Un cambiamento tecnologico è imminente. La maggior parte dei leader IT ha iniziato ad adottare reti definite dal software (SDN). Poiché la tradizionale rete geografica viene sostituita dal suo fratello minore definito dal software, siamo all'apice di un cambiamento significativo verso il controllo del flusso guidato dal software all'interno della tecnologia WAN. Responsabile di questo cambiamento tecnologico verso SD-WAN è il maggiore utilizzo del cloud, ma anche aspetti dei costi delle prestazioni in generale.
Per ora, tuttavia, la maggior parte delle WAN aziendali ha ancora la stessa architettura di oltre dieci anni fa. Indipendentemente dal fatto che, a seguito dello sconvolgimento, esiste già una situazione ibrida in cui un'azienda con più sedi di solito le collega tramite il cosiddetto cambio di etichetta multiprotocollo, meglio noto come MPLS. Le connessioni MPLS sono indubbiamente affidabili e altamente sicure, ma possono essere molto costose e dispendiose in termini di risorse.
Cancellazione dei dati nel data center
Fin qui tutto bene: ma solo finché tutte le applicazioni sono nel data center. Con il crescente utilizzo di servizi cloud come Office 365 e il collegamento in rete di sedi globali, i dati si stanno ora spostando dal data center al cloud. Il modello tradizionale di infrastruttura IT sta diventando sempre più irrilevante. Il data center fisico come lo conosciamo viene cancellato.
Tutto il traffico di dati cloud viene reindirizzato al firewall centrale in loco tramite circuiti MPLS, anche per le applicazioni cloud. Tale struttura di backhauling è molto sicura, ma rallenta la rete, contribuisce a problemi di latenza e complica l'architettura infrastrutturale.
La rete dovrebbe semplicemente garantire che i dati arrivino in modo sicuro dalla rispettiva posizione nel cloud. Dopo che tutte le applicazioni sono nel cloud e il data center è praticamente privo di dati, sorge la domanda: perché continuare a utilizzare costosi circuiti MPLS?
Il passaggio al cloud richiede una nuova architettura. Uno che abbraccia la tecnologia cloud e la migrazione delle applicazioni al cloud pubblico: SD-WAN consente il controllo basato su software sui collegamenti WAN tradizionali. La tecnologia SD-WAN semplifica la gestione e il funzionamento di una WAN disaccoppiando l'hardware di rete dal suo meccanismo di controllo. "Virtualizza" la WAN per configurare la rete e instradare il traffico ignorando le connessioni hardware proprietarie.
SD-WAN richiede nuove regole di sicurezza
Il passaggio dall'architettura di backhaul alla sicurezza IT centralizzata richiede lo stesso livello di sicurezza che esisteva nella sede centrale ed era garantito per tutte le sedi distribuite.
Dato che un unico firewall centralizzato non rappresentava più una soluzione praticabile per molteplici interruzioni, i primi prodotti SD-WAN garantivano la sicurezza tramite il concatenamento dei servizi con i firewall NextGen esistenti, scaricando i controlli di sicurezza sul cloud o persino fornendo un firewall integrato e IPS di base sicurezza sicura di sé. Sfortunatamente, tutti questi approcci non riescono a fornire una sicurezza adeguata o vanificano il requisito fondamentale della gestione centralizzata dell'intera rete.
Per affrontare queste carenze, è nata Secure SD-WAN, che combina i vantaggi della connettività SD-WAN completa con la sicurezza completa del firewall, incluso il controllo e il rilevamento completi delle applicazioni e la possibilità di aggiungere una protezione avanzata dalle minacce basata su cloud da utilizzare. Inoltre, questi prodotti includono la gestione centralizzata di tutte le impostazioni di rete, routing e sicurezza, rendendo la gestione della WAN molto più semplice e agevole.
Secure SD-WAN dovrebbe includere le seguenti funzionalità:
1. Terminazione SD-WAN - L'aggregazione di più linee a basso costo
2. Ottimizzazione WAN - Per sfruttare al meglio la larghezza di banda
3. Routing: reindirizza il traffico
4. Firewall - In ogni sito per replicare l'ambiente della filiale
5. Protezione avanzata contro le minacce Internet, come la tecnologia sandboxing
Fondamentale per la sicurezza SD-WAN è l'eliminazione della necessità di un unico, enorme firewall centralizzato attraverso il quale veniva instradato tutto il traffico. Tuttavia, l'assenza di firewall significa anche che ogni utente della rete è vulnerabile a malware e altri attacchi informatici. Lo stesso livello di sicurezza precedentemente fornito da un firewall centrale è ora raggiungibile attraverso molti firewall più piccoli in ogni singolo sito. Collegato alla SD-WAN, è possibile utilizzare connessioni locali economiche alla rete del rispettivo fornitore di servizi cloud invece del costoso MPLS.
Cloud sandboxing anziché sandbox centralizzato
Un firewall centralizzato è in genere supportato da una sandbox centralizzata che ripulisce i dati scaricati e poi li ritrasmette attraverso il circuito di backhaul.
Tuttavia, una struttura sandbox centralizzata è piuttosto irrealistica: non appena un utente inizia a scaricare un file, questo file deve essere reindirizzato alla sandbox centralizzata e infine reso nuovamente disponibile all'utente. In effetti, la sandbox ora è isolata, poiché quasi nessun IT vuole permettersi di installare una sandbox in ogni luogo. Per proteggere il traffico dati ed evitare attacchi informatici, le sedi dovrebbero essere collegate tramite un tunnel. La soluzione più efficace è il sandboxing basato su cloud. Con SD-WAN, le informazioni possono essere inviate a una sandbox nel cloud. Allo stesso tempo, il traffico è ottimizzato per dare priorità alle informazioni importanti.
Questa combinazione di processi offre una sicurezza significativamente migliore rispetto ai classici approcci centralizzati. E poiché anche la sicurezza IT è nel cloud, è possibile accedere alla rete da qualsiasi luogo, proteggendo gli utenti che lavorano in remoto.
Il provisioning zero-touch (ZTP) consente di risparmiare tempo e denaro
Un consiglio: ove possibile, cerca il provisioning zero-touch (ZTP). Ciò consente di risparmiare tempo e denaro. Con il provisioning zero-touch, un'appliance può essere inviata direttamente al sito finale e configurata dal cloud. Dopo la messa in servizio, la configurazione viene trasferita automaticamente al dispositivo.
Poiché è certamente solo una questione di tempo prima che gli attacchi prendano di mira anche gli ambienti SD-WAN, i team di sicurezza IT dovrebbero implementare misure di sicurezza appositamente sviluppate per il loro ambiente definito dal software in modo tempestivo e continuo.
Scopri di più su Barracuda.com
[stellaboxid=5]