Le aziende, anche quelle di piccole dimensioni, non utilizzano più i classici schemi che prevedevano l’accentramento di tutte le attività all’interno della loro sede. Il personale dell’impresa e i collaboratori sono invece sempre più spesso collegati da postazioni remote con lo smart working che oggi fa la parte del leone.
Una delle soluzioni più adottate dalle aziende consiste nell’uso di connessioni VPN, di solito di tipo site-to-site: uno o più server VPN vengono configurati in sede per consentire l’accesso attraverso un tunnel sicuro da parte dei client remoti. Questi ultimi corrispondono ai sistemi di dipendenti e collaboratori che possono così accedere a distanza alle risorse condivise sulla rete aziendale, attivare sessioni di accesso remoto, lavorare come se i loro sistemi fossero fisicamente connessi alla LAN dell’impresa.
L’approccio basato sulla creazione di VPN site-to-site porta con sé alcune problematiche con le quali tante realtà si trovano spesso a fare i conti. Innanzitutto, il crescente numero di client connessi al server VPN può portare a situazioni di degrado prestazionale e sovraccarico tali da rendere il collegamento inutilizzabile.
Gli amministratori dell’impresa, inoltre, non hanno alcun tipo di indicazione sullo stato del dispositivo remoto né, tanto meno, possono gestirlo a distanza in modo tale che la sua configurazione sia sicura e non possa creare problemi sulla rete aziendale.
Schema di funzionamento di una VPN tradizionale. Un approccio che a lungo andare porta a diversi problemi e colli di bottiglia (fonte: QNAP)
La configurazione di una VPN, anche lato client, non è qualcosa di immediato, come abbiamo visto in tanti nostri articoli. C’è comunque bisogno di installare un client VPN impostarlo correttamente importando il profilo e i certificati forniti dall’azienda, confermare le credenziali di accesso e attivare la connessione quando necessario. Non tutti i dipendenti dell’azienda dispongono delle conoscenze e delle competenze per completare questi passaggi.
Configurare una VPN efficace potrebbe rivelarsi piuttosto costoso per un’azienda anche perché le spese da affrontare tendono generalmente a crescere con il passare del tempo.
Nell’era dello smart working, inoltre, crescono gli attacchi contro i server VPN perché essi rappresentano di fatto la porta di accesso all’intera infrastruttura aziendale. Per un criminale informatico riuscire a far breccia in una VPN, magari sfruttando vulnerabilità note non risolte dagli amministratori IT dell’azienda, può significare acquisire accesso completo a risorse e informazioni riservate di grande valore.
QNAP QuWAN: la soluzione integrata che spazza via le VPN tradizionali e si adatta a ogni impresa
Con il preciso obiettivo di superare le limitazioni e gli svantaggi delle VPN tradizionali, QNAP ha sviluppato e integrato nei suoi dispositivi QuWAN, una tecnologia che si adatta alle esigenze dell’azienda e dei suoi utenti.
In particolare, la tecnologia SD-WAN (Software-defined WAN) aiuta a stabilire connessioni remote sicure con la rete aziendale, indipendentemente dalla sua struttura: QuWAN è la SD-WAN di QNAP che offre numerosi vantaggi in un’unica soluzione integrata.
QuWAN permette di creare molto rapidamente e in maniera intuitiva una VPN multi-site gestibile in modo centralizzato: gli amministratori hanno una visione precisa ed estremamente dettagliata di come è strutturata la VPN, di quali dispositivi sono connessi, su quanto traffico stanno generando, di qual è lo stato e la configurazione di ciascuno di essi.
Schema di funzionamento della soluzione QuWAN di QNAP: rende accessibile la creazione di VPN multisito di livello enterprise anche alle realtà più piccole (fonte: QNAP)
Con QuWAN si può allestire una VPN sicura e flessibile: i dispositivi QNAP possono essere configurati come Hub oppure come Edge. Nel caso degli Hub essi necessitano di un indirizzo IP pubblico; gli Edge, possono invece essere collegati a una rete preesistente, usare un IP privato e connessi anche dietro alla funzione NAT (Network Address Translation) gestita da un altro router. Tutti i trasferimenti di dati tra gli Edge devono necessariamente transitare per un Hub.
QuWAN si compone di una piattaforma di gestione basata sul cloud (QuWAN Orchestrator) e un modulo attivabile su un ampio ventaglio di dispositivi (QuWAN Agent): router QNAP QHora, QMiro, QuCPE Network Virtualization Premise Equipment, NAS e switch QGD. È inoltre possibile collegare alla SD-WAN la piattaforma di virtualizzazione VMware ESXi e i server oltre ai singoli client (applicazione QVPN).
Come configurare una VPN multisito con QuWAN
QNAP progetta, sviluppa e fornisce soluzioni evolute per lo storage dei dati, il networking e lo smart video.
Grazie alla piattaforma unica rappresentata dal sistema operativo QTS, che è presente su tutti i dispositivi QNAP, gli utenti possono configurare molto facilmente una VPN multisito così da creare un’affidabile rete distribuita su più sedi e condivisa tra molteplici dispositivi client esterni alla struttura aziendale.
