SD‑WAN sicura Cos’è la SD‑WAN sicura?
Una SD‑WAN sicura accelera il percorso verso il SASE (Secure Access Service Edge). Combina funzionalità SD‑WAN avanzate, come il tunnel bonding, la selezione dinamica del percorso e il provisioning zero touch, con funzionalità NGFW che includono gli IDS/IPS e la protezione DDoS. Si integra perfettamente con i servizi di sicurezza distribuiti tramite cloud (Security Service Edge o SSE) e prevede l’applicazione di policy di sicurezza e di rete coerenti nelle filiali.
- Descrizione di una SD‑WAN sicura
- Come funziona una SD‑WAN sicura?
- Come vengono applicate le policy di sicurezza end-to-end in una SD‑WAN sicura
- Perché prendere in considerazione una SD‑WAN sicura?
- Quali sono i vantaggi della SD‑WAN sicura?
Descrizione della SD‑WAN sicura
Nel corso degli anni, le filiali e le sedi remote hanno accumulato grandi quantità di apparecchiature di rete e sicurezza, che non solo risultano difficili da manutenere, ma non sono state progettate per il cloud. Con le tradizionali architetture WAN incentrate sul router, il traffico deve essere inviato al data center aziendale per le ispezioni di sicurezza, con ripercussioni significative sulle prestazioni delle applicazioni. Inoltre, le policy di sicurezza poco coerenti tra le filiali espongono l’intera organizzazione a potenziali violazioni della sicurezza.
Una SD‑WAN sicura permette alle organizzazioni non solo di dismettere i router tradizionali, ma anche di sostituire i firewall legacy delle filiali.
Include funzionalità SD‑WAN avanzate e di sicurezza, che consentono di ridurre l’ingombro dei dispositivi e applicare policy coerenti nelle filiali. Potenzia inoltre le prestazioni delle applicazioni, selezionando il percorso migliore e indirizzando automaticamente il traffico nel cloud. Fornisce le funzioni di sicurezza necessarie nelle filiali e integra l’SSE che supporta altre funzioni di sicurezza, come ZTNA, SWG e CASB.
Come funziona una SD‑WAN sicura?
Le soluzioni di SD‑WAN sicura forniscono funzioni di sicurezza avanzate per proteggere le filiali in vari modi.
- Protezione delle comunicazioni nell’intero fabric SD‑WAN creando tunnel IPsec con crittografia AES a 256 bit
- Funzioni NGFW come l’ispezione approfondita dei pacchetti, la prevenzione delle intrusioni e la protezione DDoS
- Segmentazione del traffico in base a ruolo e identità
- Applicazione di policy sia per le funzioni specifiche della WAN sia per la sicurezza
- Registrazione degli eventi di sicurezza per rilevare gli incidenti e rispondere rapidamente
Una SD‑WAN sicura si integra anche perfettamente con i servizi SEE per formare un’architettura SASE, proteggendo gli utenti da remoto che accedono ai dati sensibili nel cloud attraverso collegamenti non attendibili. Questa integrazione aggiunge funzionalità come Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS), Remote Browser Isolation (RBI) e sandboxing.
Oltre alle funzionalità di sicurezza, una SD‑WAN sicura può combinare perfettamente collegamenti eterogenei come MPLS, internet e 5G tramite tunnel bonding, aumentando la larghezza di banda di rete e fornendo ridondanza. In caso di cali di tensione o blackout, i collegamenti rimanenti continuano a trasportare il traffico per la massima affidabilità.
Le organizzazioni possono anche sostituire le connessioni MPLS costose con collegamenti solo Internet, dato che la soluzione prevede tecniche come FEC (Forward Error Correction) che ricreano i pacchetti persi a destinazione per ridurre l’instabilità e le perdite spesso associate ai collegamenti Internet. Pone anche rimedio agli effetti della latenza dovuta alle distanze geografiche grazie all’ottimizzazione della WAN tramite l’accelerazione TCP e le tecniche di riduzione dei dati,
Una SD‑WAN sicura instrada inoltre il traffico in base alle finalità del business e non agli indirizzi TCP/IP e include generalmente un router integrato che supporta i protocolli OSPF e BGP. A seguito dello spostamento dei carichi di lavoro nel cloud, consente alle organizzazioni di indirizzare in modo intelligente il traffico nel cloud in base al tipo di applicazione, senza backhaul nel data center. Ad esempio, le applicazioni cloud attendibili come Microsoft 365 o Workday possono essere inviate direttamente nel cloud, mentre il traffico delle applicazioni legacy interne va al data center. La SD‑WAN avanzata utilizza il provisioning zero touch per distribuire automaticamente gli aggiornamenti delle configurazioni a centinaia di migliaia di filiali in pochi minuti, riducendo al contempo gli errori.
