Man mano che gli utenti nelle location periferiche aziendali aumentano l’uso di applicazioni e risorse Internet/cloud, alle branch aziendali dovrebbero essere garantite connessioni Internet che permettono di avere le stesse user experience e protezioni dai rischi informatici di cui si beneficia nelle sedi centrali connesse al data center attraverso LAN.
In realtà, invece, anche a diversi anni dall’avvento di Internet, dei Software-as-a-Service (SaaS) e delle architetture data center aziendali sempre più ibride e ormai multicloud, il networking all’interno delle branch aziendali e per le connessioni fra queste e le sedi centrali, resta di tipo tradizionale: ovvero quello hub-and-spoke (a raggiera), basato su connessioni Ip di tipo MPLS (Multiprotocol Label Swithing) e che prevede livelli stratificati e gerarchici composti da branch, data center regionali e core data center.
Molti responsabili IT continuano ad apprezzare questo modello perché ha richiesto investimenti (da tenere presente, però, che ne richiederebbe di nuovi, nel caso dell’aumento nel numero di branch e di altri uffici remoti) e permette di avere una visibilità d’insieme della WAN, dagli apparati di rete all’edge e nei data center regionali, e dei traffici di dati che li attraversano. Per i responsabili della security, il fatto che anche le connessioni fra le branch e Internet debbano passare per il data center centrale, è un motivo di tranquillità, in quanto anche questi traffici possono essere sottoposti al controllo di appliance di tipo NGFW (Next Generation Firewall) o UTM (Unified Threat Management) installate come gateway fra il data center centrale e gli ISP (Internet Service Provider).
Ma quanto, invece, a fronte della crescita del traffico Internet/cloud sul totale, le WAN e le metodologie di security tradizionali risultano ancora efficienti e sostenibili? Non sarebbe più opportuno, senza eliminare completamente il MPLS fra data center e branch, prevedere per queste ultime connessioni dirette a Internet (direct-to-Internet connections), che, fra l’altro, eliminano lo svantaggio delle latenze causate, lungo le WAN hub-and-spoke, da numerosi “hop” (salti), fra i quali quelli causati dai data center regionali? Ricordiamo, a questo proposito, che le applicazioni cloud, in particolare quelle di collaborazione e comunicazione, sono molto sensibili alla latenza. Infine, come rendere le branch dotate di direct-to-Internet connection protette con lo stesso livello di security esistente nella sede centrale e rispondente alle policy decise centralmente sia oggi che domani, a seguito dell’introduzione di nuovi servizi di cyber security? Zscaler, che fin dalla sua nascita sviluppa soluzioni e servizi di cloud security, ha sintetizzato in cinque punti i requisiti di sicurezza di una branch in un’epoca in cui si prevede che il traffico Internet nelle aziende cresca ad un ritmo del 30% annuo:
- Comprehensive security platfom: sicurezza completa significa che è necessaria una protezione identica in tutte le posizioni e ciò è possibile solo con una vera soluzione cloud. La soluzione deve ispezionare tutte le porte e i protocolli e includere una serie completa di servizi di sicurezza e accesso integrati, tra cui sandboxing cloud, cloud firewall e prevenzione avanzata delle minacce; una sicurezza che deve seguire gli utenti, ovunque si connettano.
- Proxy-base architecture: Il traffico crittografato SSL è in aumento e così anche le minacce che si nascondono al suo interno. Google segnala che oltre il 90% del traffico che transita nei suoi data center è crittografato, quindi l’ispezione SSL è indispensabile. Ma l’ispezione SSL richiede un proxy: per la massima sicurezza, è necessario un proxy che controlli in modo nativo il traffico crittografato SSL, senza compromettere le prestazioni.
- Global Cloud: come abbiamo visto, la nozione del perimetro della rete è cambiata radicalmente ed è necessario fornire sicurezza e controlli di accesso per gli utenti che lavorano e si connettono ovunque. Far transitare il traffico da un cloud in grado di fornire quella sicurezza coerente, indipendentemente da dove si trovano gli utenti, è fondamentale per garantire l’affidabilità e la disponibilità di risorse, dati e applicazioni richieste dalle aziende per la propria sede e tutte le filiali e uffici remoti.
- Enterprise-grade visibility and management: la visibilità in tempo reale per utente, applicazione e ruolo è essenziale per qualsiasi implementazione di sicurezza, in particolare per un’organizzazione ampiamente distribuita. In questo modo non ci si deve più preoccupare di perdere i log, mettere insieme log frammentati o utilizzare più piattaforme di gestione per visualizzare i log di Internet.
- Elastic scalability: l’ottimizzazione delle funzionalità delle applicazioni cloud si basa sulla garanzia di prestazioni e sicurezza, indipendentemente dal volume di traffico. Significa anche che gli utenti non subiscono alcun impatto quando vengono aggiunte funzionalità, funzioni o utenti. È quindi necessaria una piattaforma di sicurezza multi-tenant scalabile in modo elastico per supportare applicazioni ad alta intensità di risorse, nuove funzionalità di sicurezza e gestione degli aumenti del traffico di rete, senza aumentare costi o complessità.
