Introduzione
Gli utenti, le cose e le applicazioni sono ovunque, in costante movimento e sempre più "connessi" per rendere più comode le nostre vite. Tuttavia, davanti alla crescente necessità di fare affidamento sulla connettività di rete, sta emergendo l'esigenza di una nuova architettura. Dato l'aumento del numero dei dispositivi connessi, la crescente domanda di applicazioni a elevato consumo di dati e l'aumento delle minacce alla rete, le reti tradizionali non sono in grado di stare al passo con i cambiamenti che caratterizzano l'ambiente.
L'accesso alla rete e l'infrastruttura sono aspetti fondamentali di qualsiasi azienda. Dall'archiviazione di importanti documenti di progettazione e finanziari alla collaborazione interna al team, fino alla comunicazione con i clienti, ogni operazione aziendale dipende da un accesso alla rete affidabile, scalabile e sicuro.
Il cambiamento continua ad accelerare. Per questo, è indispensabile che le aziende non cambino solo il modo in cui operano, ma anche il modo in cui applicano la connettività. Con l'aumento delle aspettative dei clienti, la criticità delle connessioni di rete ininterrotte e non collegate continua ad aumentare e con essa la necessità di una rete intelligente in un mondo digitale connesso.
Trasformazione della rete
Gartner prevede che entro il 2023, oltre il 60% delle aziende considererà il networking come l'aspetto centrale delle proprie strategie digitali, rispetto a una percentuale inferiore al 20% di oggi(1). Nell'adottare tecnologie digitali come il cloud, la mobilità e l'analisi per favorire l'innovazione e l'agilità, le aziende sono sempre più orientate all'esperienza utente che considerano una metrica chiave. Andare oltre la digitalizzazione verso la trasformazione digitale definendo obiettivi strategici in base alle esigenze dell'esperienza utente: è in questo contesto che le aziende possono trasformare radicalmente la loro attività per aumentare il margine competitivo nei propri mercati.
Poiché quasi tutte le tecnologie digitali vertono intrinsecamente sulla rete, quest'ultima viene considerata come l'attivatore strategico per queste iniziative digitali. La velocità e l'imprevedibilità di un ambiente aziendale richiedono reti in grado di adattarsi rapidamente e di sostenere il ritmo frenetico delle aziende senza ostacolare le trasformazioni digitali.
Le aziende devono trasformare le proprie reti per gestire un numero enorme e in continua crescita di utenti, dispositivi e applicazioni ed essere in grado di affrontare ogni genere di problema correlato alla connettività e alla sicurezza. Solo sfruttando la potenza e il valore delle proprie reti potranno mantenere fede alle proprie priorità e arricchire le esperienze dei propri clienti. Di conseguenza, la trasformazione digitale favorisce l'adozione di nuove piattaforme di rete o, in altre parole, la trasformazione della rete.
Sfide per la rete
Nel loro percorso verso una rete pronta per l'era digitale, le aziende devono guardare oltre le funzionalità core come la connettività rapida e la semplicità di gestione. La connettività best-effort e l'erograzione del servizio non garantiscono che le mutevoli aspettative dei clienti vengano soddisfatte. Nel mondo di oggi, la rete deve connettere in modo digitale e sicuro tutte le cose e sebbene sia evidente che la rete è l'origine della trasformazione, sono infinite le problematiche che possono ostacolare il cambiamento.
Ogni giorno viene commercializzato un nuovo prodotto wireless
Ogni anno oltre 4 miliardi di dispositivi Wi-Fi fanno il loro ingresso sul mercato. I nuovi computer e gli smartphone non sono gli unici e neanche i principali promotori della crescita caotica dell'IoT, lo sono i dispositivi di tutti i giorni, dai termostati ai rilevatori di fumo fino agli smartwatch. Diversi nuovi dispositivi IoT specializzati e diversificati come la realtà aumentata (AR) e la realtà virtuale (VR) si stanno diffondendo rapidamente nelle aziende, nelle scuole, negli ospedali e nelle imprese. Come possiamo assicurarci che questi prodotti digitali siano in grado di connettersi senza problemi alla rete e offrire la migliore esperienza utente possibile?
