1 giugno 2022
Di Michael Schneider - Sr. Manager, Product Management, Skyhigh Security
"Le funzionalità sono una cosa piacevole da avere, ma alla fine della giornata, tutto ciò che ci interessa quando si tratta della nostra sicurezza web e cloud è l'architettura". - ha detto nessun cliente.
Il fatto è che a nessuno piace parlare di architettura quando si acquista l'ultima e migliore tecnologia di sicurezza informatica, e la maggior parte delle organizzazioni si è accontentata di continuare a inserire nuovi strumenti e funzionalità di sicurezza nelle architetture tradizionali esistenti. Tuttavia, i progetti di trasformazione digitale, tra cui la migrazione al cloud e l'accesso mobile onnipresente, hanno rivelato delle crepe architettoniche, e molte aziende hanno visto la diga scoppiare con l'esplosione della domanda di accesso remoto negli ultimi mesi. Di conseguenza, le organizzazioni si stanno rendendo conto che la trasformazione digitale richiede una corrispondente trasformazione architettonica della rete e della sicurezza.
Il framework Secure Access Service Edge (SASE) offre alle organizzazioni un modello per realizzare questa trasformazione, riunendo la tecnologia di rete e di sicurezza in un unico servizio fornito nel cloud, che garantisce un accesso rapido, sicuro, affidabile ed economico alle risorse web e cloud. In questo blog, ci concentriamo sugli uffici remoti e sulla combinazione di funzionalità SD-WAN e Next-Generation Secure Web Gateway che Skyhigh SSE può abilitare per la trasformazione digitale.
Il cloud e il dilemma architettonico
In passato, le organizzazioni erano in gran parte concentrate in un numero limitato di sedi. Le applicazioni e i dati erano ospitati sui server di un centro dati centrale sulla rete locale, in genere presso o vicino alla sede centrale. Gli utenti lavoravano tipicamente in ufficio, quindi si trovavano anch'essi in ufficio e accedevano alle risorse aziendali sulla stessa rete. Intorno a questa rete c'era un perimetro di controlli di sicurezza in grado di ispezionare tutto il traffico in entrata e in uscita dall'organizzazione, mantenendo le risorse fidate al sicuro e tenendo fuori i malintenzionati. Gli utenti remoti e le filiali erano logicamente collegati a questa rete centrale tramite tecnologie come VPN, MPLS e linee affittate, in modo da mantenere il perimetro di rete sicuro.
Mentre questo approccio è stato sufficiente per anni, la trasformazione digitale ha creato sfide importanti. Le applicazioni e l'archiviazione dei dati sono migrati nel cloud, quindi non risiedono più sulla rete aziendale. Secondo la logica, l'approccio ottimale sarebbe quello di consentire agli utenti e agli uffici remoti di accedere direttamente alle risorse del cloud, senza dover passare attraverso la rete aziendale. Ma in questo modo il perimetro di sicurezza IT dell'organizzazione verrebbe completamente aggirato, con conseguente perdita di visibilità e controllo della sicurezza, con conseguenti rischi inaccettabili per la sicurezza e la conformità.
Gli architetti di rete e di sicurezza di tutto il mondo stanno affrontando lo stesso dilemma: qual è il modo migliore per abilitare la trasformazione digitale senza compromessi importanti? Le organizzazioni hanno generalmente seguito uno dei quattro approcci architettonici seguenti, in base alla loro volontà di abbracciare le nuove tecnologie e di unirle.
Discuteremo qui queste quattro opzioni e le valuteremo in base a quattro fattori: sicurezza, velocità, latenza e costo. I risultati dimostreranno che esiste un solo modo per ottenere un accesso veloce, sicuro ed economico alle risorse web e cloud.
Approccio 1: STATUS QUO
A causa del rischio di perdere la visibilità e il controllo della sicurezza, molte organizzazioni hanno rifiutato di consentire la riarchitettura "direct-to-cloud". Quindi, anche quando i collegamenti internet ad alta velocità potrebbero connettere gli utenti direttamente alle risorse cloud e web, questo approccio richiede che tutto il traffico venga spinto attraverso collegamenti MPLS più lenti fino alla rete aziendale, per poi tornare indietro attraverso un unico tubo internet aggregato per accedere alle risorse web e cloud. Sebbene questo mantenga teoricamente la visibilità e il controllo della sicurezza, ha un costo elevato.
