L’aspetto economico di Zero Trust Network Access (ZTNA)

L’aspetto economico di Zero Trust Network Access (ZTNA)

Come leader IT, comprendete l’importanza di modernizzare il vostro approccio alla sicurezza informatica per aumentare la resilienza del business. Sapete che ciò favorirà la produttività degli utenti finali, aumenterà la velocità di distribuzione delle nuove applicazioni e diminuirà i costi operativi. Ma il vostro gruppo dirigente potrebbe vederla come un’altra spesa IT evitabile. Questa guida vi aiuterà a chiarire le ragioni per cui il vostro CTO, CFO o CEO dovrebbe investire in una soluzione Zero Trust Network Access (ZTNA).

Spiegare Zero Trust

Per un dirigente non tecnico, ZTNA suona come un altro acronimo complesso, specialmente se la discussione verte sulla “sicurezza dei dati dall’interno”. In poche parole, l’IT era solito collegare i dipendenti in ufficio ai server da qualche parte nell’edificio, tuttavia, gli eventi del 2020 significano che ora gli utenti sono ovunque e la migrazione delle app nel cloud è stata accelerata.

Entro il 2023, il 60% delle imprese eliminerà gradualmente la maggior parte delle loro reti private virtuali (VPN) di accesso remoto in favore di ZTNA.

ZTNA è una nuova categoria di tecnologia specificamente progettata per risolvere i molti problemi che si possono incontrare quando si cambiano i modelli operativi e si passa a modalità di lavoro remote. La digitalizzazione ha fatto di più che ridurre il budget della carta dell’azienda e ZTNA fornirà più valore della semplice sicurezza. Questo articolo illustra i modi in cui lo ZTNA è finanziariamente vantaggioso per le aziende.

ZTNA è più della semplice sicurezza

Mentre le minacce alla sicurezza sono in aumento e la consapevolezza dei dirigenti sta aumentando, la sicurezza è spesso vista come un centro di costo e un blocco del business. Secondo un sondaggio di Threat Stack, il 68% delle aziende dichiara che i loro CEO richiedono che i team IT non rallentino il business.

A differenza di altre soluzioni di sicurezza, ZTNA supporta obiettivi di gestione di alto livello, tra cui il miglioramento dell’agilità e della flessibilità del business, diminuendo al contempo i costi. Questo è possibile perché la maggior parte delle soluzioni di accesso remoto sono basate su progetti legacy che non possono tenere il passo con i cambiamenti dinamici che le aziende affrontano oggi. Come soluzione alternativa, molti team IT spendono una quantità eccessiva di tempo e denaro per configurare e mantenere questi strumenti legacy. La migrazione a ZTNA rappresenta una soluzione a questi problemi tradizionali.

Il costo della migrazione è ridotto

Passare a un nuovo servizio può richiedere tempo e denaro, per esempio, quasi tre quarti delle aziende trovano che i costi di migrazione a Microsoft 365 siano stati del 25% più alti del previsto. Tuttavia, a differenza di molti progetti di trasformazione, con ZTNA non c’è bisogno di un costoso progetto “rip-and-replace”.

In primo luogo, la scelta di un’architettura basata sul cloud e di un modello di licenza scalabile permette alle aziende di evitare i costi iniziali di acquisto e installazione di hardware e software.

In secondo luogo, ZTNA può lavorare in parallelo con le tecnologie di accesso remoto esistenti mentre queste vengono gradualmente dismesse. Questo modello permette alle organizzazioni di distribuire nuove applicazioni o applicazioni critiche tramite ZTNA, lasciando la maggior parte delle applicazioni collegate tramite la soluzione legacy. Man mano che le applicazioni aziendali vengono aggiornate o spostate nel cloud possono essere migrate su tecnologia ZTNA.

Questo approccio riduce al minimo il costo iniziale dell’implementazione di ZTNA e fornisce una chiara tabella di marcia su come l’azienda può passare al nuovo modello di sicurezza. Se un’azienda sceglie di dare il via a una migrazione su larga scala, evita comunque di pagare l’hardware, mantenendo bassi i costi.