Ormai ogni cosa è connessa e sempre accesa
Nel mondo digitalmente connesso di oggi, tutto sembra diventare una canalizzazione Internet, dalle lampadine alle apparecchiature mediche. Poiché sempre più oggetti richiedono l'accesso a Internet, si prevede che entro il 2022 ci saranno 28,5 miliardi di dispositivi connessi in rete e connessioni in tutto il mondo. Poiché queste cose determinano il modo in cui gestiamo le nostre attività e sono meno tolleranti ai tempi di inattività degli esseri umani, devono fare affidamento a una connessione "always-on". Qual è la strategia giusta per evitare che le reti non vengano ostacolate da carenze nella latenza e nella larghezza di banda?
Tutti sono alla ricerca di un'esperienza unificata
Con una crescita esponenziale del numero e dei tipi di dispositivi mobili connessi alla rete, le aziende IT hanno la responsabilità di offrire un'esperienza unificata agli utenti. Gli utenti sono alla ricerca di un'esperienza coerente, scollegata e sempre disponibile dai dispositivi connessi sempre e ovunque. Gli amministratori di rete stanno costantemente elaborando modi efficienti per identificare, classificare e integrare automaticamente i dispositivi mobili per garantire policy e una gestione coerenti degli ambienti cablati e wireless e per proteggersi dagli attacchi più sofisticati. Come possiamo aiutare i team IT a recuperare tempo senza compromettere sicurezza e produttività?
Gli hacker in cerca di nuovi modi per colpire sono ovunque
Ma con l'opportunità arriva il rischio. Per definizione, la mobilità e l'IoT ampliano la superficie di attacco e sempre più prodotti non vengono gestiti, rimanendo così vulnerabili alle minacce. Poiché gli hacker si rinnovano continuamente, dobbiamo essere sempre un passo avanti con una rete più intelligente e più sicura caratterizzata da una profonda visibilità sui modelli di traffico e con strumenti intelligenti all'avanguardia per proteggere e difendere le aziende. La tua sicurezza è integrata o fissa?
Accesso alla rete reinventato
Le problematiche della rete e le tendenze impongono l'esigenza di una nuova architettura di rete, un'architettura che non supporti soltanto l'ottimizzazione della connettività di ciascun utente al multicloud, ma che sia in grado di integrare in modo lineare e sicuro un set sempre più diversificato di dispositivi e applicazioni.
È il momento di reinventare la rete di accesso.
Cisco Secure Access è un modello evoluto per una nuova connettività di rete. In quanto architettura intent-based networking, offre agli utenti e ai rispettivi dispositivi un'esperienza di connessione ai dati e alle applicazioni giusti ovunque si trovino e in qualsiasi momento. Garantisce inoltre un accesso affidabile e sicuro tra carichi di lavoro ovunque risiedano (Figura 1).
Automatizzando e unificando le policy di gestione degli accessi per tutti i prodotti switch e wireless e analizzando costantemente i dati di rete, Cisco Secure Access fa in modo che la rete favorisca il conseguimento degli obiettivi aziendali. È progettato per offrire affidabilità, agilità e sicurezza maggiori ed è in grado di supportare e gestire un maggior numero di utenti e dispositivi, ovunque si trovino.
I prodotti di networking di questa architettura si estendono a ogni switch e soluzione wireless Cisco come i controller, gli access point e gli switch Cisco Catalyst. Le soluzioni di sicurezza Cisco sono integrate nei prodotti di rete. L'integrazione consente alle applicazioni di sicurezza e alla rete di interagire per ridurre il tempo necessario per prevenire, rilevare e mitigare le minacce.
