Che cos'è Secure Web Gateway?

19 Febbraio 2026

Un gateway web sicuro (SWG) è una soluzione di sicurezza che protegge gli utenti e le organizzazioni quando accedono a Internet.

cos'è un gateway web sicuro

Cosa si intende per Secure Web Gateway?

Un gateway web sicuro (SWG) è un controllo di sicurezza che si interpone tra gli utenti (o i loro dispositivi) e la rete Internet pubblica e garantisce un accesso web sicuro e conforme alle policy. Media le connessioni in uscita a siti web e cloud app web applicando decisioni basate sull'identità e sulle policy, quindi ispezionando il traffico per rilevare minacce e prevenire comportamenti rischiosi.

In pratica, un SWG valuta dove sta andando una richiesta, chi la sta effettuando e quali dati vengono inviati o ricevuti e può bloccare, consentire, avvisare o modificare il traffico di conseguenza.

Gli SWG moderni operano comunemente come cloud servizi o agenti software anziché un singolo dispositivo on-premise, in modo da poter proteggere sia gli utenti remoti che le reti aziendali. L'obiettivo è ridurre il rischio di attacchi web e l'esposizione dei dati combinando il controllo degli accessi con l'ispezione e l'applicazione in tempo reale su tutto il territorio. HTTP/Traffico HTTPS.

Come funziona un gateway Web sicuro?

Un gateway web sicuro indirizza il traffico web degli utenti attraverso un punto di applicazione della sicurezza, dove le richieste vengono valutate e i contenuti ispezionati prima che qualsiasi cosa possa raggiungere l'utente o lasciare l'organizzazione. Ecco come funziona:

  1. Il traffico è indirizzato verso SWG. I dispositivi utente inviano richieste web al gateway tramite una configurazione proxy, agente, VPN/tunnel, ovvero routing di rete in modo che SWG possa vedere e controllare il traffico diretto a Internet.
  2. L'SWG identifica il contesto dell'utente e del dispositivo. Collega la richiesta a un'identità (utente/gruppo) e spesso a un segnale di postura del dispositivo (gestito o non gestito, posizione, stato di rischio), in modo che le policy possano essere applicate in modo coerente.
  3. Viene presa una decisione politica sulla destinazione e sulla richiesta. Il SWG controlla il URL, dominio, categoria dell'applicazione e metodo (GET/POST, caricamenti, download) per decidere se la richiesta debba essere consentita, bloccata o contestata in base alle regole di utilizzo accettabile e di sicurezza.
  4. Il traffico HTTPS viene decrittografato per l'ispezione quando necessario. Se l'organizzazione abilita l'ispezione TLS, lo SWG termina e ristabilisce l' crittografato sessione in modo da poter esaminare i contenuti in modo sicuro; questo è ciò che rende possibile rilevare minacce all'interno di sessioni web crittografate.
  5. I contenuti vengono ispezionati per individuare minacce e comportamenti rischiosi. L'SWG analizza le risposte e carica utilizzando il malware rilevamento, controlli di reputazione e analisi comportamentalee può imporre controlli come restrizioni sul tipo di file, copione blocco o protezioni anti-phishing.
  6. Vengono applicati controlli sulla protezione dei dati. Il gateway ricerca modelli di dati sensibili e violazioni delle policy (ad esempio, credenziali o dati regolamentati inviati tramite un modulo web o il caricamento di file) e può bloccare, redigere, crittografare o consentire con giustificazione, a seconda delle regole.
  7. L'SWG applica il risultato e registra l'attività. Fornisce all'utente il contenuto consentito o lo blocca con una spiegazione, registrando al contempo dati di telemetria e avvisi in modo che i team di sicurezza possano indagare, segnalare l'utilizzo e perfezionare le policy.

