Come semplificare la sicurezza
delle sedi aziendali remote
Udo Kerst, Director Product Management Network Security
Oggi, garantire la sicurezza delle vostre reti aziendali è più importante che
mai. Malware, botnet e altri programmi maligni minacciano le reti di sedi
centrali e filiali, in egual misura. Tuttavia, implementare una soluzione di
sicurezza coerente e omogenea in tutte le sedi aziendali può rivelarsi
un'impresa piuttosto complessa, specialmente per le aziende con filiali
remote in cui operano pochi dipendenti, nessuno dei quali ha competenze IT
specifiche.
Questo documento introduce un nuovo standard, basato su una soluzione
innovativa, unificata, efficace ed economica per la gestione della sicurezza
delle filiali remote, con funzionalità di reporting centralizzato e un processo
chiaro per la determinazione del rendimento sul capitale investito (ROI).
Come semplificare la sicurezza delle sedi aziendali remote
La sicurezza delle filiali remote.
Quali sono i veri problemi?
L'accresciuta mobilità del personale moderno e le capacità "always on" 24/7 possono
rappresentare un vantaggio competitivo per le vostre aziende. Tuttavia, la trasmissione di dati
sensibili sulle reti aziendali e su Internet deve essere effettuata in modo sicuro. Le minacce
costituite da hacker e malware possono prendere di mira qualunque tipo di vulnerabilità
presente nelle vostre reti aziendali.
Ecco perché, come accade nel caso del vostro quartier generale, anche le filiali remote
necessitano di una protezione firewall, di connessioni VPN sicure per la connessione alle
risorse aziendali, di un sistema di prevenzione delle intrusioni, e di funzionalità per la sicurezza
web e e-mail.
La gestione della sicurezza nelle filiali remote si articola su tre punti principali:
1. Implementazione dei dispositivi di sicurezza
In realtà, le piccole filiali remote spesso non dispongono di un esperto IT disponibile in loco.
Inoltre numerose aziende semplicemente non sono in grado di inviare il loro personale IT
presso le filiali remote per implementare le soluzioni di sicurezza negli uffici distaccati
situati in località differenti. Alcune aziende effettuano la preconfigurazione di ogni dispositivo
destinato alle filiali remote presso la sede centrale; tuttavia, tale soluzione spesso richiede
modifiche e correzioni finali delle impostazioni presso le sedi remote. Pertanto, l'approccio più
efficiente a questo problema è rappresentato da una soluzione dedicata dotata di funzionalità
di gestione centralizzata, semplice da installare e configurare. Ma anche tale soluzione può
rivelarsi estremamente costosa, almeno quanto l'invio del personale IT presso le filiali remote.
2. Servizi di supporto
Quando il personale dislocato nelle sedi remote o operante da remoto ha problemi tecnici, i
processi aziendali e la produttività possono subire una brusca battuta di arresto. La descrizione
dei problemi per telefono è troppo complicata, richiede tempi lunghi, costi elevati, e crea
situazioni frustranti sia per il personale IT che per il personale dell'ufficio remoto. Neppure la
spedizione ripetuta del dispositivo da riparare è un'alternativa valida. Nessuna azienda sarebbe
in grado di sostenere i tempi di fermo causati da una situazione di questo tipo. In realtà, in
questi casi il personale necessita di un supporto in loco che consenta loro di ripristinare le
attività aziendali chiave.
A Sophos Whitepaper Dicembre 2011
2
Come semplificare la sicurezza delle sedi aziendali remote
3. Implementazione delle regole di sicurezza
È necessario determinare le modalità di implementazione delle regole e dei criteri da applicare
al personale che utilizza le reti aziendali dagli uffici remoti. Tali regole possono essere
analoghe al set di regole utilizzato presso la sede centrale, oppure possono anche essere
differenti. Alcuni dipendenti degli uffici remoti, o personale operante da remoto, possono
disporre di accesso illimitato alle risorse aziendali, mentre altri potrebbero essere soggetti a
rigide restrizioni. In alcuni casi l'amministratore potrebbe ritenere necessario impostare regole
specifiche per limitare l'accesso a software Internet o ai social media.