Cisco Tetration e Cisco Cloudlock per gli ambienti cloud sono applicazioni di sicurezza progettate appositamente per servire domini di rete specifici, mentre altre si espandono su più domini e possono essere attivate in base ai casi d'uso specifici dei clienti. Stealthwatch , ad esempio, è in grado di rilevare le minacce sulla rete privata, il cloud pubblico e l'ambiente ibrido, mentre Cisco Advanced Malware Protection (AMP) impedisce le violazioni e rileva e rimuove il malware dagli endpoint e dalle reti.
Questa esperienza di connettività (o accesso) semplice e sicura deve potersi estendere su e tra ciascun dominio di rete, filiale, campus, sito remoto, data center e multicloud. Ciò significa che ogni dominio di rete funge da soluzione di accesso unica e sicura (Figura 2):
- Accesso sicuro alla rete: garantisce che tutti gli utenti, i dispositivi e le connessioni delle applicazioni alle reti di filiali o campus siano sicure
- Accesso sicuro al cloud/app: garantisce che solo gli utenti autorizzati abbiano accesso a dati e applicazioni ovunque si trovino
- Accesso remoto sicuro: garantisce che gli utenti remoti e i dispositivi possano accedere in modo sicuro e coerente a dati e applicazioni
Ciò che lega questi domini di networking è una gestione delle policy di accesso condivisa che consente ai domini a funzionamento autonomo di unire le forze per raggiungere l'obiettivo aziendale collettivo. È possibile definire una policy una volta, applicarla ovunque e monitorarla sistematicamente per assicurare il conseguimento del proprio obiettivo aziendale(2). Questa policy di accesso segue gli utenti e i carichi di lavoro, indipendentemente da dove si trovano e dove sono diretti.
Cisco Secure Network Access
Abbinando la potente automazione delle policy e l'orchestrazione della rete di analisi attraverso il software Cisco a una gamma completa di controller, access point e switch di nuova generazione per il campus, Cisco Secure Network Access aiuta l'IT a integrare e a segmentare in modo sicuro tutti e tutto ciò che si trova sulla rete, elevando a nuovi livelli l'esperienza utente e la produttività aziendale.
I fondamenti delle nostre soluzioni di accesso alla rete sicure sono ancorati a quattro principi architetturali e progettuali:
Innanzitutto il wireless
Oggi, la mobilità aziendale e l'accesso sempre possibile hanno reso il wireless la modalità di connessione preferita per applicazioni e dati. Per offrire un'esperienza wireless ottimale, l'IT deve guardare oltre il Wi-Fi e creare un ambiente wireless pervasivo always-on e always-secure, in modo che gli utenti possano muoversi liberamente e le cose siano sempre connesse. Cisco Secure Network Access è basato sulla tecnologia delle soluzioni cablate Cisco per assicurare prestazioni e affidabilità ottimali a qualsiasi utente o dispositivo per qualsiasi applicazione. Il fabric definito da software integra e segmenta in modo sicuro tutti e tutto ciò che si trova sulla rete, elevando a nuovi livelli l'esperienza utente e la produttività aziendale.
Basato sul cloud
Il cloud accelera l'innovazione per mettere l'intelligenza basata sui dati al servizio dell'IT e delle amministrazioni aziendali. Cisco Secure Network Access impiega un software di rete basato sul cloud con una scalabilità unica per offrire nuove innovazioni e adottare le funzionalità per un time-to-value più rapido. Consente all'IT di passare dalla reattività alla proattività, di comprendere lo stato della rete e di intravedere le tendenze prima che si riflettano sugli utenti. Il framework basato sul cloud della rete di accesso assicura agilità aziendale, efficacia operativa e orchestrazione coerente delle policy nelle reti cablate e wireless.
Ottimizzato per i dati
La rete offre milioni di punti di dati, fornendo contesto per gli utenti, la loro esperienza e le loro vulnerabilità. Aggregando questi punti di dati raccolti da tutte le fonti, ovvero utenti, dispositivi, applicazioni, minacce, e utilizzando analisi e machine learning potenti, è possibile prendere decisioni migliori in termini di IT, sicurezza e amministrazione aziendale. Solo Cisco offre l'accesso più ampio ai dati di rete attraverso l'integrazione dell'intero stack da ASIC al software e attraverso lo switching e il wireless. Questi dati possono offrire informazioni aziendali approfondite per esperienze personalizzate, dati IT per ridurre al minimo i tempi di inattività e informazioni sulla sicurezza per rilevare e bloccare le minacce prima che si verifichino.
