Architettura WAN tradizionale
Nelle reti tradizionali, il centro di calcolo aziendale o la sede principale dell’azienda rappresenta il punto focale per tutto il traffico dati. La connettività Internet e cloud avviene tramite la propria zona demilitarizzata (DMZ), ossia una zona cuscinetto che separa la rete esterna (Internet) dalla rete interna con rigide regole di comunicazione e firewall. Tutte le filiali sono collegate al centro di calcolo della sede principale tramite collegamenti WAN (MPLS/VPN) e da qui accedono ai servizi Internet e cloud. Questa situazione presenta vari svantaggi: l'intero traffico di rete deve attraversare il centro di calcolo (Backhauling), generando colli di bottiglia nel traffico dati. Una possibile soluzione consiste nell'aumentare la larghezza di banda, un'operazione che comporta, tuttavia, costi e oneri significativi.
Passaggio alla connessione decentralizzata e alla sicurezza basata su cloud
La complessità delle attuali reti, inclusa la micro-segmentazione, l'aumento del traffico dati, insieme alle fonti di dati e agli utenti dislocati, richiedono un'architettura di sicurezza basata su cloud per affrontare le crescenti minacce informatiche. Le soluzioni di sicurezza tradizionali in loco non sono più sufficienti a gestire tali sfide.
In tempi di cloud e di lavoro da remoto, le aziende si affidano sempre di più alle architetture SD-WAN: l’accesso a Internet non avviene più necessariamente tramite il centro di calcolo della sede principale dell’azienda, ma direttamente dal router della rispettiva sede (Direct Internet Access, in breve DIA); ciò contribuisce a ridurre notevolmente i tempi di latenza e a migliorare la facilità d’utilizzo. L’overlay di rete basato su software consente di gestire e configurare in modo centralizzato le caratteristiche di rete per tutte le sedi aziendali e di avere sempre una panoramica sullo stato della rete aziendale. In questo modello, la sicurezza viene implementata ancora localmente, per lo più nella sede principale o nei dispositivi delle sedi esterne. Inoltre, il traffico dati per gli accessi remoti continua a essere gestito tramite il centro di calcolo.
Secure Service Edge (SSE) è un concetto di sicurezza basato su cloud che si concentra sulla protezione di dati, applicazioni e utenti, portando le funzioni di sicurezza direttamente al punto di accesso alla rete (Edge). In qualità di soluzione di sicurezza completa, SSE offre funzioni di protezione centralizzate, tra cui:
Zero Trust Network Access (ZTNA): accesso ad applicazioni private specifiche per l'utente con assegnazione minima dei diritti.
Cloud Access Security Broker (CASB): controllo degli accessi per le applicazioni cloud, inclusa Data Loss Prevention (DLP).
VPN as a Service (VPNaaS): servizio VPN basato su cloud per lavorare da remoto in modo sicuro.
Firewall as a Service (FWaaS): protezione completa dalle minacce in cloud.
Secure Web Gateway (SWG): filtraggio dei contenuti, scansione dei malware e controllo delle applicazioni per il traffico web.
Grazie a SASE, tutti gli accessi alla rete e al cloud sono protetti in ogni caso, sia che l’utente si trovi all’interno, sia che si trovi all’esterno della rete aziendale.