Parlare di connettività fra sedi aziendali significa affrontare due temi:
- la quantità della connettività
- la qualità della connettività
Riguardo la quantità: in molte aree industriali la connettività presente sul mercato ha una banda insufficiente per le esigenze aziendali. Per superare questo limite l’unica leva è la quantità di denaro che si è disposti a spendere.
In merito alla qualità, neppure il denaro può risolvere una questione fondamentale: un cavo tranciato o un ponte radio che salta non possono essere ripristinati in minuti, ma in giornate. I fornitori di connettività, specie sulle connessioni di tipo MPLS, promettono di ripristinare le disconnessioni in poche ore. Leggendo nelle clausole emerge che, quando si tratta di cause di forza maggiore, quali centraline distrutte, dorsali tranciate, la promessa del ripristino in tempi rapidi non può essere mantenuta.
La soluzione
La soluzione che mette d’accordo costi e continuità operativa è l’aggregazione in VPN di banda eterogenea. In cosa consiste?
Consiste in:
- collegare linee diverse fra loro per percorso fisico in modo da essere meno vulnerabili ad eventi disastrosi (ad. es.: linee in fibra ottica e linee in rame, linee in rame di fornitori diversi fra loro, linee WiFi e linee terrestri)
- aggregarli in modo che la banda totale sia la somma delle bande acquistate (dove per aggregazione si intende la somma algebrica dei canali dati, ad. es.: 8 MB di una linea HDSL + 20 Mbit di una FTTC = 28 MBit)
Questa azione, oltre a porre l’azienda in una posizione di maggior potere contrattuale nei confronti del carrier, porta ad un risparmio dal 20 al 40%* rispetto ad un collegamento fra le sedi aziendali basate su linee MPLS e normali linee internet.
Tecnologia impiegata
La soluzione tecnologica è offerta di Next Generation Firewall della Forcepoint, in grado di aggregare banda eterogenea fin dai primi anni 2000 grazie ad un’invenzione della Stonesoft, successivamente acquisita da Forcepoint. Quest’azienda, nata dalla fusione della finlandese Stonesoft e dell’americana Websense possiede oltre 140 brevetti ed è specializzata nella protezione perimetrale, nell’intrusion prevention, nel filtraggio dei contenuti web e nella Data Loss Prevention.
Qualora il cliente preferisca non sostituire il suo firewall con un Forcepoint, gli apparati Forcepoint possono fungere semplicemente da aggregatori di banda trasparenti lasciando che i firewall del cliente mantengano il loro ruolo.
Perché si risparmia
Sommando banda di normali linee internet il cui prezzo è stabilito dal mercato, il potere contrattuale rimane al cliente che spunta un prezzo di molto inferiore rispetto ad una linea dedicata MPLS. Inoltre, l’ufficio acquisti può rinegoziare liberamente, anno per anno, le connettività perché gli apparati Forcepoint consentono il collegamento di molte linee (da 16 in su) senza dover cambiare nulla dell’architettura di rete e senza disconnettere gli utenti.
Infine: mentre con la normale “linea di backup” si paga due e si usa uno (e quando la linea di backup serve magari si scopre che non va), con l’aggregazione si paga due e si usa due.
Sicurezza del traffico dati fra le sedi
Tutto il traffico di rete in VPN passa cifrato in IPSEC.
E’ un sistema più sicuro rispetto ad una rete punto-punto o una MPLS in quanto nessuno può effettuare un furto di dati “man in the middle”. Neppure il carrier infatti è in grado di decrittare il traffico che passa fra le sedi.
Gestire 100 firewall come se fosse uno
Grazie alla console di gestione centralizzata e ad un sistema di colloquio avanzato, i firewall possono essere spediti in tutto il mondo e configurati da remoto senza doversi fisicamente recare sul posto a configurarli. Il setup avviene così:
- l’apparato viene collaudato in sede ed immesso il codice che lo farà identificare dalla Management Console
- l’apparato viene spedito a destinazione e collegato alla rete anche da personale non esperto (basta collegare alimentazione e reti dati)
- l’apparato contatta la Management Console che gli spedisce la configurazione e gli attiva la VPN fra le sedi, regole QoS, policies e quant’altro previsto per quel certo apparato
Il processo al punto 3. impiega tipicamente pochi minuti ad essere completato.
Zero point of failure
La tecnologia è da sempre senza point of failure, perché:
- la management console non è point of failure, tutte le connessioni VPN rimangono attive anche se la console fosse spenta, non dipendendo da essa
- l’aggiornamento software sui firewall Forcepoint avviene in maniera da non “perdere” mai il contatto con l’apparato perché i firewall, dal più piccolo al più potente, contengono due aree di memoria distinte. Il software update avviene automaticamente in questo modo: 1. viene messo in test il nuovo software su una prima area di memoria 2. se passa il test il nuovo software entra in produzione 3. viene effettuato backup del nuovo software sulla seconda area 4. se il nuovo software dovesse presentare problemi, il firewall effettua un rollback alla versione funzionante e viene segnalato alla management di console
- i Firewall stessi non costituiscono point of failure in quanto possono essere messi appaiati in cluster attivo/attivo, configurazione consigliata per la sede centrale e tutte quelle in cui risiedono servizi di maggiore criticità
Il ruolo di Serverlab
Serverlab è specializzata dal 2011 nell’implementazione di questa tecnologia, mettendo in grado i suoi clienti di disporre di banda aggregata e ad alta affidabilità.
Assiste il cliente in tutte le fasi, dalla consulenza, all’acquisto degli apparati, alla applicazione delle policies, all’aggiornamento periodico del software degli apparati. Particolare attenzione viene dato ai servizi di migrazione da una configurazione a linea singola a linee aggregate senza dare discontinuità di connessione delle varie sedi.
Soluzione chiavi in mano
In alternativa all’acquisto degli apparati, della console di gestione e dei servizi di manutenzione, proponiamo il servizio Safetycloud VPN che offre la soluzione completa e chiavi in mano a fronte di un canone mensile.