Le spese operative sono ridotte

A differenza di molte vecchie tecnologie che funzionano su apparecchiature nel data center, ZTNA è tipicamente una soluzione SaaS e non richiede alcuna manutenzione IT da parte delle aziende. Non c’è nessun hardware da monitorare o mantenere, e nessun software da applicare o aggiornare. Se si affitta uno spazio rack in un data center per un dispositivo di accesso remoto esistente, quel contratto può essere annullato, con una conseguente riduzione immediata dei costi. Essendo un servizio basato sul cloud, tutti i compiti operativi sono eseguiti dal fornitore, che assicura che il servizio sia mantenuto secondo standard di livello enterprise.

Non sono solo i costi operativi ad essere ridotti, anche il tempo che gli ingegneri dedicano ai compiti operativi è ridotto al minimo. Se la manutenzione viene eseguita da un fornitore di servizi gestiti, il numero di ore stabilite nel contratto possono essere ridotte, limitando le spese. Se l’azienda utilizza un team interno di ingegneri, questi possono essere riassegnati da compiti operativi ad altri progetti.

Diminuzione dei carichi di lavoro degli amministratori

Le vecchie tecnologie, come la VPN, sono state progettate per un insieme molto più ristretto di casi d’uso rispetto a quelli per cui vengono utilizzate oggi. Per supportare la gamma di applicazioni on-premise, cloud e ibride, gli amministratori hanno dovuto ricorrere all’implementazione di più soluzioni o a complessi workaround. La complessità può essere aggravata dalla gamma di sistemi operativi dei dispositivi e dai gruppi di utenti. IDC ha scoperto che oltre il 50% delle aziende riferisce di utilizzare più di 10 componenti di rete e applicazioni per aggiungere un nuovo gruppo di utenti esterni a un’organizzazione. L’impatto è che le soluzioni di accesso remoto possono consumare molte ore di tempo degli amministratori.

I servizi ZTNA sono progettati per il posto di lavoro moderno, non solo questo significa che il numero di strumenti remoti richiesti può essere consolidato, ma anche che la complessità della loro configurazione è inferiore.

I progetti IT costano meno e sono più veloci

Diminuendo la complessità dello stack tecnologico, il numero di ore spese durante la progettazione e l’implementazione si riduce significativamente. L’effetto di questo può essere sostanziale per diversi anni, in particolare per qualsiasi programma di trasformazione digitale che include la migrazione al cloud. La spesa risparmiata grazie allo ZTNA può essere restituita al business o reinvestita in progetti IT che altrimenti non avrebbero ricevuto finanziamenti.

Realizzare i progetti nei tempi previsti è un obiettivo aziendale chiave. Diminuire la complessità  aumenterà anche la velocità di implementazione di qualsiasi nuovo servizio. Lo ZTNA può quindi costituire una parte essenziale del toolkit del team IT per una consegna puntuale.

Maggiore resilienza aziendale

Il livello di accesso è essenziale per la disponibilità del servizio, poiché rappresenta un singolo punto di vulnerabilità e deve essere resiliente. Raggiungere l’alta disponibilità con la tecnologia basata sulle applicazioni può essere costoso perché richiede l’acquisto di hardware ridondante – e potrebbe non essere mai utilizzato. In confronto, le soluzioni ZTNA sono costruite nel cloud e per loro stessa natura forniscono servizi ad alta disponibilità senza costi aggiuntivi.

Rispetto alla VPN, l’applicazione ZTNA per l’utente finale offre un’esperienza molto più fluida, instradando il traffico in modo dinamico senza che l’utente finale debba attivare o disattivare alcuna impostazione. Il tempo risparmiato dagli utenti finali può essere significativo. In un sondaggio condotto da Robert Half Technology, il lavoratore medio dell’ufficio perde 22 minuti ogni giorno per risolvere problemi generali legati all’IT. Questo equivale a più di due settimane all’anno per ogni lavoratore a tempo pieno che può essere speso concentrandosi su compiti più produttivi. Si stima che lo ZTNA possa ridurre il numero di problemi degli utenti finali dell’80%.