I router SD-WAN QNAP QHora possono ad esempio essere configurati come Hub (accettano comunque l’impostazione Edge) mentre altri dispositivi come NAS e router per piccole e medie imprese (oltre che per uso personale e domestico) possono essere configurati come Edge. Nel pannello di amministrazione di ogni dispositivo QNAP, infatti, basta fare clic sulla voce QuWAN nella colonna di sinistra per creare la VPN multisito o aggiungervi uno o più dispositivi.
La forza di QNAP QuWAN è la possibilità di aggiungere alla rete un nuovo dispositivo con pochi clic: si prenda come esempio il router WiFi mesh QMiroPlus-201W. È chiaramente un dispositivo che si rivolge agli utenti privati come al professionista che lavora da casa, quindi anche allo smartworker.
Da eccellente sistema WiFi mesh, al router QMiroPlus-201W possono essere connesse una o più unità che consentono di estendere la copertura WiFi in modo semplice e del tutto automatizzato.
L’amministratore IT dell’azienda può consegnare più QMiroPlus-201W già preconfigurati ai dipendenti in modo che possano collegarsi facilmente alla VPN aziendale: i collaboratori non devono fare altro che collegare i dispositivi alla rete, anche dietro al NAT di un altro router (ad esempio quello fornito dall’operatore di telecomunicazioni), per raggiungere a distanza e in totale sicurezza tutte le risorse dell’impresa.
All’interno dell’impresa, i dispositivi QuWAN sono classificati sulla base di tre livelli gerarchici: organizzazione, regione e luogo. Queste tre “etichette” permettono di chiarificare il ruolo di ciascun dispositivo nella rete VPN consentendo poi, successivamente, l’ottimizzazione delle rotte da seguire, la gestione del traffico, l’applicazione di specifiche policy e così via.
Come si vede nell’immagine, i dispositivi QNAP permettono di configurare la porta WAN via DHCP (in modo da ricevere automaticamente l’indirizzo IP da un altro dispositivo), PPPoE (con la possibilità di usare la tecnica del PPPoE passthrough ove disponibile), con indirizzo IP statico, Dual-Stack Lite (DS-Lite) e MAP-E.
È anche possibile ricorrere alla WAN aggregation che permette di combinare due reti Gigabit o Multigigabit Ethernet per aumentare la larghezza di banda e massimizzare la velocità dei trasferimenti di dati (si pensi alle attività di backup multisede, anche nell’ottica di backup 3-2-1, e all’accesso di file system remoti).
QuWAN Orchestrator: il pannello cloud per gestire la VPN aziendale
Una volta creata la rete SD-WAN QuWAN, gli amministratori possono accedere al pannello cloud di QuWAN Orchestrator, una piattaforma accessibile da browser che permette di gestire tutti i dispositivi che partecipano alla VPN aziendale.
QuWAN Orchestrator fornisce i dettagli sulla topologia della rete indicando come sono interconnessi Hub ed Edge.
Per ciascun dispositivo QuWAN Orchestrator mostra (Riepiloghi subnet IP/IP) gli indirizzi pubblici in uso, le porte LAN utilizzate e i relativi indirizzi attribuiti ai client, la lista dei collegamenti privati e interdominio.
Tramite QuWAN Orchestrator è possibile accertare che cosa sta avvenendo sulla rete, applicare le stesse configurazioni su più dispositivi connessi con la VPN (“set once, apply to all“), impostare politiche QoS (Quality of Service) per privilegiare certe tipologie di trasferimenti dati e alcuni dispositivi, ad esempio quelli di una filiale, di un ufficio o di gruppi di utenti.
Utilizzando il client QVPN fornito da QNAP e disponibile per tutti i principali sistemi operativi (sia su piattaforma desktop che mobile), è possibile aggiungere alla VPN anche singoli dispositivi.
L’utilizzo di uno schema multi-WAN permette di continuare a lavorare e fare in modo che i dispositivi remoti restino connessi anche nel momento in cui una connessione dovesse risultare temporaneamente indisponibile. QuWAN Orchestrator mostra un avviso in tempo reale nel caso in cui un collegamento di rete manifestasse un problema.
Il firewall integrato è basato sulla tecnologia Deep Packet Inspection (DPI) L7: ciò significa che può rilevare ed eventualmente bloccare i pacchetti dati in base alla loro specifica tipologia, riconoscere protocolli e servizi mentre essi vengono utilizzati. I dati in transito vengono inoltre crittografati con lo standard IPsec.
Per proteggere gli asset aziendali, l’amministratore può definire blacklist e impostare regole personalizzate su un singolo segmento di rete oppure applicarle a livello generalizzato.
In definitiva QNAP QuWAN si presenta come una soluzione “chiavi in mano” che dispensa gli amministratori IT e gli utenti finali dal dover compiere complesse configurazioni per collegarsi via VPN alla rete aziendale. Grazie a QuWAN la rete si adatta automaticamente ai dispositivi connessi e sceglie, a meno di configurazioni personalizzate, le tratte migliori e più performanti per mettere in comunicazione i vari dispositivi.
Indipendentemente dal numero di client connessi, dalle dimensioni e dalla struttura dell’azienda, dalla posizione geografica di ciascun dispositivo, è possibile contare sempre sulla possibilità di accedere alla rete aziendale in condizioni di massima sicurezza e con un livello di prestazioni che le classiche VPN non possono offrire.