Caratteristiche principali del Secure Web Gateway

I gateway web sicuri combinano il controllo degli accessi con l'ispezione in tempo reale, consentendo alle organizzazioni di ridurre i rischi web senza affidarsi esclusivamente alla sicurezza degli endpoint. Le caratteristiche principali includono:

  • Filtraggio URL e controllo degli accessi basato sulle categorie. Blocca o consente siti in base a URL, dominio, categoria di contenuto e livello di rischio, con regole diverse per utente, gruppo o dispositivo.
  • Ispezione TLS/HTTPS. Decrittografa e ispeziona le sessioni web crittografate (ove consentito) per rilevare malware, phishing e perdita di dati nascosto nel traffico HTTPS.
  • Prevenzione di malware ed exploit. Esegue la scansione dei download e dei contenuti Web utilizzando analisi di reputazione, firme e comportamento per bloccare minacce note ed emergenti prima che raggiungano gli utenti.
  • Protezione anti-phishing. Rileva elementi dannosi o simili domini, pagine di raccolta di credenziali e reindirizzamenti sospetti per ridurre il rischio di furto di account.
  • Applicazione e cloud controlli delle app web. Applica le policy alle app basate sul Web (incluse SaaS) identificando l'app in uso, limitando le azioni rischiose e controllando i caricamenti/download.
  • Prevenzione della perdita dei dati per il traffico web. Esamina i post dei moduli e i caricamenti dei file per rilevare dati sensibili (PII, PCI, segreti) e bloccarli, redigerli o richiedere una giustificazione in base alla policy.
  • Motore di policy granulare. Supporta regole basate su identità, appartenenza a gruppi, postura del dispositivo, posizione, ora e segnali di rischio, in modo che l'applicazione corrisponda al modo in cui le persone lavorano effettivamente.
  • Registrazione, reporting e avvisi centralizzati. Acquisisce l'attività web e gli eventi di sicurezza per indagini, reporting di conformità e ottimizzazione delle policy nel tempo.
  • Copertura utente remoto. Protegge gli utenti fuori dalla rete tramite cloud- gateway, agenti endpoint o tunnel forniti, mantenendo l'applicazione coerente al di fuori dell'ufficio.
  • Integrazione con strumenti di identità e sicurezza. Si collega con gli IdP (SSO), EDR/XDR, SIEM/SOAR e feed di informazioni sulle minacce per migliorare la qualità del rilevamento e i flussi di lavoro di risposta.

Opzioni di distribuzione del Secure Web Gateway

I gateway web sicuri possono essere implementati in modi diversi, a seconda della posizione degli utenti, del modo in cui viene instradato il traffico e del livello di controllo necessario sulle ispezioni e sull'applicazione delle policy. Le opzioni di implementazione includono:

  • Cloud- SWG (SaaS) fornito. Il traffico utente viene indirizzato al servizio gateway globale di un provider, che applica le policy e ispeziona i contenuti in prossimità dell'utente. Questa soluzione è comune per le forze lavoro distribuite, perché riduce la necessità di hardware on-premise e garantisce una rapida scalabilità.
  • Appliance SWG locale o appliance virtuale. Il gateway viene eseguito in locale data center as hardware o VM, con il traffico inoltrato dalla rete aziendale. Questa soluzione è adatta ad ambienti che richiedono un controllo rigoroso sul routing, configurazioni proxy legacy o specifici vincoli di conformità.
  • Proxy in avanti (proxy esplicito). I dispositivi sono configurati per inviare traffico web direttamente al proxy SWG (tramite del browser/impostazioni proxy di sistema o PAC/WPAD). Ciò garantisce un controllo chiaro e l'applicazione delle policy, ma richiede una configurazione gestita e può essere aggirato se non abbinato ad altri controlli.
  • Proxy trasparente (in linea). Il traffico viene intercettato e reindirizzato al SWG senza modificare le impostazioni proxy dell'endpoint, in genere utilizzando dispositivi di rete o routing basato su policy. Questo semplifica l'onboarding, ma può essere più difficile da implementare in modo pulito su reti complesse.
  • Agente endpoint con sterzo. Un agente di dispositivo indirizza il traffico web verso SWG in base a criteri, identità utente e contesto di rete, anche quando gli utenti sono fuori dalla rete. Ciò migliora la copertura per gli utenti remoti e i dispositivi in ​​roaming e può ridurre la dipendenza dalla VPN per la sicurezza web di base.
  • Routing basato su tunnel (GRE/IPsec/SD-WAN a SWG). Le sedi distaccate o le reti inviano traffico diretto a Internet tramite gallerie al SWG per un'applicazione centralizzata. Questa funzionalità è utile quando si desidera un controllo coerente per un'intera sede senza dover gestire ogni endpoint singolarmente.
  • Distribuzione ibrida. combina cloud e opzioni on-prem, spesso utilizzando cloud SWG per utenti remoti e on-premise per siti, app o limiti normativi specifici. Questa soluzione è comune durante le migrazioni o quando diverse unità aziendali hanno vincoli diversi.