Come è possibile fare tutto ciò in modo efficiente ed economico? In alcuni casi le regole
adottate presso le sedi centrali delle aziende possono essere estrapolate e applicate anche
presso gli uffici remoti. In caso contrario, la gestione di regole separate applicate a dispositivi
di sicurezza differenti può rivelarsi una soluzione di scarsa efficacia, che richiede grandi
quantità di tempo.
Misure di sicurezza tradizionali per uffici di piccole
dimensioni
L'individuazione della soluzione di sicurezza più idonea per filiali e uffici remoti è una vera
sfida; specialmente quando il personale operante in tali sedi ha scarse competenze in campo
informatico. Molti uffici di piccole dimensioni iniziano con normali router per il mercato
consumer, che rappresentano una soluzione semplice ed economica per il personale operante
da remoto. Tuttavia, tale soluzione offre funzionalità di reporting e visibilità della rete limitate,
con funzionalità di sicurezza di rete estremamente ridotte all'essenziale. Altri uffici dispongono
di firewall aziendali di categoria entry-level, in grado di ispezionare il traffico e garantire la
corretta implementazione delle regole stabilite, offrendo una maggiore sicurezza, visibilità e
controllo, ma a fronte di costi di gestione più elevati.
Ecco alcune delle soluzioni tradizionali che potreste aver visto finora:
Apparati di gestione unificata delle minacce (UTM) di tipo economico - tali prodotti potrebbero essere in grado di offrire il livello di protezione richiesto per la vostra azienda. Tuttavia,
la configurazione di queste soluzioni richiede molto tempo. Inoltre, spesso, costi di gestione
totali (TCO) "nascosti", le spese di manutenzione, i costi di sottoscrizione e gestione associati a
questo tipo di prodotto si rivelano troppo elevati. Specialmente quando è necessario garantire
la sicurezza di un numero elevato di uffici di piccole dimensioni.
A Sophos Whitepaper Dicembre 2011
3
Come semplificare la sicurezza delle sedi aziendali remote
Router di classe consumer - una soluzione che può apparire come un'alternativa economica
agli apparati UTM, in quanto semplice da installare e gestire. Ma nonostante questi router
siano in grado di offrire le funzionalità di sicurezza di base (come firewall e VPN), spesso sono
privi delle funzionalità di sicurezza avanzate che caratterizzano le soluzioni aziendali dedicate,
come l'intrusion prevention e funzioni di filtering per web e posta.
Servizi VPN e MPLS - normalmente questi servizi non dispongono di alcuna funzionalità
di sicurezza. Questi strumenti hanno la sola funzione di connettere tutti gli uffici remoti a
una sede centrale, che normalmente ospita il gateway di sicurezza. Tale soluzione spesso
comporta la sottoscrizione di contratti a lungo termine, che possono essere molto costosi.
Il punto essenziale è che queste soluzioni di tipo tradizionale non sono in grado di soddisfare
le vostre esigenze. La gestione di soluzioni dedicate multiple di tipo differente accresce la
complessità delle reti aziendali. Un problema che si amplifica ulteriormente quando sono
presenti numerose soluzioni singole dedicate presso gli uffici remoti.
Fortunatamente, ora è possibile adottare un nuovo tipo di approccio. Una soluzione che
garantisce costi di gestione totali (TCO) contenuti, anche per gli uffici più piccoli, con una
sola persona, offrendo al contempo tutti i vantaggi di un soluzione automatizzata a gestione
centralizzata.
"Astaro RED è il prodotto
singolo più innovativo
che io abbia visto.
Consente di trarre il
massimo vantaggio dagli
investimenti effettuati
per la sicurezza di un
solo sito, distribuendone
i benefici su siti multipli.
Una soluzione semplice
ed economica."
