<> <<82.5% of the enterprise end users said their awareness of SD-WAN offerings is growing. A full...
5 min. di lettura
È ormai assodato che le aziende di oggi necessitino di collaboratori e dipendenti produttivi e connessi anche se dislocati nel mondo. Gli utenti dell’organizzazione moderna devono poter lavorare anche da dispositivi diversi dal computer aziendale, siano essi tablet, smartphone o laptop.
Ed è altresì necessario che, da tutti questi dispositivi, si possa accedere a molteplici applicazioni, sia quelle SaaS nel cloud che quelle on-premises. Per fornire tale accesso è ancora piuttosto comune l’utilizzo delle reti virtuali private (VPN) o delle DMZ; ma queste soluzioni, oltre ad essere di per sé complesse e ardue da aggiornare per quanto riguarda la security, sono anche costose da implementare e gestire.
Si può dire che quando forniscono l'accesso remoto alle applicazioni aziendali, le aziende devono affrontare due sfide:
- Ottimizzare l’accesso per i dipendenti, devono poter lavorare anche fuori dalle mura aziendali
- Controllare e rendere sicuro l’accesso alle business applications nei datacenter (sia in cloud sia fisici), o alle public cloud applications come per esempio Office 365.
Caso d'uso 1 accesso da remoto ai datecenter fisici
Gli utenti che lavorano da remoto necessitano di un accesso, regionale o globale, alle applicazioni ospitate nei datacenter.
Tradizionalmente, per i dipendenti era prassi accedere alle applicazioni eseguendo un client VPN sui loro dispositivi mobili e connetterli ai VPN concentrators o ai firewall dei datacenter. Quando gli utenti remoti entravano nella rete attraverso località remote, dovevano attraversare la MPLS o la VPN Internet per arrivare ai server nel datacenter.
Ora, da quando l’accesso alla VPN si svolge interamente su Internet pubblico, gli utenti sono esposti a un Internet routing irregolare, con una tanto prevedibile quanto significativa latenza e packet loss. Questi fattori possono danneggiare severamente l’esperienza d’uso dell’applicazione, generando frustrazione negli utenti e ostacolando quindi la loro produttività.
In aggiunta, una volta autenticati, le soluzioni VPN tradizionali consentono agli utilizzatori di accedere a un intero network. Questo significa che gli hacker potrebbero essere solo a una password di distanza dall’ottenere un punto d’appoggio illimitato nel network aziendale.
Caso d'uso 2 accesso da remoto ai cloud datacenter
Benché concettualmente simili ai datacenter fisici, i datacenter in cloud ci pongono davanti nuove sfide in materia di network e sicurezza, sia per quanto concerne gli utenti mobili sia per quanto riguarda gli utenti fissi.
Le architetture WAN legacy che hanno eseguito il backhaul del traffico verso un data center fisico necessitano di incorporare la suddivisione del data center stesso in data center fisici e cloud, spesso a chilometri e chilometri di distanza. Sappiamo bene che nessuna delle soluzioni più ovvie è abbastanza soddisfacente per ovviare a questa necessità.
Continuare a inoltrare il traffico dal datacenter fisico e quindi al datacenter cloud lascia il traffico degli utenti mobili (e quello legato al datacenter) soggetto all'instradamento irregolare di Internet, senza contare poi che a tutto questo si aggiunge anche una certa latenza.
È vero che i servizi di interconnessione al cloud, come Direct Connect per AWS (Amazon Web Services) ed Express Route per Microsoft Azure, forniscono connessioni dirette dal datacenter fisico al cloud; ma gli utenti remoti rimangono soggetti alla variabilità delle prestazioni di Internet.
Permettere ai lavoratori dislocati di accedere direttamente al cloud è ugualmente inefficace perché li lascia in balia delle prestazioni di Internet. In più, l’accesso diretto bypassa il security stack della rete aziendale, richiedendo così l’implementazione di nuove soluzioni di sicurezza basate sul cloud.
Caso d'uso 3 accesso alle applicazioni cloud
Accedere alle applicazioni cloud (SaaS) introduce ancora più sfumature e variabili dei due casi precedenti.
Le app in cloud sono al di fuori del controllo IT; quindi, le capacità di ottimizzazione WAN non possono essere estese nel data center del provider di applicazioni. Tuttavia, gli utenti devono poter accedere alle istanze delle applicazioni cloud.
Prendiamo ad esempio un'istanza SFDC situata in una regione specifica. Tutti gli utenti, indipendentemente dalla loro posizione, devono poter accedere a tale istanza affrontando le stesse condizioni di connettività che avrebbero se accedessero al data center della loro azienda.
La sicurezza di rete è ancora più difficile da implementare: quella tradizionale si basa su una "line of sight" del traffico per ispezionarlo e proteggerlo; ma l'accesso diretto da mobile a cloud ignora lo stack di sicurezza della rete aziendale. Quindi, le aziende devono ancora una volta affrontare una scelta difficile: forzare il backhauling del traffico Internet mobile verso il data center, aggiungendo latenza e degradando l'esperienza dell'utente, oppure aumentare i costi implementando una soluzione di sicurezza basata su cloud, come SWG o CASB, per intercettare e ispezionare tutto il traffico mobile diretto verso il cloud.