Qual è un esempio di Secure Web Gateway?

esempio di gateway web sicuro

Un esempio di gateway web sicuro è un'azienda che instrada tutto il traffico web dei dipendenti attraverso un cloud SWG che blocca l'accesso ai siti di phishing noti, esegue la scansione dei download alla ricerca di malware e impedisce agli utenti di caricare file sensibili (come le informazioni personali identificabili dei clienti o Chiavi API) alle app web non autorizzate.

Ad esempio, quando un dipendente clicca su un link in un'e-mail, il gruppo di controllo SWG verifica la reputazione e la categoria della destinazione, ispeziona la pagina tramite HTTPS e autorizza la sessione, avvisa l'utente o la blocca. Se lo stesso utente tenta di caricare un foglio di calcolo contenente dati regolamentati su un sito di condivisione file personale, il gruppo di controllo SWG rileva il pattern dei dati e interrompe il caricamento, registrando l'evento per la revisione di sicurezza.

Utilizzi del Secure Web Gateway

I gateway web sicuri vengono utilizzati per controllare l'accesso a Internet e ridurre i rischi per la sicurezza e i dati derivanti dalla navigazione quotidiana e dall'utilizzo di app web. Gli utilizzi sono:

  • Blocco di siti web e link dannosi. Blocca l'accesso alle pagine di phishing, kit di sfruttamentoe domini pericolosi noti prima che gli utenti interagiscano con essi.
  • Ispezionare i download per individuare malware. Esegue la scansione dei file inviati tramite il Web (incluso HTTPS) per impedire Trojan, ransomwaree altri carichi utili dal raggiungere gli endpoint.
  • Applicazione di politiche di utilizzo accettabile. Limita l'accesso a categorie ad alto rischio o non lavorative (ad esempio, siti di gioco d'azzardo o di streaming non attendibili) in base al ruolo e alla politica dell'utente.
  • Proteggere gli accessi web dal furto di credenziali. Rileva pagine di raccolta di credenziali e flussi di autenticazione sospetti che spesso portano all'appropriazione indebita dell'account.
  • Controllo SaaS e web app attività. Gestisce le azioni rischiose in cloud app, ad esempio limitando i caricamenti/download o bloccando le app non autorizzate ("shadow IT").
  • Prevenire la fuga di dati sul web. Applica controlli DLP ai moduli Web e ai caricamenti di file per impedire che dati sensibili (PII, PCI, segreti) escano dall'organizzazione.
  • Protezione degli utenti remoti e in roaming. Fornisce una protezione web costante anche fuori dall'ufficio, senza dover fare affidamento esclusivamente su una VPN full-tunnel.
  • Supporto alle indagini e alla conformità. Centralizza i registri e i report delle attività web e degli eventi di sicurezza per facilitare l'audit, risposta agli incidentie ottimizzazione delle politiche.

Come scegliere una soluzione Secure Web Gateway?

