Sulla scia della pandemia di COVID-19, molte organizzazioni stanno prendendo in considerazione un sostegno esteso o permanente al telelavoro. Le sfide alla sicurezza associate al recente aumento del sostegno al telelavoro hanno evidenziato il fatto che gli approcci tradizionali alla sicurezza della rete non soddisfano più le esigenze delle imprese moderne.
Con la crescita del telelavoro, le reti private virtuali (VPN) hanno dimostrato di essere una soluzione non scalabile per la connettività di rete sicura.
Man mano che le organizzazioni si evolvono e supportano una forza lavoro sempre più remota, la transizione dall'infrastruttura VPN legacy a soluzioni moderne, come il servizio edge di accesso sicuro (SEI) è necessario per garantire sia la produttività che la sicurezza dei lavoratori.
Il telelavoro dissolve il perimetro della rete
In passato, la sicurezza di molte organizzazioni si basava su un modello di sicurezza basato sul perimetro. All'epoca, i dipendenti di un'organizzazione utilizzavano principalmente dispositivi collegati direttamente alla rete aziendale.
Il vantaggio principale del modello di sicurezza basato sul perimetro è che è semplice comprendere e implementare la sicurezza con questo modello. La maggior parte delle organizzazioni dispone di un unico punto di connessione tra la propria rete interna e la rete Internet pubblica attraverso il quale scorre tutto il traffico in entrata e in uscita dalla rete.
Distribuendo uno stack di sicurezza in questa posizione, un'organizzazione mantiene la visibilità di questo traffico ed è in grado di identificare e rispondere a un'elevata percentuale di malware e altre minacce che tentano di accedere alla rete aziendale.
Il modello di sicurezza basato sul perimetro presenta diversi problemi. Uno dei problemi principali è il fatto che un modello di sicurezza basato sul perimetro presuppone che tutta l'infrastruttura “affidabile” di un'organizzazione si trovi all'interno del perimetro della rete.
Wi-Fi Vs Ethernet: quale è più veloce?Con l’avvento del cloud computing e del lavoro remoto, il perimetro di rete tradizionale si sta dissolvendo. Una percentuale crescente del traffico aziendale di un'organizzazione ha origine e termina al di fuori del perimetro della rete.
Di conseguenza, le soluzioni di sicurezza tradizionali basate sul perimetro hanno un impatto negativo significativo sulle prestazioni della rete.
Le VPN riducono le prestazioni della rete
La maggior parte delle organizzazioni, nel tentativo di proteggere le connessioni di rete dei lavoratori remoti, richiedono che i lavoratori remoti si connettano alla rete aziendale tramite una VPN, che crittografa il traffico tra il client VPN e un endpoint VPN sulla rete aziendale.
Questo approccio alla sicurezza del telelavoratore ha una serie di impatti negativi sulle prestazioni della rete. In generale, le VPN aumentano notevolmente la latenza di rete per il traffico legato al cloud poiché il traffico viene instradato attraverso la rete aziendale prima di proseguire verso la sua destinazione.
Tuttavia, con la crescita della forza lavoro remota delle organizzazioni, anche l'infrastruttura VPN presenta problemi di scalabilità. L'infrastruttura VPN di molte organizzazioni è progettata per supportare una frazione della forza lavoro e non è in grado di scalare ben oltre la capacità massima prevista.
Poiché l’uso delle VPN aziendali supera i parametri di progettazione, i lavoratori remoti riscontrano un calo della produttività e delle prestazioni della rete.
Il numero di connessioni in entrata supera la capacità dell'infrastruttura VPN esistente e la necessità di eseguire operazioni di decrittografia e crittografia costose dal punto di vista computazionale per tutto il traffico in entrata e in uscita consuma risorse di calcolo e rallenta il throughput della rete.
Le soluzioni di scalabilità compromettono la sicurezza
Le organizzazioni fanno sempre più affidamento sull'infrastruttura basata su cloud per le funzionalità aziendali principali. Attualmente, oltre il 93% delle organizzazioni dispone di più implementazioni cloud.
Ciò include tutto, dall'archiviazione dei dati basata su cloud alle applicazioni Web ospitate su un'infrastruttura cloud fino all'uso del Software-as-a-Service (SaaS) applicazioni come Microsoft 365 o Salesforce.
Come risultato della maggiore adozione del cloud, un'alta percentuale del traffico di rete dei telelavoratori – lo stesso traffico che mette a dura prova l'infrastruttura VPN aziendale – è destinata all'infrastruttura basata sul cloud al di fuori del perimetro di rete dell'organizzazione.
Questo traffico destinato a destinazioni esterne comporta un carico particolarmente elevato sulla rete e sull'infrastruttura di sicurezza di un'organizzazione. A differenza del traffico di rete destinato ai server all'interno del perimetro della rete, il traffico legato al cloud dei lavoratori remoti attraversa il perimetro due volte (in entrata e in uscita).
Di conseguenza, un ampio contingente di lavoratori remoti che accedono a risorse basate su cloud ha un impatto significativo sul throughput e sulle prestazioni della rete.
Al fine di migliorare la scalabilità dell'infrastruttura di rete e di sicurezza, è stato utilizzato l'uso di VPN a tunnel diviso consigliato da Microsoft e altre organizzazioni.
A differenza di una VPN a tunnel completo, che invia tutto il traffico sulla connessione VPN crittografata, le VPN a tunnel diviso consentono al traffico destinato alla rete Internet pubblica (o a determinati siti attendibili su di essa) di andare direttamente a destinazione. Ciò riduce notevolmente il carico sulle soluzioni di sicurezza basate sul perimetro dell'organizzazione.
Tuttavia, questa maggiore scalabilità può andare a scapito della sicurezza. Con l'accesso diretto a Internet pubblico, il computer di un telelavoratore non beneficia della scansione di sicurezza aziendale per questo traffico.
Ciò consente al malware di infettare il computer del telelavoratore e quindi di utilizzarlo come trampolino di lancio per infettare la rete aziendale tramite la sua connessione VPN.
La sicurezza basata sul cloud soddisfa le esigenze del telelavoro
Sebbene le VPN possano essere state una soluzione efficace in passato, non soddisfano le esigenze dell’azienda moderna. Con il crescente numero di telelavoratori e la dipendenza dall’infrastruttura basata su cloud, il perimetro della rete si è spostato verso questi endpoint. Il tentativo di mantenere la sicurezza nel perimetro di rete precedente è inefficiente e non scalabile.
Prendere appunti o registrare: cosa è meglio?SEI fornisce la sicurezza progettata per l'organizzazione moderna. I punti di presenza (PoP) basati su cloud integrano funzionalità di sicurezza, come un firewall di nuova generazione (NGFW) e un gateway web sicuro (SWG), e il routing di rete ottimizzato offerto dalla rete definita dal software (SD-WAN).
Ciò consente a un'organizzazione di implementare la sicurezza ai margini della rete vicino alle risorse basate su cloud e ai telelavoratori, riducendo al minimo l'impatto della latenza dell'instradamento del traffico sulla WAN aziendale.
SASE consente a un'organizzazione di mantenere la visibilità della rete e la scansione della sicurezza riducendo al minimo gli impatti associati sulle prestazioni della rete e sulla latenza per i lavoratori remoti.