Diminuire il numero di problemi degli utenti finali ha un impatto diretto sull’help desk IT, riducendo il numero di ticket in arrivo, il tempo medio di risposta e il carico di lavoro complessivo. Se l’azienda ha esternalizzato l’help desk a una terza parte, la portata del contratto può essere ridotta per un risparmio immediato sui costi. Nel caso in cui l’help desk sia fornito internamente, il carico di lavoro ridotto permette ai lavoratori di essere impiegati in altri progetti.

Costruire un caso aziendale

Concentrarsi solo sui benefici di sicurezza dello ZTNA potrebbe non essere sufficiente per convincere le parti interessate. Lavorare con il team IT per valutare e quantificare i benefici descritti in questo documento permetterà di costruire un business molto più attraente. Wandera raccomanda di evidenziare tre punti chiave nel business case.

In primo luogo c’è un basso costo iniziale, dovuto all’architettura basata sul cloud. Non c’è nessun hardware o software on-premise da installare e il servizio può scalare man mano che l’azienda migra utenti e applicazioni su ZTNA.

In secondo luogo, ci sono benefici operativi immediati e risparmi sui costi. Con meno hardware e software da mantenere, i team IT possono concentrarsi su altri progetti. Inoltre, i servizi ZTNA creano meno problemi agli utenti finali, permettendo loro di dedicare più tempo al lavoro e liberando il personale dell’help desk.

Infine, ci sono significativi vantaggi a lungo termine nel passare a un servizio ZTNA. L’implementazione di nuove applicazioni o il cambiamento del modello di business dell’organizzazione è molto più veloce ed economico con una soluzione ZTNA. Qualsiasi programma di migrazione al cloud può sfruttare questi vantaggi, anche se i progetti sono già in corso.

Una raccomandazione

Una parte essenziale di ogni business case è la definizione dei passi successivi e dell’approvazione necessaria. Creare un elenco di soluzioni candidate e condurre delle prove aiuta a convincere il business che la soluzione ottimale è stata scelta e convaliderà le ipotesi del business case, come il valore potenziale dei benefici.

Fonte: Wandera

 

Cosa è meglio per i lavoratori remoti: VDI o VPN?

Cosa è meglio per i lavoratori remoti: VDI o VPN?

A causa delle restrizioni che le aziende hanno attuato in risposta ai recenti eventi, la maggior parte degli impiegati nel mondo sta ora lavorando da casa, e i reparti IT si stanno affannando a capire come sostenere il massiccio aumento dei lavoratori da remoto (vedere il post sul blog VMware con suggerimenti per la pianificazione e i primi passi da fare).

Una delle domande che si sono poste ripetutamente è: “In questo scenario di continuità aziendale in cui tutti cercano di lavorare da casa, cosa è meglio? VDI o VPN?” Purtroppo la risposta è complessa. In questo post, verranno analizzate queste opzioni per aiutarvi a fare la vostra scelta.

Che cosa significa “VDI contro VPN”?

La maggior parte degli impiegati oggi usano per il loro lavoro computer basati su Windows, sia che si tratti di computer desktop, computer portatili (che possono essere utilizzati in ufficio, a casa o in viaggio), o desktop remoti/virtuali (sia VDI che RDSH) dove il desktop Windows dell’utente funziona come una macchina virtuale in un data center da qualche parte (sia on-premises che nel cloud). La domanda “VDI contro VPN” significa in realtà: “Quando i miei utenti lavorano da casa, devo fornire un desktop virtuale remoto al quale possono accedere da qualsiasi tipo di dispositivo? (VDI) Oppure, dovrei procurargli un computer portatile che esegue tutto localmente su di esso e poi farli ricollegare all’ufficio attraverso la VPN per accedere ai loro file, applicazioni, ecc.? (VPN)”

Prima di poter rispondere quale sia la soluzione “migliore”, o quale opzione “dovreste” scegliere, pensate a come definire cosa sia “migliore”.