Sempre sicuro
La sicurezza integrata assicura visibilità sugli utenti e sulle cose connesse alla rete, controllo su tutte le connessioni e segmentazione definita tramite software per una superficie di attacco ridotta in linea con gli obiettivi aziendali. Cisco è l'unico fornitore in grado di offrire una soluzione wireless e cablata convergente end-to-end che assicura sicurezza, segmentazione e innovazioni come Encrypted Traffic Analytics (ETA), che rileva l'attività malware celata nel traffico di rete crittografato senza decrittografia.
Componenti architetturali
Come indica il nome, gli elementi costitutivi di Cisco Secure Network Access presentano due livelli funzionali: rete e sicurezza (Figura 4).
L'infrastruttura principale di questa soluzione è costituita da una serie completa di switch Cisco Catalyst 9000 e access point Cisco Catalyst 9100 delle soluzioni Cisco Catalyst. Gli switch Cisco Catalyst 9000 rappresentano gli switch di classe Enterprise di nuova generazione progettati all'insegna della sicurezza, dell'IoT, della mobilità e del multicloud. Questi switch sono ottimizzati per gestire il traffico per Wi-Fi 6 e supportano la programmabilità e la manutenzione complete, oltre alla convergenza tra reti cablate e wireless in un'unica piattaforma.
Gli access point Cisco Catalyst 9100 basati sulla tecnologia Wi-Fi 6 che supportano l'architettura di rete basata sugli obiettivi di Cisco sono pronti per le sempre crescenti aspettative degli utenti, i dispositivi IoT e le applicazioni cloud di nuova generazione. Grazie alla capacità di gestire il crescente traffico mobile e di supportare l'IoT con la massima scalabilità, gli access point Wi-Fi 6 di Cisco offrono innovazioni RF superiori e ampliano l'accesso wireless con strumenti intelligenti per offrire un'esperienza wireless di alta qualità, sicura e affidabile per tutte le reti. Oltre alle funzionalità Wi-Fi 6, Cisco Catalyst 9100 estende la potenza dell'intent-based networking con innovazioni hardware e software, analisi avanzata e supporto multi-RF (Wi-Fi, BLE e Zigbee). Oltre a un design industriale migliore, offre prestazioni RF superiori e garantisce affidabilità, sicurezza e intelligenza su larga scala.
Gli access point Cisco Catalyst 9100 includono gli AP Cisco Catalyst 9115, 9117, 9120 e 9130 e sono i prodotti di nuova generazione degli access point Cisco Aironet. Gli access point Catalyst 9120 e 9130 sono basati su Cisco RF ASIC che esegue analisi di spettro RF avanzate e offre funzionalità uniche che vanno ben oltre lo standard di un'esperienza RF superiore, tra cui:
- Cisco CleanAir® technology per mitigare l'impatto dell'interferenza wireless e proteggere le prestazioni.
- Cisco Wireless Intrusion Prevention System (wIPS) per rilevare, individuare, mitigare e contenere le minacce cablate e wireless ai livelli da 1 a 3.
- La Dynamic Frequency Selection (DFS) per evitare le interferenze o garantire prestazioni ottimali.
Livello di networking
La funzione di rete della soluzione Cisco Secure Network Access si basa sui principi dell'intent-based networking, acquisendo l'obiettivo aziendale e allineando continuamente la rete a tale obiettivo. Questo livello è guidato dall'automazione avanzata e dall'orchestrazione unificata ed è in grado di scalare da centinaia a migliaia e persino a milioni di utenti e dispositivi connessi. Il processo manuale di gestione dei singoli dispositivi, siano essi cablati o wireless, come parte di un fabric unificato, viene sostituito da una policy intent-based gestita a livello globale, controllata da una posizione unica. Non dimentichiamo l'uso della tecnologia machine learning e dell'analisi contestuale dei dati prima, durante e dopo l'implementazione per colmare il divario tra le esigenze aziendali e ciò che la rete offre in termini di scalabilità, efficienza operativa e sicurezza.