La trasformazione della WAN prende in carico l’ottimizzazione dell’accesso da remoto
Storicamente, la questione della mobilità non è mai stata di pertinenza della WAN: dopotutto, gli utenti mobili si connettevano ai firewall per accedere alle applicazioni nel datacenter aziendale, non alla WAN. Quest’ultima, infatti, connetteva solo le location fisiche come per esempio gli headquarters, le succursali, gli impianti di manifattura, le fabbriche e gli uffici.
Ma con la mobilità diventata la nuova prassi lavorativa, e non più l’eccezione, questa separazione non è più conveniente. La mobilità e il cloud sono oggi essenziali per il nostro modo di lavorare. Ogni progetto di trasformazione della WAN deve quindi rendere conto ad entrambi gli aspetti.
La soluzione: le piattaforme SASE (Secure Access Service Edge) ottimizzano l’accesso da remoto
La piattaforma SASE dispone di una dorsale WAN multi-tenant costruita su vari punti di presenza (PoP) distribuiti a livello globale. Questi ultimi sono completamente meshati, in modo da creare un overlay globale privato e ottimizzato.
Le risorse perimetrali, comprese le location fisiche, i data center in cloud e gli utenti remoti stabiliscono tunnel sicuri verso il PoP più vicino utilizzando IPsec o DTLS. Le applicazioni cloud sono accessibili instradando il traffico al PoP più vicino (misurato in base a latenza e perdita).
La rete cloud di SASE è un sostituto completo e totale delle tradizionali soluzioni VPN.
Eseguendo l'accesso client mobile o tramite l’accesso al browser senza client, il dispositivo mobile trova e si connette al PoP più vicino. L'utente accede utilizzando l'autenticazione a più fattori e, una volta connesso al PoP, entra a far parte della WAN aziendale virtuale. In questo modo è per lui possibile accedere a qualsiasi applicazione autorizzata.
Con la sua dorsale globale supportata da SLA, la rete cloud di SASEconnette gli utenti remoti alle risorse dei data center, sia fisiche che cloud, in qualsiasi parte del mondo, senza il problema della scarsa regolarità dell’Internet middle mile. Inoltre, poiché gli intervalli IP (sia del datacenter fisico sia dei datacenter cloud) sono visibili sulla WAN agli utenti autorizzati, è possibile calcolare un percorso diretto ottimizzato.
Insomma, sono finalmente terminati i problemi dovuti ai punti di strozzatura e al backhauling che hanno da sempre minato le prestazioni degli utenti mobili.
Accesso da remoto come strategia di business continuity
Le condizioni meteo avverse, sempre più estreme, e la recente crisi sanitaria mondiale, hanno insegnato alle imprese che permettere ai loro dipendenti di lavorare a distanza (anche a tempo pieno) è ormai essenziale per i loro BCP (business continuity plans).
Le soluzioni VPN legacy sono progettate per consentire l'accesso a un numero limitato di utenti per brevi periodi di tempo, non certo per l'accesso 24/7 di tutti i lavoratori che potrebbero essere necessari in scenari di continuità aziendale ottimale.
Una soluzione di accesso remoto basata su SASE, al contrario, ha le giuste caratteristiche per superare tali limitazioni: SASE è una piattaforma cloud altamente scalabile e distribuita a livello globale, che consente l'accesso continuo a tutti i dipendenti in ufficio, in viaggio o da casa.
Anche per quanto riguarda i costi, quelli associati alla scalabilità e alla ridondanza necessarie per supportare i business continuity plans con soluzioni VPN tradizionali sono significativamente più elevati rispetto a quelli di una piattaforma SASE.
Con le soluzioni legacy, le appliance devono diventare sufficientemente grandi da supportare tutti i dipendenti, ma devono essere anche sufficientemente ridondanti per garantire la disponibilità in caso di guasto o disconnessione di una di esse. In confronto, SASE è in grado di servire qualsiasi numero di utenti, in qualsiasi momento e in qualsiasi parte del mondo; dispone inoltre di un'elevata disponibilità già integrata, permettendo di sviluppare la business continuity aziendale a un costo contenuto.
Accesso da remoto: un paragone veloce tra le soluzioni
SASE è un’architettura cloud-native che connette tutte le risorse – fisiche, cloud e mobili – ad una sola ottimizzazione WAN virtuale. Il risultato? La convergenza di molteplici funzionalità, tra cui l'ottimizzazione della WAN, la sicurezza della rete, il controllo dell'accesso al cloud e l'accesso remoto alla rete stessa. Questo design straordinariamente completo semplifica notevolmente il lavoro del reparto IT aziendale e riduce rischi e costi per tutta l’organizzazione.
Per approfondire, scarica l’e-book qui
Rimani aggiornato sulle ultime novità del mondo TelCo e IT
iscrivendoti alla nostra newsletter qui
Fonte: “Optimized remote access with a Secure Access Service Edge” by Cato Networks