Per esempio, la soluzione migliore è quella che…

  • E’ la più veloce da distribuire?
  • E’ la più facile da installare?
  • E’ la più economica da installare?
  • Ha la migliore esperienza utente?
  • Funzionerà per la maggior parte degli utenti?
  • Fornirà la migliore sicurezza?

Non si può dire “sì” a tutte queste. È come quel vecchio detto commerciale: “Veloce, economico e facile: puoi averne solo due dei tre”.
E’ anche impossibile dire solo VDI o VPN, poiché la risposta per ciascuno potrebbe essere VDI o VPN a seconda della vostra situazione specifica. Al fine di pensare a quale sia più sensato per voi, considerate le seguenti domande:

  • Quali applicazioni avete bisogno di supportare? Sono tutte applicazioni web o applicazioni Windows?
  • È tutto on-premises, o avete apps in cloud o SaaS?
  • Avete già esperienza con la VDI, e avete già fatto questa progettazione? C’è un ambiente VDI già funzionante che potete espandere?
  • Avete già esperienza nella gestione di laptop Windows remoti (al di fuori del firewall) e avete già fatto questa ingegnerizzazione?
  • I vostri utenti hanno già dei portatili che porteranno a casa o bisognerà trovare nuovi dispositivi? (Se nuovi, li fornirete voi o gli utenti?)
  • Come gestite i computer portatili oggi? Legacy SCCM, AD e GPO? O con una moderna piattaforma unified endpoint management basata sul cloud?
  • Avete già una VPN? Avete abbastanza licenze per tutti i vostri utenti remoti?
  • Avete abbastanza larghezza di banda per i vostri utenti remoti? Avete pensato a come cambieranno le vostre esigenze di larghezza di banda? (ad esempio, se la VDI era solo interna, ma ora verrà utilizzata per i lavoratori da remoto, potete supportare tutto questo aumento del traffico internet aziendale?)
  • Ci sono cose “facili” da fare per liberare la larghezza di banda Internet aziendale? (ad es. abilitare lo split tunneling per gli utenti VPN).
  • I vostri “altri” componenti dell’infrastruttura funzionano meglio con un’opzione rispetto all’altra?
  • Ci sono requisiti normativi che dettano determinate decisioni tecnologiche? (ad esempio, una normativa che stabilisce che i dati dei clienti non possono essere memorizzati localmente su un dispositivo, ecc.)

Si può scoprire che si finisce per avere un mix di entrambe le cose. Ci potrebbero essere alcuni utenti o luoghi in cui il percorso VDI ha più senso e altri in cui l’opzione VPN è migliore.

Uso della VDI per i lavoratori remoti

In primo luogo, la frase “VDI” ha tradizionalmente descritto uno scenario in cui un utente accede da remoto ad un desktop basato su Windows 10 che gira come VM su un server nel vostro datacenter. Tuttavia, ai fini di questa conversazione, dovremmo ampliare la nostra definizione di VDI per includere qualsiasi scenario in cui un utente si connette a un desktop Windows da un dispositivo client casuale. Quindi, oltre alla VDI tradizionale, potrebbero anche esserci le tecnologie VDI o RDSH in esecuzione nel cloud che si pagano come servizio (DaaS, Microsoft WVD, ecc.).

Le tecnologie VDI hanno diverse caratteristiche interessanti (si noti che sono stati scritti interi libri su questo, quindi ne sto solo evidenziando selettivamente alcune che sono più rilevanti):

  • Non importa che tipo di dispositivo abbia l’utente a casa. Può essere un moderno computer Windows, un tower di dieci anni trovato nel seminterrato, un iPad, il Chromebook del figlio, un vecchio MacBook, ecc.
  • Per connettersi a un desktop VDI non è necessaria alcuna competenza “informatica” a casa dell’utente. Basta indicargli una pagina web e fargli fare il login, e potrà accedere al suo desktop aziendale Windows completo in pochi minuti.
  • Sicurezza “integrata”, poiché tutte le applicazioni e i dati rimangono sui server in ufficio o nel cloud, quindi non dovete preoccuparvi di ciò che potrebbe essere salvato sul dispositivo di casa di un utente, il che significa che non dovete preoccuparvi di cosa possa essere perso o rubato, ecc.