Le caratteristiche chiave del livello di rete possono essere definite in tre categorie principali:
Gestione dell'accesso unificata
Uno strumento di gestione unificata, Cisco DNA Center, assicura l'implementazione e la gestione di un'infrastruttura di rete in cui i dispositivi cablati e wireless vengono riconosciuti come altrettanto mission-critical e si completano tra loro. Questa console non gestisce soltanto le funzionalità di rete comuni come il provisioning, la configurazione, il monitoraggio della connessione e il reporting, ma anche aspetti più specifici come il monitoraggio dello spettro e la funzionalità di rilevamento basato sulla posizione. Con il software Cisco IOS comune, Cisco DNA Center semplifica l'operazione, aggiunge efficienza e semplifica le attività di gestione attraverso l'uso di una sola interfaccia, dal rilevamento e l'onboarding di nuovi utenti e dispositivi alla creazione e all'attuazione di policy di accesso sulle reti wireless e cablate.
Automazione basata su policy
Per semplificare ulteriormente l'operazione, oltre alla gestione unificata, le reti wireless e cablate Cisco si estendono e si integrano su più domini tramite l'automazione basata su policy per utenti, dispositivi e oggetti. Si tratta di una funzionalità unica e strumentale per l'implementazione zero-touch, aggiornamenti software semplici e segmentazione semplificata di applicazioni, utenti e dispositivi. L'automazione elimina molte operazioni manuali e migliora i tempi di risposta garantendo la definizione delle policy giuste per qualsiasi utente o dispositivo con qualsiasi applicazione nell'intera rete.
Network Assurance
Questa funzione critica include verifica continua, informazioni approfondite e le azioni correttive. Cisco vanta un ampio accesso ai dati di rete nelle infrastrutture cablate e wireless. Grazie all'analisi avanzata e ad AI/ML, Cisco DNA Assurance fornisce informazioni aziendali chiave e garantisce una maggiore visibilità sulla rete per accelerare la risoluzione dei problemi di rete.
Livello di sicurezza
Le applicazioni di sicurezza Cisco garantiscono una protezione completa su tutti i domini di rete. Con la sicurezza integrata nelle soluzioni Cisco Catalyst, è possibile ottenere visibilità su chi e cosa è presente in rete, contribuire a un modello di sicurezza di accesso zero-trust completo e creare policy di prevenzione, rilevamento e risposta alle minacce per una protezione costante. All'interno del campus e delle filiali, ad esempio, Cisco Advanced Malware Protection (AMP) offre la massima protezione dal malware avanzato, mentre Cisco Umbrella™ utilizza DNS per bloccare le minacce su tutte le porte e i protocolli. Inoltre, Cisco ISE blocca le minacce attraverso il partizionamento di rete dinamico e adattivo, mentre Cisco Encrypted Traffic Analytics (ETA) rileva l'attività malware celata nel traffico di rete crittografato senza crittografia.
Le caratteristiche chiave del livello di sicurezza di Cisco Secure Network Access possono essere definite in tre categorie principali:
Segmentazione definita da software
Grazie alla capacità di segmentare le reti, le aziende sono in grado di controllare il livello di accesso a determinate sezioni della rete aziendale da parte di utenti, dispositivi e applicazioni non autorizzati. L'isolamento del traffico associato alla segmentazione impedisce la propagazione degli attacchi nell'intera rete e la relativa trasformazione in violazioni distruttive. Cisco Identity Services Engine (ISE) semplifica il controllo coerente delle policy di segmentazione in tutte le connessioni wireless e cablate. Con ISE è possibile configurare gruppi basati su ruoli per utenti e dispositivi e mapparli ai livelli appropriati di accesso, applicando automaticamente le policy di accesso tramite identità contestuali di ogni endpoint.