Come vengono applicate le policy di sicurezza end-to-end in una SD‑WAN sicura
Negli ambienti tradizionali, i firewall delle filiali vengono configurati manualmente: questo richiede ore interminabili di programmazione in decine, centinaia o migliaia di siti, generando policy di sicurezza incoerenti nella WAN. Con una SD‑WAN sicura, le policy di sicurezza vengono configurate a livello centrale e inviate a migliaia di siti in un paio di minuti, riducendo gli errori e garantendo coerenza.
Il sistema prevede la segmentazione end-to-end della rete, dalla LAN alla WAN e anche nel cloud. Le policy di sicurezza vengono definite zona per zona limitando la connettività con altre zone per la compliance a policy di sicurezza predefinite, obblighi normativi e finalità del business. Ad esempio, una policy potrebbe autorizzare solo il traffico in uscita o consentire il traffico in entrata solo da applicazioni e servizi approvati, oppure bloccare tutto il traffico proveniente da zone meno sicure. La SD‑WAN sicura semplifica notevolmente le operazioni e funge essenzialmente da singolo firewall logico nell’intero fabric.
Perché prendere in considerazione una SD‑WAN sicura?
- Dismissione dei firewall e dei router tradizionali delle filiali
Le soluzioni avanzate di SD‑WAN sicura che includono funzionalità NGFW con controllo degli accessi in base al ruolo, segmentazione a granularità fine, IDS/IPS e protezione DDoS consentono alle organizzazioni di sostituire completamente i firewall legacy delle filiali, nonché di proteggere i collegamenti non attendibili con tunnel IPsec e di applicare policy coerenti nelle filiali e nell’intera WAN con orchestrazione centralizzata. Inoltre, con una SD‑WAN sicura diventa possibile sostituire i router legacy delle filiali in base a funzionalità di routing integrate e business-driven. - Architettura semplificata delle filiali
Integrando diverse funzionalità, tra cui SD‑WAN, routing, ottimizzazione della WAN e firewall, una SD‑WAN sicura consente di ridurre il footprint hardware e il consumo energetico nelle filiali grazie al consolidamento delle funzioni di rete e sicurezza in un’unica soluzione. Una SD‑WAN sicura è anche installabile come appliance virtuale, con un ulteriore risparmio energetico e di ingombro per le apparecchiature. La soluzione può essere distribuita facilmente in migliaia di siti con il provisioning zero touch da una singola console, migliorando l’efficienza dell’IT e semplificando la gestione. - Supporto dell’architettura cloud-first
Una SD‑WAN sicura indirizza in modo intelligente il traffico nel cloud ed elimina la necessità di ricorrere al backhaul, migliorando le prestazioni delle applicazioni. In base all’identificazione del primo pacchetto, il traffico SaaS e Web attendibile può essere inviato direttamente a Internet, mentre il traffico Web sconosciuto o non attendibile viene concatenato ai servizi cloud SSE. - Protezione dei dispositivi IoT
Una SD‑WAN sicura implementa la segmentazione della rete Zero Trust per proteggere i dispositivi IoT che non sono in grado di eseguire agenti di sicurezza e quindi vanno oltre il SASE. Usa il framework di sicurezza basato sull’identità per il controllo degli accessi, segmentando il traffico in modo che gli utenti e i dispositivi IoT possano raggiungere solo destinazioni di rete coerenti con il ruolo ricoperto in azienda.
Quali sono i vantaggi della SD‑WAN sicura?
- Maggiore efficienza dell’IT
Una SD‑WAN sicura supporta tutte le funzioni di rete e sicurezza necessarie e consente di eliminare la proliferazione di apparecchiature nelle filiali. Con questa soluzione, le organizzazioni possono ottimizzare le filiali, semplificando la gestione della sicurezza e della rete. - Maggiore flessibilità
Una SD‑WAN sicura garantisce flessibilità per l’implementazione di controlli di sicurezza e funzioni di rete nelle filiali. La soluzione può essere distribuita in modo semplice e immediato. - Rischio di business ridotto
Una SD‑WAN offre garantisce sicurezza nell’intero fabric SD‑WAN, dalla WAN alla LAN, con funzionalità di micro segmentazione end-to-end. Consente alle organizzazioni di conformarsi a quadri normativi come HIPAA, PCI DSS, SOX o NIST CSF.