNA — Zero Trust Network Access
Questo è il componente che sostituisce la VPN tradizionale per l'accesso remoto. Il principio è quello di Zero Trust: non fidarsi mai di nessun dispositivo o utente per default, verificare sempre. Con ZTNA non dite "se sei nella VPN, puoi accedere alla rete interna" ma "puoi accedere solo all'applicazione X, solo se il tuo dispositivo è aggiornato, solo negli orari 8-20, solo dal paese Italia". Granularità chirurgica invece del tutto-o-niente della VPN.
CASB — Cloud Access Security Broker
Il CASB è il poliziotto del cloud: vede tutto quello che i vostri utenti fanno su SaaS aziendali e personali. Scopre chi usa Dropbox personale per caricare file aziendali (shadow IT), blocca il download di documenti sensibili su dispositivi non gestiti, applica policy DLP (Data Loss Prevention) su Microsoft 365, Salesforce, SAP. Per molte PMI italiane con GDPR da rispettare, il CASB è diventato indispensabile.
FWaaS — Firewall as a Service
Firewall in cloud. Invece di avere un box fisico in sede che filtra il traffico, il traffico viene instradato verso PoP (Point of Presence) cloud del vendor SASE che applica ispezione deep packet, filtro URL, IPS (Intrusion Prevention System). Il vantaggio: aggiornamenti automatici delle firme, scalabilità illimitata, nessun hardware da gestire.
SWG — Secure Web Gateway
Il filtro web potenziato: blocca siti malevoli, categorie di contenuti non appropriati, scaricamenti di file sospetti. Nel contesto SASE funziona inline per tutto il traffico web, anche quando l'utente è a casa o in hotspot di caffè.
SASE vs VPN vs SD-WAN Puro: La Tabella che Chiarisce Tutto
| Criterio | VPN Tradizionale | SD-WAN Puro | SASE |
|---|---|---|---|
| Accesso remoto | Tunnel cifrato completo | Dipende dalla config | ZTNA granulare per app |
| Performance cloud | Scadente (hairpinning) | Ottima | Ottima |
| Sicurezza utente remoto | Solo tunnel | Limitata | Completa (FWaaS+SWG+CASB) |
| Visibilità traffico SaaS | Nessuna | Parziale | Completa (CASB) |
| Hardware richiesto | Concentratore VPN | Appliance SD-WAN | Agente SW o appliance leggera |
| Gestione | Complessa, per sede | Dashboard centralizzata | Dashboard unificata cloud |
| Costo tipico PMI 50 utenti | 200-500 €/mese | 300-800 €/mese | 400-750 €/mese |
| Adatto per smart working | Sufficiente | Sì (con VPN integrata) | Eccellente |
I Principali Vendor SASE: Zscaler, Palo Alto Prisma, Fortinet
Il mercato SASE è dominato da pochi grandi player, ognuno con punti di forza diversi. Per una PMI italiana, la scelta dipende molto da cosa avete già in casa e dal budget.
Zscaler — Il Leader di Mercato
Zscaler è probabilmente il nome più conosciuto nel SASE puro cloud. La loro architettura è nata cloud-first: nessun hardware da installare, tutto passa per i PoP Zscaler distribuiti in 150+ città nel mondo (inclusi data center italiani).
- Prodotti chiave: ZIA (Zscaler Internet Access) per sicurezza internet, ZPA (Zscaler Private Access) per ZTNA, ZDX (Digital Experience Monitoring)
- Punto di forza: Architettura zero-trust nativa, proxy inline per ispezione SSL completa, ottima integrazione con Microsoft Entra ID
- Limite: Caro. Per PMI, il costo per utente parte da 8-15 €/mese solo per ZIA. Con ZPA aggiunto si arriva a 15-25 €/utente/mese
- Adatto per: Medie aziende 100+ dipendenti con budget IT strutturato, settori regolamentati (finance, healthcare)
Palo Alto Prisma SASE
Palo Alto Networks ha costruito la propria offerta SASE intorno a Prisma Access (sicurezza cloud) e Prisma SD-WAN (ex CloudGenix). È una soluzione matura che sfrutta la reputazione del vendor nella sicurezza enterprise.
