Nel contesto della digital transformation del business, la trasformazione delle reti IT ricopre un ruolo fondamentale, in quanto necessaria a quella modernizzazione dell’IT a 360° senza la quale non è possibile la rivoluzione digitale nel modo di progettare, comunicare e vendere prodotti e servizi sui mercati.
Per comprendere quanto la network transformation sia un fattore essenziale, e non opzionale, è sufficiente fermarsi un momento a pensare a quale sia stato in passato il ruolo delle reti.
Nell’IT tradizionale, nelle sedi centrali delle aziende si trova il data center, cosiddetto “core”, nel quale sono installate le applicazioni business critical alle quali si collegano sia il personale di sede, tramite Local Area Network (LAN), sia quello delle filiali e degli uffici remoti, tramite Wide Area Network (WAN). Le topologie delle reti, le infrastrutture di connettività (tipicamente cablata), gli apparati di networking e di sicurezza, e i processi e servizi interni ed esterni necessari per installare, monitorare e gestire queste architetture di rete, erano (e sono) funzionali a “quel tipo” di IT.
Con l’IT transformation correlata ad un’innovazione digitale basata su Internet, il cloud e su tutte le applicazioni e i servizi che sono nati e si stanno sviluppando sulla “nube”, è necessario che anche il networking si modifichi per favorire una diversa fruizione dell’IT da parte delle aziende. La maggior parte delle realtà sono sempre distribuite nel mondo, soprattutto a seguito di fenomeni come la globalizzazione (che rende necessaria la presenza diretta in nuovi mercati, con uffici e, a volte, sedi di produzione o logistica), e vedono allentarsi il concetto di “sede remota” perché grazie a telelavoro, smart working e la mobility c’è sempre meno collegamento tra luogo fisico e lavoro.
Gli imprenditori e i manager di business si trovano quindi ad affrontare il problema di aprire, ingrandire, spostare e a volte ridimensionare le cosiddette “branch” (filiali o uffici remoti che siano). In quest’ottica appare quanto mai rilevante il ruolo crescente delle WAN, intese come assi portanti dell’architettura di rete e IT.
La branch transformation guidata da Internet
Già, ma che trasformazione sta avvenendo nell’IT aziendale che si rispecchia anche nelle branch e che richiede una network transformation anche a livello delle periferie aziendali?
Una prima risposta è nel crescente utilizzo di Internet e del cloud. Sia negli headquarter sia nelle branch si assiste a un sempre maggiore utilizzo, accanto alle applicazioni ospitate nei data center on premise, di applicazioni e di servizi internet/cloud quali la posta elettronica, i motori di ricerca sul web (Google Search è ormai diventata un’alternativa alle directory cartacee di ogni tipo), i programmi di produttività individuale e di collaboration. Ma il modello cloud è sempre più abbracciato anche per applicazioni business critical: sia perché, di fronte alla necessità di ammodernare alcune piattaforme fra le quali, per prime, quelle ERP e di CRM, molte aziende scelgono di migrare dal modello on-premises alla fruizione delle stesse come Software-as-a-Service (SaaS) sia perché anche per nuovi progetti la scelta privilegia fin da subito il paradigma cloud-based, sfruttando servizi IaaS o offerte SaaS per nuovi processi quali, per esempio, la fatturazione elettronica.
Verso questo nuovo universo di applicazioni e servizi internet/cloud si affacciano sia i data center degli headquarter sia i sistemi IT di filiale, poiché anche gli utenti di queste ultime hanno esigenze di utilizzare suite di comunicazione e di produttività SaaS, di accedere ad altri servizi web e, last but not least, alle applicazioni business critical enterprise migrate sul cloud. Secondo il 2017 State of the WAN Report di Aryaka, circa il 50% del traffico WAN delle aziende è legato all’utilizzo, sia per finalità ricreative che di business, di applicazioni e servizi cloud e SaaS. Zscaler, azienda che fornisce soluzioni per la cloud security, segnala invece che la crescita annua del consumo di risorse Internet è pari al 30%.
