Technology HowTo

5 requisiti per garantire la sicurezza di filiali e uffici remoti

Le cosiddette branch, filiali, succursali di aziende geograficamente distribuite, chiedono di utilizzare in modo più performante e sicuro le applicazioni e i servizi Internet/cloud. Le architetture WAN tradizionali hanno problemi di latenza che incidono sull’esperienza utente. E diventano costose da gestire dal punto di vista della sicurezza. Le alternative? Connessioni direct-to-Internet e true cloud security

Pubblicato il 13 Feb 2019

5 requisiti per garantire la sicurezza di filiali e uffici remoti

Man mano che gli utenti nelle location periferiche aziendali aumentano l’uso di applicazioni e risorse Internet/cloud, alle branch aziendali dovrebbero essere garantite connessioni Internet che permettono di avere le stesse user experience e protezioni dai rischi informatici di cui si beneficia nelle sedi centrali connesse al data center attraverso LAN.

In realtà, invece, anche a diversi anni dall’avvento di Internet, dei Software-as-a-Service (SaaS) e delle architetture data center aziendali sempre più ibride e ormai multicloud, il networking all’interno delle branch aziendali e per le connessioni fra queste e le sedi centrali, resta di tipo tradizionale: ovvero quello hub-and-spoke (a raggiera), basato su connessioni Ip di tipo MPLS (Multiprotocol Label Swithing) e che prevede livelli stratificati e gerarchici composti da branch, data center regionali e core data center.

Molti responsabili IT continuano ad apprezzare questo modello perché ha richiesto investimenti (da tenere presente, però, che ne richiederebbe di nuovi, nel caso dell’aumento nel numero di branch e di altri uffici remoti) e permette di avere una visibilità d’insieme della WAN, dagli apparati di rete all’edge e nei data center regionali, e dei traffici di dati che li attraversano. Per i responsabili della security, il fatto che anche le connessioni fra le branch e Internet debbano passare per il data center centrale, è un motivo di tranquillità, in quanto anche questi traffici possono essere sottoposti al controllo di appliance di tipo NGFW (Next Generation Firewall) o UTM (Unified Threat Management) installate come gateway fra il data center centrale e gli ISP (Internet Service Provider).

Ma quanto, invece, a fronte della crescita del traffico Internet/cloud sul totale, le WAN e le metodologie di security tradizionali risultano ancora efficienti e sostenibili? Non sarebbe più opportuno, senza eliminare completamente il MPLS fra data center e branch, prevedere per queste ultime connessioni dirette a Internet (direct-to-Internet connections), che, fra l’altro, eliminano lo svantaggio delle latenze causate, lungo le WAN hub-and-spoke, da numerosi “hop” (salti), fra i quali quelli causati dai data center regionali? Ricordiamo, a questo proposito, che le applicazioni cloud, in particolare quelle di collaborazione e comunicazione, sono molto sensibili alla latenza. Infine, come rendere le branch dotate di direct-to-Internet connection protette con lo stesso livello di security esistente nella sede centrale e rispondente alle policy decise centralmente sia oggi che domani, a seguito dell’introduzione di nuovi servizi di cyber security? Zscaler, che fin dalla sua nascita sviluppa soluzioni e servizi di cloud security, ha sintetizzato in cinque punti i requisiti di sicurezza di una branch in un’epoca in cui si prevede che il traffico Internet nelle aziende cresca ad un ritmo del 30% annuo:

  1. Comprehensive security platfom: sicurezza completa significa che è necessaria una protezione identica in tutte le posizioni e ciò è possibile solo con una vera soluzione cloud. La soluzione deve ispezionare tutte le porte e i protocolli e includere una serie completa di servizi di sicurezza e accesso integrati, tra cui sandboxing cloud, cloud firewall e prevenzione avanzata delle minacce; una sicurezza che deve seguire gli utenti, ovunque si connettano.
  2. Proxy-base architecture: Il traffico crittografato SSL è in aumento e così anche le minacce che si nascondono al suo interno. Google segnala che oltre il 90% del traffico che transita nei suoi data center è crittografato, quindi l’ispezione SSL è indispensabile. Ma l’ispezione SSL richiede un proxy: per la massima sicurezza, è necessario un proxy che controlli in modo nativo il traffico crittografato SSL, senza compromettere le prestazioni.
  3. Global Cloud: come abbiamo visto, la nozione del perimetro della rete è cambiata radicalmente ed è necessario fornire sicurezza e controlli di accesso per gli utenti che lavorano e si connettono ovunque. Far transitare il traffico da un cloud in grado di fornire quella sicurezza coerente, indipendentemente da dove si trovano gli utenti, è fondamentale per garantire l’affidabilità e la disponibilità di risorse, dati e applicazioni richieste dalle aziende per la propria sede e tutte le filiali e uffici remoti.
  4. Enterprise-grade visibility and management: la visibilità in tempo reale per utente, applicazione e ruolo è essenziale per qualsiasi implementazione di sicurezza, in particolare per un’organizzazione ampiamente distribuita. In questo modo non ci si deve più preoccupare di perdere i log, mettere insieme log frammentati o utilizzare più piattaforme di gestione per visualizzare i log di Internet.
  5. Elastic scalability: l’ottimizzazione delle funzionalità delle applicazioni cloud si basa sulla garanzia di prestazioni e sicurezza, indipendentemente dal volume di traffico. Significa anche che gli utenti non subiscono alcun impatto quando vengono aggiunte funzionalità, funzioni o utenti. È quindi necessaria una piattaforma di sicurezza multi-tenant scalabile in modo elastico per supportare applicazioni ad alta intensità di risorse, nuove funzionalità di sicurezza e gestione degli aumenti del traffico di rete, senza aumentare costi o complessità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3