- Prodotti chiave: Prisma Access (ZTNA + FWaaS + CASB), Prisma SD-WAN, AIOps per monitoraggio AI-driven
- Punto di forza: Integrazione profonda con l'ecosistema Palo Alto (se avete già firewall PA fisici in sede, l'integrazione è nativa). ADEM (Autonomous Digital Experience Management) eccellente
- Limite: Complessità gestione. Non è plug-and-play, serve competenza certificata (PCNSE) o un partner MSP qualificato
- Adatto per: Aziende già nell'ecosistema Palo Alto, 50-500 dipendenti con IT strutturato
Fortinet Secure SD-WAN + FortiSASE
Fortinet è il player più accessibile per le PMI, soprattutto quelle che hanno già firewall FortiGate in sede. L'approccio "Single Vendor SASE" di Fortinet integra SD-WAN fisico (FortiGate) con servizi cloud (FortiSASE).
- Prodotti chiave: FortiGate (appliance SD-WAN in sede), FortiSASE (cloud SSE), FortiClient (agente endpoint), FortiManager (gestione centralizzata)
- Punto di forza: Prezzo competitivo (6-12 €/utente/mese per FortiSASE), ottima integrazione hardware-software, interfaccia gestione unificata per chi già usa Fortinet
- Limite: Dipendenza dall'ecosistema Fortinet. Se non avete già FortiGate, il lock-in è elevato
- Adatto per: PMI italiane 20-200 dipendenti, chi cerca rapporto qualità-prezzo, partner MSP di fascia media
Altri Vendor da Considerare
Cisco Secure Access (ex Umbrella + Meraki): ottimo se siete già Cisco-shop. Netskope: best-of-breed per CASB e DLP, usato da settori con compliance stringente. Cato Networks: SASE puro cloud molto apprezzato per semplicità gestione, cresce bene nelle PMI europee.
Use Case PMI Italiane: Quando SASE Ha Senso
Parlare con i responsabili IT di aziende lombarde porta sempre agli stessi scenari dove SASE risolve problemi reali:
Caso 1: Manifatturiero con Più Sedi e Smart Working
Azienda metalmeccanica, 80 dipendenti, sede principale a Monza, magazzino a Sesto San Giovanni, agenti commerciali in giro per l'Italia. Prima di SASE: VPN sempre disconnessa, Teams lento, gli agenti usavano connessioni dirette non sicure. Con SD-WAN + ZTNA: accesso ottimizzato per sede, Teams fluido, agenti remoti con accesso granulare solo ai sistemi necessari, visibilità completa su chi si connette da dove. La cybersecurity a Milano e provincia richiede questa architettura per proteggere filiali e worker distribuiti.
Caso 2: Studio Professionale con GDPR da Rispettare
Consulenza fiscale, 25 dipendenti, tutti con accesso a dati sensibili su cloud (Teamsystem, Wolters Kluwer). Il CASB SASE monitora ogni accesso, blocca download su dispositivi personali, genera log per audit GDPR. Costo mensile: circa 280 €/mese per 25 utenti con FortiSASE. Prima dello stesso studio: zero visibilità su cosa facevano gli utenti con i dati dei clienti.
Caso 3: Retail con Punti Vendita Distribuiti
Catena di negozi, 15 punti vendita in Lombardia. Prima: linee MPLS costose per connettere ogni sede (circa 400 €/sede/mese). Con SD-WAN: fibre consumer come connessione principale, 4G come failover automatico, costo sceso a 80-120 €/sede/mese. La sicurezza FWaaS cloud protegge ogni punto vendita senza firewall fisici locali da mantenere.