Una network transformation strategica
Ad oggi, la maggior parte delle branch di grandi aziende distribuite utilizza, anche per l’accesso alle applicazioni e ai servizi internet/cloud, l’infrastruttura WAN predisposta al servizio dell’IT tradizionale. Si tratta, quindi, soprattutto di network di tipo hub-and-spoke (a raggiera) basate su reti IP di tipo MPLS (Multiprotocol Label Switching) che garantiscono affidabilità, performance, riservatezza, ma che sono allo stesso tempo costose. Essendo dedicate, non molto economiche, e localmente non sempre disponibili dagli stessi vendor, solitamente le WAN MPLS hub-and-spoke prevedono una topologia basata su connessioni fra branch e data center regionali, e quindi su connessioni con una capacità di carico (backhauling) più elevata delle precedenti, fra i data center regionali e quello core. Si tratta, quindi, di un modello gerarchico, che prevede diversi “salti” (hops) per le comunicazioni che devono andare da una branch fino all’head quarter e poi tornare indietro, con un raddoppio di costi di banda. In più, ogni hop introduce una latenza, che si trasforma in un abbattimento delle performance dei workload di business e in una non ottimale esperienza utente.
Il fattore Internet security
Del resto, la tendenza a conservare, fin quando possibile, l’uso delle WAN hub-and-spoke MPLS-based anche per i traffici Internet delle branch ha delle spiegazioni plausibili:
- La prima è che, per ancora molto tempo, le aziende manterranno la maggior parte delle applicazioni business-critical nel data center core. Molte di queste applicazioni sono di tipo legacy e prevedono un traffico di dati contenuto, in quanto costituito da informazioni strutturate e con una direzione prevalentemente inbound (dalle branch verso i database presenti nei core data center).
- La seconda ragione è che presso i data center negli headquarter sono stati effettuati ingenti investimenti in appliance di sicurezza che controllano in uscita e in entrata anche il traffico Internet delle branch con diverse funzionalità di security (in primis firewall e IPS, Intrusion prevention system).
- Una terza ragione è che installare presso le branch soluzioni di sicurezza con gli stessi security stack presenti nei gateway fra data center e cloud richiederebbe un aggravio di costi e di complessità di gestione.
Eppure, il crescente ruolo strategico dell’utilizzo di applicazioni e servizi Internet da parte delle branch, se si volesse agevolarlo (e non scoraggiarlo), richiederebbe dei potenziamenti delle attuali reti hub-and-spoke che sono di sicuro molto onerose in tutti i sensi, oltre che di non sicura efficacia nei confronti dei problemi di latenza. L’alternativa più ragionevole che emerge è quella di prevedere il più possibile connessioni dirette a internet presso le branch, senza compromessi dal punto di vista della sicurezza. E l’opzione alternativa al deployment di appliance con lo stesso security stack dei gateway dei data center in ogni singola branch è, come enfatizza Zscaler che su questo modello ha costruito il suo business fin dalla fondazione, una cloud security al 100%, che offra tutti i livelli di protezione a persone, dati e applicazioni, in modo coerente per tutte le branch e per i lavoratori mobili e da remoto (tutto è centrato sull’utente), con una gestione centralizzata da un’unica UI console cloud-based.
Opzione che si concretizza con l’emergere di un nuovo operatore, un cloud security provider, i cui data center (dove vengono implementate tutte le policy di sicurezza previste dall’azienda cliente) si interfacciano, da un lato con le branch e il data center dell’azienda e dall’altro con l’intera Internet, i SaaS e gli altri cloud provider. E le WAN MPLS? Possono essere mantenute per i traffici dati delle applicazioni legacy (che non transitano da cloud provider), senza necessità di investire nel loro potenziamento, mantenendone così i costi stabili nel tempo. E lo stesso vale per le appliance di security presenti nel data core center, destinate, a questo punto, a mantenere in sicurezza il traffico Internet diretto tra quest’ultimo e la nube.