Per cominciare, l'esperienza dell'utente è fortemente ostacolata dalle scarse prestazioni. La larghezza di banda soffre a causa del lento collegamento MPLS con la sede aziendale, oltre che a causa della congestione della connessione internet aziendale. Inoltre, i salti di rete supplementari e l'aumento della contesa di rete comportano un'elevata latenza, che è stata drasticamente amplificata negli ultimi mesi, in quanto la quantità di traffico remoto in backhauling attraverso la rete aziendale è esplosa ben oltre le aspettative del progetto originale. Questi fattori non tengono nemmeno conto dell'impatto potenziale delle interruzioni del servizio causate dall'introduzione di un singolo punto di guasto nell'architettura di rete.
Oltre alle scarse prestazioni, c'è un costo finanziario tangibilmente più elevato associato a questo approccio. Le linee multiple MPLS che collegano le filiali al centro dati aziendale sono molto più costose della connettività Internet pubblica. Inoltre, per poter gestire l'instradamento di TUTTO il traffico degli utenti, le organizzazioni devono aumentare drasticamente gli investimenti nella rete centrale e nella capacità dell'infrastruttura del perimetro di sicurezza, oltre che nella larghezza di banda del tubo internet condiviso.
Quindi, dobbiamo trovare una risposta a lungo termine alle sfide della velocità, della latenza e del costo. Queste considerazioni sono ciò che ha portato molti architetti di rete a procedere all'implementazione di SD-WAN.
Approccio 2a: ANDARE DIRETTAMENTE AL CLOUD CON SD-WAN
Il primo passo per realizzare un'architettura pronta per il cloud è eliminare il collo di bottiglia causato dalla necessità di instradare tutto il traffico attraverso linee MPLS lente verso la rete centrale e poi di nuovo verso il cloud. La tecnologia SD-WAN può aiutare in questo senso. Distribuendo un'apparecchiatura SD-WAN ai margini della rete della filiale, si possono creare politiche di traffico ottimizzate che instradano il traffico direttamente verso le risorse web e cloud utilizzando connessioni internet veloci e convenienti, mentre si utilizza la stessa connessione internet per inviare solo il traffico legato al centro dati direttamente alla rete aziendale attraverso una serie dinamica di tunnel VPN. L'ottimizzazione WAN e il QoS, così come varie altre funzioni di rete e di sicurezza edge, come il filtraggio firewall, che sono più adatte ad essere eseguite ai margini della rete, offrono all'utente un'esperienza più veloce e affidabile, riducendo al minimo il carico di traffico sulla rete centrale.
Utilizzando SD-WAN, gli architetti di rete possono ottenere un sostanziale risparmio sui costi, eliminando i costosi collegamenti MPLS verso il data center aziendale. Inoltre, gli utenti non sono limitati dalla larghezza di banda molto più lenta di queste linee MPLS.
Tuttavia, questo modello presenta degli svantaggi importanti. Sebbene le soluzioni SD-WAN presentino una serie di solide funzionalità di controllo del flusso che possono essere distribuite a ciascun sito remoto - tra cui il firewalling, la protezione DNS e l'offuscamento dei dati - non dispongono delle stesse solide funzionalità di protezione dei dati e delle minacce che le organizzazioni hanno integrato nella loro sicurezza perimetrale di rete. Pertanto, gli architetti devono ancora effettuare il backhaul di tutto il traffico su Internet fino al data center, anche se questo traffico è destinato a tornare su Internet! Quindi, anche se la velocità e l'economicità di questa connessione sono notevolmente migliorate rispetto al vecchio modello, la necessità di continuare il backhauling del traffico presenta le stesse sfide di latenza e congestione.
Approccio 2b: Skyhigh Security Service Edge
Quindi, se i percorsi del traffico devono tornare al data center aziendale per mantenere la visibilità e il controllo della sicurezza, ma la maggior parte delle risorse a cui gli utenti accedono si trova nel cloud, non avrebbe senso collocare i controlli di sicurezza nel cloud in un percorso di traffico più diretto e sicuro? Ecco Skyhigh Security Service Edge.
Skyhigh SecurityNext-Gen Secure Web Gateway fornisce un edge sicuro iper-scala, cloud-nativo, fulmineo e affidabile al 99,999%. Grazie alla convergenza delle tecnologie SWG, CASB, DLP e Remote Browser Isolation , Skyhigh SSE garantisce agli utenti e agli uffici remoti i livelli più sofisticati di protezione dalle minacce, dai dati e dalle applicazioni cloud, oltre a esclusive funzionalità di gestione proattiva del rischio che superano addirittura le possibilità offerte da una struttura di sicurezza tradizionale on-premise.