La scelta di una soluzione di gateway web sicuro significa abbinare protezione, visibilità e usabilità al modo in cui gli utenti accedono effettivamente al web. Ecco cosa fare:

  1. Definisci i tuoi utenti e i modelli di accesso. Inizia identificando dove lavorano gli utenti (ufficio, remoto, ibrido), quali dispositivi utilizzano (gestiti o non gestiti) e come viene instradato il traffico web oggi. Questo determina se hai bisogno cloud consegna, agenti o applicazione basata sulla rete.
  2. Chiarire i requisiti di sicurezza e conformità. Identifica le minacce e i rischi a cui devi far fronte, come phishing, download di malware o perdite di dati, e prendi nota di eventuali vincoli normativi o di privacy che influiscono sull'ispezione o sulla registrazione TLS.
  3. Valutare la profondità e le prestazioni dell'ispezione. Controlla come SWG gestisce l'ispezione HTTPS, la scansione dei file e il rilevamento delle minacce in tempo reale e verifica che possa farlo su larga scala senza aggiungere elementi evidenti latenza per gli utenti.
  4. Valutare la granularità e il controllo delle policy. Cercare flexCriteri personalizzabili basati su identità, gruppo, postura del dispositivo, posizione e rischio, in modo da poter applicare regole diverse per utenti diversi senza creare eccessiva complessità.
  5. Esaminare le capacità di protezione dei dati. Assicurati che SWG sia in grado di rilevare e controllare i dati sensibili nei caricamenti web e nei post dei moduli e conferma che le sue funzionalità DLP siano in linea con i tuoi tipi di dati e flussi di lavoro.
  6. Verifica l'integrazione con il tuo stack esistente. L'SWG dovrebbe integrarsi in modo pulito con il tuo fornitore di identità, sicurezza degli endpointe strumenti di registrazione o SIEM in modo che le policy e le indagini rimangano coerenti tra i sistemi.
  7. Considerare la gestibilità e la crescita futura. Valuta quanto è facile implementare, monitorare e adattare le policy nel tempo e verifica che la soluzione possa essere scalabile in base all'evoluzione della forza lavoro, del volume di traffico e delle esigenze di sicurezza.

Come abilitare un Secure Web Gateway?

L'abilitazione di un gateway web sicuro è un processo graduale che garantisce la protezione del traffico senza interrompere l'attività degli utenti. Include quanto segue:

  1. Selezionare il modello di distribuzione. Decidi se utilizzerai un cloud- gateway fornito, appliance on-prem, agente endpoint o routing basato su tunnel, in base alla posizione degli utenti e al modo in cui il traffico deve essere indirizzato.
  2. Integrare l'identità e autenticazione. Collega SWG al tuo provider di identità in modo che utenti e gruppi possano essere identificati e abilita single sign-on o sincronizzazione delle directory per l'applicazione coerente delle policy.
  3. Configurare la gestione del traffico. Configurare le impostazioni proxy, gli agenti, il routing di rete o i tunnel in modo che il traffico web passi in modo affidabile attraverso SWG e non possa facilmente eludere l'ispezione.
  4. Definire le politiche di sicurezza di base. Inizia con regole essenziali come il blocco delle categorie dannose note, l'attivazione della protezione dal phishing e l'impostazione del comportamento predefinito di autorizzazione/negazione per stabilire una base di sicurezza.
  5. Abilitare l'ispezione TLS/HTTPS dove appropriato. Configurare attentamente le regole di attendibilità e ispezione dei certificati, escludendo le destinazioni sensibili se richiesto dalle policy sulla privacy o sulla conformità.
  6. Aggiungi protezione dei dati e controlli delle app. Attivare gradualmente i controlli DLP, le restrizioni sui tipi di file e i controlli SaaS, verificando che siano in linea con i flussi di lavoro degli utenti reali.
  7. Testare, monitorare e perfezionare. Distribuisci in più fasi, esamina i registri e l'impatto sugli utenti e adatta le policy per ridurre i falsi positivi mantenendo al contempo una protezione elevata.

Quali sono i vantaggi dei Secure Web Gateway?

