La responsabilità di bilancio e una sicurezza informatica conveniente sono da sempre due priorità per le imprese. Durante i periodi di incertezza economica, si intensifica la pressione sui responsabili IT, ai quali viene affidato il compito di ridurre i budget, abbattere i costi e far fruttare ogni singolo centesimo dell'azienda, il tutto bloccando al contempo minacce informatiche altamente sofisticate. Nel primo articolo di questa serie, abbiamo iniziato la nostra analisi delle sfide legate ai costi dell'IT e di come vengono affrontate dalle organizzazioni di tutto il mondo, esaminando l'incremento dei costi delle violazioni dei dati dovute all'utilizzo di architetture basate sul perimetro. In questa seconda parte, illustreremo il modo in cui le organizzazioni possono ottimizzare i costi della tecnologia e il motivo per cui i modelli di sicurezza basati sul perimetro accrescono i costi dell'infrastruttura e non sono efficienti, in termini finanziari, nel supportare un ambiente di lavoro con base cloud e flessibile.

L'inefficienza delle architetture hub-and-spoke e castle-and-moat

Le architetture hub-and-spoke sono state progettate per instradare il traffico verso i data center e collegare utenti, dispositivi e workload alla rete, in modo da consentire l'accesso alle applicazioni e alle risorse necessarie. Questo approccio funzionava bene quando gli utenti e le applicazioni risiedevano nell'ufficio aziendale/data center. Ma gli utenti lavorano sempre più spesso da vari luoghi nel mondo, e le applicazioni si sono spostate sul cloud per fornire connessioni private a tutte le applicazioni, le filiali, gli utenti e i dispositivi, ovunque. Per questi motivi, è necessario estendere continuamente la rete aziendale. Questa rete interconnessa viene spesso protetta tramite architetture di sicurezza di tipo "castle-and-moat", che però offrono alle organizzazioni solo soluzioni costose e poco adatte alla tipologia di sicurezza ricercata dalle aziende moderne.

Stack di dispositivi di sicurezza ovunque

La prima opzione è quella di distribuire, per ogni ufficio e sede da remoto, dispositivi di sicurezza distinti, come firewall, reti private virtuali (VPN), sistemi di prevenzione delle intrusioni, sandbox e altro ancora. Tuttavia, l'investimento iniziale in CapEx per l'acquisto e la distribuzione di stack di dispositivi di sicurezza sarebbe insostenibile, senza considerare il costo e la complessità della loro gestione. Inoltre, questo approccio lascia comunque le organizzazioni vulnerabili quando gli utenti lavorano da casa o accedono alle risorse mentre sono in viaggio.

Gli stack più ridotti e meno costosi non sono necessariamente migliori

Sono poche le organizzazioni che possono permettersi di replicare lo stack di soluzioni di sicurezza gateway della sede centrale in tutte le sedi, e questo a causa dei costi di acquisto, configurazione, gestione e manutenzione di una distribuzione tanto complessa. Le aziende scendono quindi spesso a compromessi distribuendo firewall e dispositivi di sicurezza più piccoli e più economici nelle filiali e nelle sedi da remoto. Anche se questo approccio può contribuire a ridurre una parte degli ingenti costi iniziali, comporta comunque gli stessi requisiti di gestione, e soprattutto lascia l'organizzazione vulnerabile agli attacchi. Perché? Perché questi dispositivi più piccoli e meno costosi sono anche meno efficienti, in quanto forniscono meno controlli di sicurezza. Questo compromesso finisce di conseguenza per rendere vulnerabili gli uffici e gli utenti in remoto, e la forza di un'organizzazione si misura in relazione ai suoi punti deboli. Le organizzazioni non possono permettersi di esporsi ai rischi di questa alternativa.

Che si definisca backhauling o effetto boomerang, il risultato è lo stesso

L'altra soluzione è quella di effettuare il backhauling del traffico verso i data center tramite Multi-Protocol Label Switching (MPLS) o VPN, e di far passare il traffico attraverso grandi stack centralizzati di dispositivi di sicurezza che comportano comunque ingenti costi in termini di CapEx. Ma con questo approccio è molto complesso per le organizzazioni tenere sotto controllo le spese per MPLS e larghezza di banda. Inoltre, effettuare il backhauling del traffico verso il data center prima di inviarlo alle applicazioni cloud o SaaS introduce un effetto "boomerang". In sostanza, si finisce per pagare due volte per il traffico Internet, SaaS e cloud: una volta per indirizzare il traffico verso una costosa connessione privata dall'ufficio o dall'utente in remoto al data center, e una seconda volta per farlo viaggiare sul web fino alla risorsa di destinazione, per fargli infine ripercorrere la stessa strada al contrario. Inoltre, con la sempre maggiore distribuzione degli utenti e l'espansione dell'organizzazione in termini di dimensioni o geografici, l'esperienza utente finisce per peggiorare, a causa dei colli di bottiglia del traffico e della latenza. Di conseguenza, i costi crescono in modo esponenziale, ma di questo parleremo in un prossimo articolo.