Altrettanto importante delle funzionalità di sicurezza avanzate è il fatto che Skyhigh SSE è costruito su una base veloce, affidabile e scalabile. Grazie a una rete POP (Point of Presence) globale e a relazioni di peering uniche, Skyhigh SSE è in grado di estendere un bordo sicuro su scala iper-portatile ovunque gli utenti ne abbiano bisogno. Nonostante un'impennata del 240% del traffico nella primavera del 2020, Skyhigh Security è stata in grado di mantenere una disponibilità del 99,999% e di soddisfare tutti i requisiti di latenza previsti dai nostri SLA. Le organizzazioni hanno potuto contare sulla nostra infrastruttura nei momenti più difficili e possono continuare a farlo anche in futuro.
Abbonandosi ad una conveniente connessione internet pubblica presso la filiale e collegandosi a Skyhigh SSE, i clienti possono ottenere molti dei vantaggi desiderati. Le sue funzionalità complete di protezione dei dati, delle minacce e delle applicazioni cloud soddisfano ampiamente i requisiti di sicurezza. E per la maggior parte del traffico degli utenti destinato al web o al cloud, la connessione internet diretta garantisce un accesso veloce e a bassa latenza.
Tuttavia, senza l'implementazione di SD-WAN in combinazione con Skyhigh SSE, le organizzazioni devono ancora disporre di questi collegamenti MPLS lenti e costosi per mantenere la connettività alle applicazioni e alle risorse del data center legacy. Pertanto, i clienti non saranno in grado di realizzare risparmi sui costi e le connessioni alle risorse del data center subiranno gli stessi problemi di velocità e latenza. Ed è qui che arriviamo finalmente all'architettura di sicurezza cloud ideale, unendo Skyhigh SSE con SD-WAN.
Approccio 3: Skyhigh Security SSE + SD-WAN = SASE
Unendo Skyhigh SSE con SD-WAN in una soluzione perfettamente integrata, le organizzazioni possono offrire SASE e costruire un'architettura di sicurezza di rete adatta all'era del cloud. Skyhigh Security permette ai clienti di far convergere facilmente Skyhigh SSE con praticamente qualsiasi soluzione SD-WAN, grazie al solido supporto nativo per la connettività SD-WAN, sfruttando i protocolli Dynamic IPSec e GRE standard del settore. Grazie a questa integrazione, i clienti beneficiano della gamma completa di funzionalità essenziali di SASE, con SD-WAN che fornisce la funzionalità di rete integrata e SSE che offre le funzionalità di sicurezza. Skyhigh Security ha supportato i suoi partner di canale nella realizzazione di progetti SWG congiunti SD-WAN-cloud con molti dei principali fornitori SD-WAN del mercato e ha stretto alleanze con i leader del settore attraverso il suo programma di integrazione dei partner.
Come fa una soluzione combinata UCE-SD-WAN a soddisfare i quattro requisiti architettonici? La sicurezza è chiaramente affrontata dalle funzionalità di protezione delle minacce, dei dati e delle applicazioni cloud di Skyhigh Security, nonché dalle funzionalità di firewall distribuito offerte da SD-WAN. Utilizzando un'unica connessione Internet veloce, SD-WAN è in grado di instradare in modo intelligente ed efficiente il traffico direttamente verso le risorse del cloud o verso il data center aziendale. Con Skyhigh SSE che fornisce la sicurezza direttamente nel cloud, SD-WAN può inoltrare il traffico web e cloud direttamente, senza una latenza eccessiva. I risparmi sui costi derivano dall'eliminazione delle costose linee MPLS e, poiché la maggior parte del traffico non deve più effettuare il backhaul attraverso il data center aziendale, è possibile ottenere ulteriori risparmi riducendo la larghezza di banda della rete centrale e la capacità dell'infrastruttura.
Costruisca oggi un'architettura di sicurezza di rete pronta per il cloud
La Trasformazione Digitale rappresenta la prossima grande rivoluzione tecnologica, e la capacità delle organizzazioni di passare al cloud e di potenziare i loro dipendenti distribuiti con un accesso rapido, sicuro, semplice e affidabile determinerà probabilmente il loro successo nella nuova era. SASE rappresenta il modo migliore per realizzare un'architettura direct-to-cloud senza compromessi in termini di visibilità e controllo della sicurezza, prestazioni, complessità o costi. Grazie all'integrazione perfetta della nostra soluzione Skyhigh SSE con SD-WAN, non è mai stato così facile per le organizzazioni fornire SASE agli uffici remoti. Di conseguenza, gli utenti beneficeranno di una maggiore produttività, il personale IT di una maggiore efficienza operativa e le aziende di un eccezionale risparmio sui costi, grazie al consolidamento dell'infrastruttura e all'ottimizzazione del traffico di rete.
Torna ai blog