Anche la VDI ha alcuni svantaggi:

  • Ingegnerizzare e costruire un ambiente VDI è complesso. Se attualmente non si dispone di VDI, sarà necessario ricorrere agli esperti giusti per aiutarvi a progettare, e questo potrebbe richiedere troppo tempo.
  • I vostri utenti da casa avranno bisogno di connessioni internet decenti per poter lavorare.
  • La VDI richiede più larghezza di banda e potenza di server per i display più grandi e i monitor multipli. Gli utenti che normalmente lavorano in questo modo potrebbero avere un’esperienza peggiore attraverso la VDI.
  • Non tutte le applicazioni funzionano bene attraverso la connessione remota del desktop VDI. Le applicazioni per audio/video-conferenze sono notoriamente impegnative per la VDI e, ironia della sorte, questi sono i tipi di applicazioni più utilizzati dai dipendenti che lavorano da casa (anche se gli utenti esperti di tecnologia possono partecipare alle riunioni dai loro iPhone o iPad e non attraverso i loro desktop VDI di Windows).
  • Se avete già la VDI che usate dal vostro ufficio (evviva!), e poi pensate: “Fantastico, ora lo userò per gli utenti da casa”, potreste incorrere in limitazioni di larghezza di banda con la connessione internet del vostro ufficio aziendale.
  • La VDI può essere costosa perché è necessario tutto l’hardware del server per eseguire tutti i desktop degli utenti. Quindi, se avete già comprato dei portatili per gli utenti, ma poi loro usano quei portatili per accedere alla VDI, è come se pagaste due volte per ogni desktop.

Utilizzo di una VPN per i lavoratori remoti

L’opzione “VPN” significa essenzialmente che gli utenti utilizzano i normali computer portatili a casa, e le applicazioni che utilizzano sono installate localmente su questi portatili. Poi per le cose di cui hanno bisogno dall’ufficio (file sharing, sistemi aziendali e database, ecc.) si collegano alla VPN per accedere alla rete aziendale.

Anche in questo caso, ci sono molti aspetti interessanti, tra cui:

  • Se i vostri utenti hanno già dei portatili aziendali, in sostanza non dovete “fare” nulla. Basta dire ai vostri utenti di portare i loro portatili a casa e iniziare a lavorare.
  • Questa opzione non richiede molte impostazioni o acquisti di back end (per esempio, non avete bisogno di costosi server VDI o di pagare più di 30 dollari al mese per ogni utente per il DaaS). Tutto il “lavoro” viene svolto sui portatili.

Ci sono anche alcuni aspetti negativi dell’opzione VPN:

  • Dal momento che tutte le vostre applicazioni verranno eseguite localmente su un laptop a casa di un utente, dovete capire come fare ad installarle e come tenerle aggiornate.
  • Che cosa succede se il portatile dell’utente è troppo vecchio e non può eseguire tutte le applicazioni? E se si tratta di un Mac?
  • Qualsiasi dato o file con cui l’utente lavora sarà copiato localmente sul suo computer di casa. Sei d’accordo?
  • Una VPN mette il laptop dell’utente sulla rete aziendale, anche se è a casa. Che cosa significa questo per Patch Tuesday, dove si potrebbe avere la propria infrastruttura di distribuzione del software (WSUS, server di distribuzione, BranchCache, P2P, ecc)? La vostra VPN e il vostro internet aziendale saranno in grado di gestire tutte le patch che passano attraverso la rete aziendale verso i vostri utenti? Gli utenti non su VPN riceveranno anche gli aggiornamenti?
  • Per gli utenti che non hanno computer portatili aziendali, può essere molto impegnativo far funzionare un computer portatile nuovo di zecca con tutto installato e configurato quando l’utente è al 100% a casa e il portatile non è mai arrivato in ufficio.
  • Se avete bisogno di procurarvi nuovi laptop per i vostri utenti, la vostra immagine esistente del disco di  Windows funzionerà per loro? Quanto tempo e effort sarà necessario? E cosa succede se tutti i vostri utenti si ritrovano con marche e modelli diversi? Sarete mai in grado di far installare e far funzionare tutto in remoto?