I gateway web sicuri migliorano la sicurezza e la governance nell'uso quotidiano di Internet, combinando controllo degli accessi, ispezione delle minacce e applicazione delle policy in un unico posto. I vantaggi includono:

  • Riduzione del rischio di phishing e malware diffuso sul web. Blocca i siti dannosi ed esegue la scansione dei contenuti web e dei download prima che raggiungano gli utenti.
  • Migliore visibilità dell'attività web. Centralizza i registri e i report in modo che i team di sicurezza possano indagare sugli incidenti e individuare più rapidamente i modelli rischiosi.
  • Protezione costante per gli utenti remoti e in roaming. Applica le stesse policy di sicurezza web sia fuori rete che dentro la rete, senza affidarsi esclusivamente a una VPN completa.
  • Maggiore controllo su SaaS e shadow IT. Identifica le app Web in uso e può limitare azioni rischiose come caricamenti su servizi non autorizzati.
  • Prevenzione della fuga di dati sul web. Rileva dati sensibili nei moduli web e nei caricamenti di file e può bloccare, avvisare o richiedere una giustificazione.
  • Applicazione delle policy in base all'identità e al contesto. Applica regole diverse in base all'utente/gruppo, alla postura del dispositivo, alla posizione e ai segnali di rischio, anziché applicare un filtro unico per tutti.
  • Abbassare superficie di attacco e una risposta più rapida. Arresta le minacce in una fase iniziale del percorso del traffico e produce dati di telemetria fruibili per la risposta agli incidenti e la messa a punto.

Quali sono le sfide dei gateway Web sicuri?

I gateway web sicuri offrono una solida protezione web, ma possono comportare compromessi in termini di privacy, prestazioni e complessità operativa. Le sfide sono:

  • Complessità dell'ispezione TLS e vincoli sulla privacy. Per decifrare HTTPS a scopo di ispezione è necessario implementare certificati, escludere accuratamente i dati e adottare policy chiare per evitare di ispezionare categorie sensibili o violare le normative.
  • Latenza e impatto sull'esperienza utente. L'instradamento del traffico tramite un SWG e l'esecuzione di scansioni in tempo reale possono comportare ritardi, soprattutto per siti con contenuti multimediali intensi, download di grandi dimensioni o utenti lontani da un punto di ispezione.
  • Falsi positivi e interruzione dell'attività. URL errori di categorizzazione, policy aggressive sulle minacce o regole DLP possono bloccare siti e caricamenti legittimi, causando problemi di supporto e soluzioni alternative.
  • Dispersione delle politiche e costi di manutenzione. I controlli granulari sono potenti, ma le regole possono diventare difficili da gestire e verificare man mano che le eccezioni si accumulano nei team e nelle app.
  • Evitare il rischio senza una guida decisa. Se gli endpoint possono evitare il gateway (modifica delle impostazioni proxy, tunneling diviso, alternativo DNS), l'applicazione diventa incoerente a meno che il routing e i controlli non impediscano l'evasione.
  • Problemi di compatibilità tra certificati e applicazioni. Alcune app, certificati bloccati e determinati protocolli possono non funzionare durante l'ispezione TLS, richiedendo esclusioni o controlli alternativi.
  • Lacune di integrazione e visibilità. Se l'identità, la postura dell'endpoint e i log non sono ben integrati con SWG, le policy potrebbero essere meno precise e le indagini potrebbero richiedere di passare da uno strumento all'altro.

Domande frequenti sul Secure Web Gateway

Ecco le risposte alle domande più frequenti sui gateway web sicuri.

Gateway Web sicuro vs. firewall

Esaminiamo le differenze tra un gateway web sicuro e un firewall:

AspettoGateway web sicuro (SWG)firewall
Scopo principaleControlla e protegge l'accesso degli utenti al Web e alle applicazioni Web.Controlla il traffico di rete tra le reti in base a IP, porta e protocollo.
Focus sul trafficoTraffico web in uscita (HTTP/HTTPS) e utilizzo delle app web.Traffico di rete in entrata e in uscita su tutti i protocolli.
Profondità di ispezioneIspezione approfondita e basata sui contenuti del traffico web, inclusi URL, pagine, file e caricamenti.Ispezione basata su pacchetti e sessioni; l'ispezione approfondita è limitata ai protocolli supportati.
Visibilità HTTPSDecifra e ispeziona comunemente il traffico HTTPS per rilevare minacce e perdite di dati.Potrebbe ispezionare parte del traffico crittografato, ma in genere non è ottimizzato per l'ispezione completa dei contenuti web.
Consapevolezza dell'identitàCriteri rigorosi basati sull'identità (utente, gruppo, contesto del dispositivo).Tradizionalmente basato sulla rete; la consapevolezza dell'identità dipende dalle integrazioni.
Prevenzione della perdita dei datiControlli integrati per l'ispezione dei caricamenti web e dei post dei moduli.Di solito, DLP è una funzionalità o un prodotto separato.
Controllo delle app SaaS e webProgettato per gestire e limitare le azioni nelle app basate sul Web.Non è consapevole dell'applicazione a livello di contenuto web.
Modello di distribuzioneSpesso cloud-fornito tramite agenti, proxy o tunnel.Solitamente distribuiti nei perimetri di rete o come appliance virtuali.
Protezione dell'utente remotoProtegge gli utenti ovunque si connettano, senza VPN full-tunnel.Richiede VPN o accesso alla rete per applicare le policy agli utenti remoti.
Tipico caso d'usoPrevieni phishing, malware e perdite di dati durante l'accesso al web.Segmentare le reti, bloccare gli accessi non autorizzati e far rispettare i confini della rete.

Gateway Web sicuro vs. proxy

Ora, esaminiamo le differenze tra un gateway web sicuro e un proxy:

AspettoGateway web sicuro (SWG)Proxy tradizionale
Scopo principaleSicurezza web completa e applicazione delle policy.Inoltro del traffico e controllo di accesso di base.
Protezione dalle minacceRileva e blocca attivamente malware, phishing e contenuti dannosi.Limitato o nessuno; spesso si basa su regole di base di autorizzazione/negazione.
Ispezione HTTPSDecrittografia e ispezione TLS/HTTPS integrate con controlli di sicurezza.Potrebbe supportare la decrittazione, ma in genere è limitata e non incentrata sulla sicurezza.
Prevenzione della perdita dei datiEsamina i caricamenti e i moduli web per verificare la presenza di dati sensibili e violazioni delle policy.Generalmente non progettato per la protezione dei dati.
Granularità della politicaCriteri basati sull'identità dell'utente, sulla postura del dispositivo, sulla posizione e sul rischio.Di solito basato su IP, URL o autenticazione semplice.
Controllo delle app SaaS e webIdentifica le app web e controlla le azioni rischiose (caricamenti, download).Tratta il traffico principalmente come richieste web generiche.
Modello di distribuzioneComunemente cloud-fornito; supporta anche modelli ibridi e basati su agenti.Spesso in sede o in rete.
Supporto utente remotoProgettato per proteggere in modo coerente gli utenti fuori rete e in roaming.Solitamente ottimizzato per gli utenti in rete.
Visibilità e registrazioneRegistri di sicurezza, avvisi e reportistica centralizzati.Registri di accesso di base con contesto di sicurezza limitato.
Ruolo generalePunto di controllo della sicurezza per l'accesso al web.Ritrasmettitore di traffico e mediatore di accesso.

Con quale frequenza devono essere aggiornate le policy del Secure Web Gateway?

Le policy relative ai gateway web sicuri dovrebbero essere riviste costantemente tramite monitoraggio e aggiornate regolarmente, con modifiche più rapide in caso di minacce. In pratica, la maggior parte dei team effettua una revisione superficiale ogni settimana o due settimane per gestire falsi positivi, nuovi domini rischiosi e richieste degli utenti, e una revisione più approfondita ogni mese o trimestre per eliminare le eccezioni, convalidare i controlli di categoria e allineare le regole ai cambiamenti aziendali (nuove app, nuovi team, nuovi requisiti di gestione dei dati).

Dovresti anche aggiornare le policy immediatamente dopo eventi chiave come una campagna di phishing, un incidente malware, un nuovo lancio di SaaS, modifiche all'ambito di conformità o qualsiasi modifica di routing/identità che influisca su chi è coperto dal SWG.

Anastasia
Spasojevic
Anastazija è una scrittrice di contenuti esperta con conoscenza e passione per cloud informatica, informatica e sicurezza online. A phoenixNAP, si concentra sulla risposta a domande scottanti su come garantire la robustezza e la sicurezza dei dati per tutti i partecipanti al panorama digitale.