Richard Siennon,
esperto di sicurezza informatica
Un approccio innovativo: la gestione centralizzata
semplificata
Un approccio innovativo orientato a offrire una soluzione UTM (gestione unificata delle
minacce) reale, integrante tutte le funzionalità di sicurezza applicate agli uffici remoti nella
struttura azien-dale. Questa soluzione consente di creare un Cavo Ethernet Virtuale, che
collega la sede centrale con le filiali remote. In tal modo, anziché dover implementare firewall,
sistemi di prevenzione delle intrusioni, e funzionalità di sicurezza per traffico web e e-mail
con un costoso dispositivo da installare presso la filiale remota, tali servizi e funzionalità
sono forniti direttamente da un potente gateway di sicurezza centralizzato. Il gateway può
essere localizzato presso la sede centrale dell'azienda, oppure operante da una piattaforma di
clouding remota, (per esempio, presso la sede del provider di servizi).
Un piccolo "Dispositivo Ethernet Remoto" (RED) provvede a reindirizzare il traffico crittografato
proveniente dall'ufficio remoto, verso un dispositivo centralizzato, che ha la funzione di
eseguire la scansione e il filtraggio dei dati prima che questi vengano inviati a Internet. Tale
soluzione consente di connettere la vostra sede centrale con le varie filiali remote, utilizzando
una tecnologia VPN sicura.
A Sophos Whitepaper Dicembre 2011
4
Come semplificare la sicurezza delle sedi aziendali remote
"I nostri costi per
la sicurezza IT
sono diminuiti
drasticamente. Con
Astaro RED, ora
possiamo facilmente
proteggere i nostri siti
remoti più piccoli.”
Alu Petrussen,
Fig. 1: Sicurezza UTM completa mediante un cavo Ethernet virtuale
IT Manager, Nukissiorfiit
Gli apparati Astaro RED e i pluripremiati prodotti della linea Astaro Security Gateway,
offrono una soluzione di gestione unificata delle minacce (UTM) a gestione centralizzata,
caratterizzata da grande efficacia, costi contenuti e dai seguenti vantaggi:
ÌÌ Possibilità di configurare un nuovo apparato RED in pochi minuti.
ÌÌ E
liminazione delle operazioni di manutenzione di routine e nessun costo di sot-toscrizione
per le filiali remote.
ÌÌ La soluzione include anche le funzionalità di reporting.
Implementabile in due minuti
Questo innovativo approccio consente una rapida implementazione plug and play. Ecco come
funziona:
I dispositivi RED vengono inviati presso le filiali remote. Il personale remoto comunica il
numero di serie riportato sulla scatola di spedizione al reparto IT della sede centrale. La
sede attiva il dispositivo sull'apparato Astaro Security Gateway centrale. Il personale remoto
collega l'apparato RED al router Internet, poi collega il router al computer e lo alimenta
collegandolo a una presa di rete. A questo punto l'apparato RED provvederà a recuperare
immediatamente i suoi dati di configurazione specifici, effettuando un'autoconfigurazione, per
poi creare un tunnel criptato con la sede centrale. Grazie a questa soluzione automatizzata e
flessibile, è possibile implementare fino a 100 apparati al giorno.
A Sophos Whitepaper Dicembre 2011
5
Come semplificare la sicurezza delle sedi aziendali remote
Bastano quattro semplici passi per garantire la
sicurezza delle vostre filiali remote:
Spedire l’apparato RED presso la filiale remota
Notificare il numero di serie alla divisione IT
centrale
Collegare l’apparato RED a Internet
RED si connetterà automaticamente alla centrale
Servizio di supporto centralizzato
Gli apparati RED offrono un maggiore controllo e visibilità della rete. Da oggi, il vostro
personale IT può disporre di una soluzione integrata in grado di supportare una serie di tool
di reporting centralizzati di estrema chiarezza, che offrono una visibilità a 360 gradi delle
reti di ogni singola filiale remota. Gli apparati RED eliminano qualunque necessità di recarsi
presso le filiali remote per l'implementazione e la manutenzione dei sistemi, e consentono al
personale IT dislocato presso la sede centrale della vostra azienda di fornire supporto virtuale
al personale delle filiali remote con pochi clic del mouse.