Detto questo, possiamo fare le seguenti asserzioni.

Ad esempio, l’affermazione che è difficile configurare un nuovo laptop da remoto è vera solo se si utilizzano strumenti PCLM legacy (Microsoft SCCM, GPO, on-prem AD, VPN, ecc.). Se si dispone di una moderna piattaforma di gestione (VMware Workspace ONE, ecc.), è possibile sfruttare le moderne capacità di Windows 10 basate sul cloud per consentire agli utenti di effettuare facilmente il  self-enroll dei propri laptop, anche quelli nuovi acquistati nei negozi locali dagli utenti. I laptop automaticamente scaricano, si configurano e si mantengono aggiornati e sicuri, il tutto tramite cloud.

È fantastico! Ma è necessario aver già fatto il lavoro di progettazione e di configurazione per facilitare tutto questo. Quindi, se state eseguendo la migrazione, o se è già stata eseguita, della gestione fisica del vostro PC Windows 10 su Workspace ONE UEM, allora potete usare questo, e siete pronti.

Ma se avete ancora l’SCCM e niente di moderno, allora non c’è davvero alcun modo in cui potete usare quello che avete per integrare i vari computer che si trovano nelle case delle persone. (Alcuni clienti stanno configurando ora nuovi ambienti di Workspace ONE UEM basati su SaaS per integrare  nuovi computer portatili Windows 10 e Mac remoti, mantenendo il vecchio ambiente SCCM per tutti i loro portatili esistenti che lo utilizzano).

E gli utenti che non hanno computer a casa?

Molti impiegati non hanno computer portatili aziendali, quindi se questi lavoratori hanno bisogno di lavorare da casa, bisogna pensare a quali opzioni scegliere:

  • Compri loro un dispositivo e glielo spedisci a casa.
  • Dite loro di usare qualsiasi computer che hanno già.
  • Dite loro di andare su Amazon, Walmart, ecc. e di comprare un nuovo computer portatile.
  • Dite loro di usare il loro telefono o tablet.

Allora, cosa scegliere?

L’argomento più importante per decidere se scegliere la VDI o la VPN, secondo me, è: “Quale opzione tecnologica ti è più comoda? Dove hai speso il maggior effort?”

Sia un desktop VDI che un portatile fisico richiedono molta ingegneria per funzionare. Con la VDI, bisogna pensare ai server, agli IOPS, alle immagini disco, al layering delle applicazioni, alla stampa, ai profili utente, ai tempi di login, al numero di monitor, alle GPU, ai pixel e alla larghezza di banda, agli aggiornamenti dei client, ecc. Su questo sono stati scritti interi libri e le persone (come me!) dedicano decenni della loro vita a capire tutto questo.

Ma lo stesso vale per i portatili Windows che si connettono tramite l’opzione VPN. Gli architetti desktop passano mesi o anni a progettare l’immagine, a pensare a come le applicazioni vengono installate e configurate, a come impostare tutti gli strumenti di sicurezza, la crittografia del disco, il monitoraggio, le patch del software e gli aggiornamenti, i tunnel VPN e molte altre cose.

Quindi, la mia breve risposta sarebbe: “Bisognerebbe scegliere la soluzione con cui ci si sente più a proprio agio”. Se non avete mai fatto VDI prima d’ora, a meno che non riusciate a trovare un ottimo partner di consulenza, non sarebbe facile consigliare di entrare in VDI in una sorta di emergenza.

Lo stesso vale per le VPN e i computer portatili. Se la vostra unica esperienza nella gestione di dispositivi Windows si basa su quelli che si trovano nel vostro ufficio, allora la gestione di laptop remoti sarà piuttosto stressante date le sfide create dalla quarantena.

Fonte: VMware