Costi Indicativi SASE 2026
I prezzi SASE variano molto in base a vendor, funzionalità e volume. Ecco una stima realistica per una PMI italiana:
| Configurazione | Utenti | Vendor | Costo Mensile | Setup Iniziale |
|---|---|---|---|---|
| SSE Essenziale (ZTNA + SWG) | 25 | Fortinet | 150-200 € | 1.500-3.000 € |
| SASE Completo | 50 | Fortinet / Cato | 400-600 € | 4.000-8.000 € |
| SASE Enterprise | 100 | Zscaler / Palo Alto | 1.200-2.000 € | 10.000-20.000 € |
| SD-WAN + SSE Multi-sede | 50 + 3 sedi | Fortinet | 600-900 € | 8.000-15.000 € |
Questi costi non includono il managed service MSP. Se preferite non gestire internamente la piattaforma, aggiungete 300-600 €/mese per la gestione proattiva da parte di un partner specializzato come BullTech.
Come si Migra a SASE: Le Fasi Tipiche
Nessuno butta via tutto dall'oggi al domani. Una migrazione SASE ben fatta dura 3-9 mesi e procede per stadi:
- Assessment (2-4 settimane): Censimento traffico attuale, applicazioni usate, utenti remoti, sedi. Quale VPN usate? Avete già SD-WAN? Qual è il vendor principale di sicurezza?
- Proof of Concept (4-6 settimane): Deploy su un gruppo pilota di 10-15 utenti. Verifica performance, integrazione con Active Directory / Entra ID, eventuali problemi applicativi.
- Rollout graduale (1-3 mesi): Estensione per reparti, parallelismo con vecchia VPN durante la transizione.
- Dismissione infrastruttura legacy: Spegnimento concentratori VPN, riduzione appliance fisici, cleanup policy.
- Ottimizzazione continua: Fine-tuning policy CASB, review accessi ZTNA, aggiornamento baseline sicurezza.
FAQ — Domande Frequenti su SASE
Cos'è SASE e perché se ne parla tanto?
SASE (Secure Access Service Edge) è un'architettura di rete che unisce la connettività SD-WAN con la sicurezza cloud (ZTNA, CASB, FWaaS) in un unico servizio erogato dal cloud. Gartner l'ha coniato nel 2019 perché i modelli tradizionali (VPN su firewall fisico) non reggono più quando utenti e dati sono distribuiti ovunque.
SASE è adatto a una PMI italiana con 30-50 dipendenti?
Sì, se avete sedi multiple, smart working strutturato, dati su cloud (Microsoft 365, ERP SaaS) e necessità di accessi sicuri da fuori ufficio. Per realtà mono-sede con tutti in presenza, la VPN tradizionale può ancora bastare. Il punto di svolta di solito è quando avete 2+ sedi o più del 30% dei dipendenti in smart working.
Quanto costa SASE per una PMI di 50 utenti?
I costi dipendono dal vendor e dal livello di funzionalità. Con Zscaler si parte da 8-15 €/utente/mese per ZIA + ZPA. Fortinet SASE è più competitivo, intorno a 6-12 €/utente/mese. Per 50 utenti con soluzione completa, il budget tipico è 400-750 €/mese più setup iniziale 3.000-8.000 €.
ZTNA è la stessa cosa di Zero Trust?
ZTNA (Zero Trust Network Access) è uno dei componenti di una strategia Zero Trust, non la stessa cosa. Zero Trust è un approccio concettuale, mentre ZTNA è la tecnologia specifica che applica questo principio all'accesso alla rete con verifica granulare di ogni richiesta di connessione.
SASE sostituisce completamente la VPN?
Nella maggior parte dei casi, sì. ZTNA è superiore alla VPN tradizionale: accesso granulare per applicazione invece che per rete intera, nessun movimento laterale in caso di compromissione, performance migliori grazie ai PoP cloud distribuiti globalmente. La migrazione richiede qualche mese ma il risultato è una sicurezza notevolmente migliore.
Qual è la differenza tra SASE e SSE?
SSE (Security Service Edge) è la componente solo-sicurezza di SASE, senza la parte di rete (SD-WAN). Include ZTNA, CASB, FWaaS e SWG. Le aziende che hanno già SD-WAN funzionante possono adottare SSE per aggiungere sicurezza senza cambiare infrastruttura di rete.