Massima semplicità di gestione delle regole
Gli apparati RED consentono di creare e mantenere una singola regola globale, che
garantisce la protezione e il monitoraggio di tutti siti remoti presenti nel gateway di sicurezza
centralizzato. Ciò consente di impostare differenti diritti di accesso differenziati in base alle
singole filiali remote, oppure in base a singoli dipendenti, in modo del tutto analogo a quello
utilizzato presso la sede centrale dell'azienda. In tal modo, le filiali remote potranno usufruire
sempre del medesimo livello di sicurezza della sede centrale.
Risparmio fino all'80% dei vostri TCO
Provate a confrontare i costi di gestione totali (TCO) richiesti per mantenere le reti delle vostre
filiali remote, in particolare nel caso di aziende dotate di decine o addirittura centinaia di sedi
remote, con le soluzioni UTM tradizionali. I costi iniziali assumono un'importanza marginale
rispetto ai costi correnti generati da fattori quali amministrazione remota e sottoscrizioni ai
servizi di sicurezza. Tale problema deriva principalmente dal fatto che prodotti di marche
A Sophos Whitepaper Dicembre 2011
6
Come semplificare la sicurezza delle sedi aziendali remote
differenti operano come elementi singoli e indipendenti all'interno della rete, e ognuno di
essi richiede procedure di configurazione, misure di sicurezza e procedure di monitoraggio
differenziate. Questo approccio tradizionale alle soluzioni UTM offre un livello di sicurezza
omogeneo e uniforme, ma risulta estremamente complesso da implementare e gestire,
nonché notevolmente più costoso rispetto alle soluzioni Astaro RED.
La tabella sotto illustra lo straordinario risparmio consentito dalle soluzioni Astaro
Comparazione TCO
Concorrenza
Astaro
(30 filiali remote - 5 anni)
Apparati per sede centrale (1x)
ASG 220
Apparato
€2,995
€1,275
Manutenzione hardware 24*7 (5 anni)
€3,745
€1,180
Sottoscrizioni ai servizi di sicurezza
(5 anni)
€5,015
€10,155
Astaro RED
Apparati presso filiali remote (30x)
Apparato
Manutenzione hardware 24*7 (5 anni)
Sottoscrizioni ai servizi di sicurezza
(5 anni)
€8,850
€8,850
€11,100
€4,500
€8,400
€0
Tool di reporting centralizzati
Apparato
Software (5 anni)
Inclusi
€6,746
€0
€11,245
€0
Tool di gestione centralizzati
Inclusi
Apparato
€4,496
€0
Software (5 anni)
€7,495
€0
Costi di amministrazione
Installazione iniziale presso la sede
centrale
Installazione iniziale presso la filiale
remota
Manutenzione corrente presso la filiale
remota
Spese di viaggio
Totale
Risparmio
A Sophos Whitepaper Dicembre 2011
€545 (2 giorni)
€34
(1 ora)
€3,068 (3h/sito)
€256 (15min/sito)
€16,364
€0
€17,591
€0
€107.655
€26,250
76%
7
Come semplificare la sicurezza delle sedi aziendali remote
Riepilogo
Astaro RED offre un modo migliore per gestire la sicurezza delle vostre filiali aziendali remote.
Imparate ora a trarre il massimo vantaggio dalle soluzioni RED, il nuovo standard per la gestione
della sicurezza delle filiali remote in modo innovativo economico ed efficace.
Per ulteriori informazioni, visitate il nostro sito web, al link www.sophos.it/network
Per saperne di più
www.sophos.it/network
Italy Sales:
Tel: +39 02 91 18 08
E-mail: [email protected]
Boston, USA | Oxford, UK
© Copyright 2011. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.
Sophos Whitepaper 12.11v1.dIT