Sei consigli per un'implementazione SD-WAN sicura
Le aziende si rivolgono sempre più spesso a SD-WAN per sostituire le linee MPLS (Multiprotocol Label Switching). Tuttavia, è anche importante introdurre nuovi controlli di sicurezza per tutti i siti remoti del processo. Sei requisiti fondamentali per un'implementazione SD-WAN sicura.
Le aziende le cui sedi sono distribuite in tutto il Paese o nel mondo spesso le collegano tramite linee MPLS (Multiprotocol Label Switching). Tuttavia, a causa del crescente utilizzo delle tecnologie cloud, questa architettura è diventata obsoleta. Utenti, dati e applicazioni sono ormai ampiamente dispersi, i dipendenti lavorano da qualsiasi luogo e utilizzano una varietà di dispositivi. Prima di questa evoluzione, l'implementazione dei controlli di sicurezza era relativamente semplice, in quanto esisteva un perimetro definito attorno a tutte le risorse di un'organizzazione da proteggere. Questo ha permesso ai team IT di implementare una serie di tecnologie di sicurezza a livello centrale. I siti remoti sono stati inclusi in questo perimetro di sicurezza reindirizzando tutto il traffico via MPLS a un grande firewall centrale che ha provveduto alla regolazione del traffico e all'applicazione dei criteri di sicurezza.
Una serie di sfide
Il bordo della rete si dissolve man mano che le applicazioni e gli utenti si spostano al di là di esso. Ciò rende più complessa l'implementazione dei controlli di sicurezza con gli strumenti esistenti. Inoltre, le applicazioni che in precedenza erano ospitate nel data center sono migrate in qualche modo nel cloud (tramite SaaS o cloud pubblico). Queste applicazioni possono perdere prestazioni quando vengono eseguite in siti remoti, soprattutto a causa della latenza causata da tutti i circuiti MPLS che si occupano di riportare il traffico al sito principale.
Prendiamo ad esempio Office 365, che prima era un server Exchange nel data center. Spesso le aziende sperimentano una scarsa esperienza utente o prestazioni lente perché il traffico arriva alla sede centrale tramite MPLS e poi viene inviato a Internet. Per risolvere questo problema, i siti remoti hanno bisogno di una connettività diretta al cloud. Questo è esattamente ciò che SD-WAN. Tuttavia, è importante introdurre nuovi controlli di sicurezza anche per tutti i siti remoti. Queste soluzioni sono solitamente economiche da implementare e facilmente scalabili e, man mano che le applicazioni si spostano nel cloud, la soluzione di sicurezza deve anche regolare il traffico da e verso le applicazioni cloud. Con questo approccio le aziende possono ottimizzare l'esperienza degli utenti, riducendo al contempo le spese operative e di capitale.
Sei requisiti fondamentali per un'implementazione SD-WAN sicura
1. Distribuzione zero touch: Se un'azienda ha 50, 100, 1000 o più siti remoti, non è realistico voler visitare ogni singolo sito per l'implementazione della SD-WAN. Grazie all'implementazione "zero touch" e alla gestione centralizzata, è sufficiente un solo dipendente in loco per rendere la soluzione operativa con la semplice pressione di un tasto.
2. Ottimizzazione della WAN: La compressione e la deduplicazione sono due modi per ottimizzare il traffico di dati e migliorare la larghezza di banda. I pacchetti di dati possono essere identificati mediante valori hash. In questo modo, il contenuto già trasmesso può essere temporaneamente memorizzato o compresso sull'apparecchio, in modo da dover trasmettere solo il valore hash, molto più piccolo. La deduplicazione riduce la trasmissione ripetuta o parallela degli stessi dati nella WAN. Le informazioni richieste di frequente vengono memorizzate nella cache locale o i contenuti identici vengono uniti. In definitiva, la soluzione utilizzata determina i metodi da utilizzare per l'ottimizzazione della WAN.
3. firewalling avanzato: Per garantire la stessa sicurezza ai siti remoti come alla sede principale, è necessario un firewall progettato per ambienti distribuiti e che utilizzi politiche e gestione centralizzate su larga scala. Questo include controlli delle applicazioni e degli utenti, IDS/IPS, filtraggio web e funzionalità di routing.
4. una maggiore protezione contro le minacce: Questo garantisce che gli utenti, le applicazioni e i dati siano protetti da tutte le minacce che Internet può offrire. Molte aziende hanno implementato questo sistema con una sandbox centrale, ma per un'architettura distribuita in cui è necessario ridurre al minimo il backhauling, la soluzione ideale è l'Advanced Threat Protection basata sul cloud.
5. gestione centralizzata: Ciò dovrebbe includere la gestione centralizzata di tutte le funzioni del firewall, indipendentemente dalla configurazione della sicurezza, dei contenuti, della gestione del traffico, della rete, dei criteri di accesso o degli aggiornamenti software. Questo può ridurre i costi di sicurezza e di gestione del ciclo di vita. Il tutto fornendo funzioni di risoluzione dei problemi e di connettività.
6. integrazione del cloud: La migrazione dei carichi di lavoro verso il cloud è uno dei fattori che spingono verso la SD-WAN, in quanto si tratta di garantire prestazioni elevate delle applicazioni e di garantire un accesso sicuro ai carichi di lavoro. Una VPN può occuparsi di questo, ma una volta che le aziende sono nel cloud, sorgono nuove sfide: Non ci sono solo i requisiti per il carico di lavoro, ma anche quelli per i controlli di sicurezza, i metodi di distribuzione e le licenze senza problemi. Per questo è importante un dispositivo firewall/SD WAN che non solo sia strettamente integrato con le piattaforme cloud, ma che soddisfi anche i casi d'uso nel cloud.
Quando le aziende stanno esplorando il loro rollout SD-WAN, ci sono molte cose da considerare, ma con un approccio ben ponderato in anticipo, possono creare la giusta sicurezza per la loro rete distribuita e fornire un solido percorso di migrazione verso il cloud. L'integrazione delle suddette funzionalità nell'implementazione SD-WAN può semplificare notevolmente l'architettura di rete, aumentare la sicurezza, ottimizzare i tempi di attività e ridurre i costi.
Di Hatem Naguib, Barracuda Reti