Le soluzioni cablate e wireless di Cisco garantiscono un isolamento e una sicurezza totali del traffico tra segmenti, nonché la protezione dei dati all'interno di ogni segmento attraverso una serie di funzionalità di sicurezza nativamente integrate come firewall aziendale, filtro URL, prevenzione delle intrusioni e monitoraggio DNS.
Accesso basato sulla fiducia
Cisco Zero Trust è un approccio completo alla sicurezza dell'accesso per utenti, dispositivi, API, IoT e molto altro. Agevola la protezione della forza lavoro, dei carichi di lavoro e dei luoghi di lavoro.
Cisco Software-Defined Access (SD-Access) , una soluzione Cisco Zero Trust per le reti campus, abilita e applica gruppi di policy di sicurezza coerenti per il controllo degli accessi basati su ruoli di livello enterprise. Migliora l'esperienza utente automatizzando le policy di accesso e applicando il giusto livello di accesso a utenti e dispositivi con l'autorizzazione e l'autenticazione della rete. Attraverso l'integrazione con un ecosistema di altre applicazioni e prodotti di sicurezza come Umbrella o AMP, è possibile fornire una sicurezza zero-trust completa per l'ambiente campus aziendale.
Protezione costante
Le applicazioni e le soluzioni di sicurezza integrate di Cisco offrono l'ambito, la scalabilità e le funzionalità necessarie per tenere il passo con la complessità e il volume delle minacce. Offrono le funzionalità di sicurezza avanzate che consentono di proteggere l'integrità dell'hardware e del software e di tutti i dati che circolano attraverso lo switch e la rete. Garantiscono una protezione costante che può essere raggiunta solo prevenendo, rilevando e reagendo alle minacce in ogni dispositivo di rete.
Con l'accesso alle soluzioni migliori come Cisco Stealthwatch è possibile sapere chi si trova sulla rete e cosa sta facendo utilizzando i dati telemetrici dell'infrastruttura di rete.
Visibilità continua
La totale visibilità sugli ambienti IT basati su cloud, mobile-first e in rapida evoluzione è fondamentale per colmare le lacune delle soluzioni di rete perimetrale tradizionali. In un ambiente campus, la visibilità inizia con la classificazione di chi e cosa si trova nella rete campus, a cui sono connessi i dispositivi mobili personali o gli access point wireless rogue, e di come gli utenti o i dispositivi IoT comunicano con servizi o applicazioni. Acquisendo una conoscenza di base di tutte le comunicazioni di rete, anche nel cloud, si disporrà di un inventario completo intorno al quale sarà possibile creare una policy basata su gruppi. Consente il monitoraggio dei comportamenti insoliti, che potrebbero rappresentare una minaccia o una violazione delle policy. Anche la tecnologia di machine learning è fondamentale per classificare meglio tutti i tipi di dispositivi o carichi di lavoro e per identificare più rapidamente le anomalie rispetto alla baseline.
Conclusioni
Le aziende, qualunque siano le dimensioni, possono accelerare il percorso di trasformazione digitale con i solidi fondamenti garantiti da una rete intent-based di Cisco Secure Network Access. Offre connettività cablata e wireless della nuova era, elevando le esperienze di rete immersive a un nuovo livello, con la possibilità di implementare software di rete nel cloud per garantire innovazione scalabile. Una rete wireless-first, basata sul cloud e ottimizzata per i dati con la sicurezza al centro di tutto. A differenza di altre soluzioni, Cisco Secure Network Access offre un modello operativo semplificato con una sola gestione, un sistema operativo comune, una sicurezza pervasiva e una policy comune per reti cablate e wireless. Grazie a Cisco Secure Network Access, i team IT possono automatizzare e scalare la connettività di rete a migliaia di utenti e dispositivi, anticipare il cambiamento e adattarsi con rapidità e sicurezza con l'adozione di best practice con una rete progettata per il futuro.