Poiché permette di utilizzare sul cloud applicazioni di produttività individuale, comunicazione e collaborazione che in passato erano installate, configurate e gestite on-premises, la piattaforma Microsoft Office 365 rappresenta uno dei tasselli fondamentali della digital transformation per molte aziende e organizzazioni orientate a sposare i paradigmi cloud. Ma è sufficiente solo passare dalle versioni tradizionali di Word, Office, Excel, PowerPoint, SharePoint, Outlook, Skype, a quelle online, per garantire agli utenti la stessa user experience precedente e possibilmente migliorarla? Navigando fra molti articoli e documenti della stessa Microsoft che parlano delle best practice di deployment di Office 365 scopriamo che non è così: occorre, in molti casi, ripensare le infrastrutture di networking e sicurezza aziendali.
Dall’utilizzo delle WAN hub-and-spoke al direct-to-internet
Benché sia corretto definire Office 365 un’offerta Software-as-a-Service, la soluzione non è un SaaS come la maggior parte delle altre sul mercato, rappresentate da un’unica applicazione monolitica. Quando si avvia, Office 365 lancia diverse app in contemporanea o, come si usa dire in terminologia tecnica, “concorrenti”: si può arrivare anche a oltre una dozzina di software diversi utilizzati in modo parallelo o integrato. Alcuni, come Exchange, SharePoint e Skype, richiedono più banda degli altri e sono molto sensibili alle latenze di trasmissione e ricezione dei dati. Questa esigenza può risultare insoddisfatta nel caso di branch (sedi periferiche) in cui tutta la connettività dati verso l’enterprise e internet è obbligata a passare attraverso un gateway centralizzato installato presso il data center della sede centrale. È il caso delle branch connesse attraverso reti WAN (Wide Area Network) in tecnologia MPLS (Multiprotocol Label Switching) e topologia hub-and-spoke.
La soluzione a questo problema è scorporare i traffici dati generati dalle applicazioni Office 365 cloud-based (e in generale di tutte le applicazioni Web utilizzate per lavoro) da quelli legati ad altri software aziendali, che possono rimanere sulla rete WAN hub-and-spoke senza problema. Questo tipo di opzione per la connettività dalle branch al cloud si chiama direct-to-internet o direct internet connection.
Vantaggi delle direct internet connection per prestazioni e sicurezza di Office 365
La connessione diretta a internet riduce al minimo il numero di hops (salti) che una richiesta HTTP deve effettuare per arrivare ai data center di Microsoft in cui sono installati i server dei servizi Office 365. È la stessa società di Redmond a raccomandare che (per il più soddisfacente utilizzo della piattaforma di produttività e collaborazione, così come di tutte le applicazioni che le aziende installano, invece che on-premise, sul cloud pubblico Microsoft Azure) gli utenti delle branch e quelli mobili si colleghino al più vicino data center Microsoft. Per consentire questa più diretta connessione alle soluzioni online, il vendor ha creato anche una soluzione di connettività privata chiamata ExpressRoute, che viene erogata da una serie di connectivity provider, in massima parte di origine telco; questi, a loro volta, sono connessi alla rete mondiale che connette i data center Microsoft.
Un’altra alternativa è rivolgersi a un cloud-based information security provider globale, che disponga di molti data center connessi a quelli di Microsoft e di altri grandi colossi Web in peering con reti velocissime, a banda larghissima e in modo diretto.
Il vantaggio di questi cloud è che gli utenti possono connettersi ad essi attraverso un ISP (Internet Service Provider) di loro scelta e che non richiedono al cliente di dotarsi di alcun tipo di hardware, inclusi quelli di sicurezza.
I migliori di questi cloud-based information service provider, infatti, oltre a offrire alle reti locali delle branch il percorso più breve e veloce per connettersi ai servizi online (grazie all’impiego di server DNS locali) offrono soluzioni cloud-based di cybersecurity che coprono le aree dell’Access Control (cloud firewall, URL filtering, DNS filtering), della Threat Prevention (antivirus, IPS e Advanced Protection, DNS Security, SSL Inspection) e della Data Protection (DLP, sandboxing, file type control), senza che presso le branch debbano essere installate security appliance, costose, complesse da gestire e da scalare in base alla variazione dei traffici Web.
Per quanto riguarda l’utilizzo di Office 365, c’è da segnalare anche che, a ciascun Office 365 endpoint, Microsoft invia all’inizio di ogni mese un file XML contenente raccomandazioni su come andrebbe configurata la rete. Sta poi agli utenti tradurre questi consigli in riconfigurazioni di firewall, proxies, e altre soluzioni di Access Control. Un cloud-based information security provider può garantire al primo collegamento di un client che tutti questi suggerimenti siano automaticamente e completamente attuati. E che lo siano anche in caso, vista la sempre maggiore tendenza alla mobilità del lavoro, lo stesso endpoint cambi frequentemente IP e DNS.