Figura 1: requisiti infrastrutturali delle architetture basate sul perimetro

Per la pianificazione della capacità ci vorrebbe una sfera di cristallo

La scelta di uno degli approcci citati in precedenza lascia i CIO e i CISO di fronte all'arduo compito di pianificare la capacità, che è un difficile gioco di equilibri. Le soluzioni tradizionali, persino gli apparecchi virtuali, non offrono la scalabilità del cloud, e questo comporta la necessità di prevedere il volume di traffico e le esigenze dell'organizzazione durante tutta la vita utile dell'apparecchio.

I calcoli per la pianificazione della capacità includono molti aspetti, tra cui il numero di utenti, i dispositivi, le piattaforme, i sistemi operativi, le sedi e le applicazioni, nonché il consumo di larghezza di banda, l'infrastruttura edge e WAN, i modelli di traffico a seconda dei fusi orari globali e molto altro ancora, e tutto questo solo per le operazioni a breve termine. I piani devono poi tenere conto della crescita annuale del traffico diretto al cloud, con una proiezione a tre anni o più nel futuro. Al di là delle operazioni di routine, la pianificazione della capacità obbliga a prevedere la possibilità di gestire picchi di banda improvvisi e non pianificati, che causano rallentamenti e danneggiano l'esperienza di utenti e clienti.

La sottostima dei requisiti di capacità genera prestazioni scadenti e una pessima esperienza utente, ostacolando l'organizzazione nella propria missione aziendale. Una sovrastima, invece, porta a costi inutilmente elevati e ad attrezzature inattive. In ogni caso, si tratta di uno spreco di risorse.

C'è un modo migliore

Purtroppo, queste tecniche rappresentano in realtà solo una soluzione temporanea ed estremamente onerosa, perché i firewall, le VPN e gli approcci legacy alla sicurezza non sono stati progettati per garantire scalabilità e sicurezza o per supportare i servizi di cui le aziende moderne hanno bisogno. Invece di scontrarsi con i costosi aggiornamenti dell'hardware e gli ingenti costi infrastrutturali delle architetture basate sul perimetro, adottando un'architettura zero trust le organizzazioni possono ridurre i costi e ottenere un valore economico superiore. Secondo quanto rilevato da uno studio sul valore economico condotto da ESG, con Zscaler Zero Trust Exchange, le aziende possono ridurre la spesa per l'MPLS del 50%, eliminare fino al 90% dei loro apparecchi e contribuire a generare un ROI del 139%.

Zscaler Zero Trust Exchange è una piattaforma integrata di servizi che connette in modo sicuro utenti, dispositivi, workload e applicazioni, e offre una connettività veloce, sicura e diretta alle applicazioni eliminando la necessità di effettuare il backhauling del traffico e riducendo al minimo la spesa per l'MPLS. Grazie alla sua piattaforma distribuita sul cloud, Zscaler consente alle aziende di consolidare l'hardware dei prodotti e di eliminare la necessità di ricorrere a investimenti in CapEx per firewall, VPN, VDI e altro ancora.

Figura 2: Zscaler Zero Trust Exchange

In quanto soluzione costruita su un'architettura con base cloud, Zero Trust Exchange è progettata per potersi adattare senza problemi in base alla domanda dei clienti; così si elimina la necessità di pianificare la capacità e di ricorrere all'over-provisioning, e viene liberato del capitale vitale per investimenti più redditizi.

Cosa ha in serbo il futuro?

Per scoprire in dettaglio in che modo una vera architettura zero trust possa aiutarti a eliminare gli oneri finanziari di un'infrastruttura costosa, scarica il nostro white paper, "Sicurezza e valore economico di livello superiore con la piattaforma One True Zero Trust".

In alternativa, consultando il nostro e-book: "Come le aziende riescono a ridurre i costi grazie alla piattaforma One True Zero Trust", potrai scoprire storie di successo reali e comprendere come delle organizzazioni proprio come la tua siano riuscite a ridurre i costi e la complessità dell'IT grazie a Zero Trust Exchange.

Fai clic qui per leggere la terza parte di questa serie di articoli di blog, che analizzerà il modo in cui Zscaler riesce a offrire un valore economico superiore migliorando l'efficienza operativa.