Accesso al cloud sicuro: perché abbiamo scelto Palo Alto Networks

This post is also available in: English (Inglese) 繁體中文 (Cinese tradizionale) Français (Francese) Deutsch (Tedesco) 日本語 (Giapponese) 한국어 (Coreano) Nederlands (Olandese) Español (Spagnolo)

Apttus è nata nel cloud. Ai nostri clienti proponiamo pacchetti SaaS basati su AI, come soluzioni per il quote-to-cash, la gestione contratti, il commercio digitale e la gestione fornitori. La nostra totale adesione al cloud ci ha permesso di servire al meglio 700 e più clienti in ogni parte del mondo.

Abbiamo scelto di operare esclusivamente sul cloud per sfruttare i vantaggi offerti in primo luogo da Azure, e quindi da AWS. Ci occorreva tuttavia un sistema per effettuare un accesso sicuro alla nostra infrastruttura e alle applicazioni cloud per le nostre operazioni globali.

Quali problemi di business e sicurezza dovevamo risolvere?

Prima di implementare i firewall virtualizzati di nuova generazione VM-Series di Palo Alto Networks, avevamo due problemi di sicurezza.

La mancanza di una gestione centralizzata degli accessi al cloud

Con il termine "pod" identifichiamo una raccolta di risorse cloud necessarie ad attivare un servizio e a eseguire le nostre soluzioni. Ad ogni pod associamo una macchina virtuale (VM), che funge da jump host e fornisce ai team delle operazioni l'accesso al pod. Oggi abbiamo oltre 100 pod e ogni accesso a un pod richiede tempo e risorse. Il modello esistente di gestione degli accessi non offre visibilità o controllo e assorbe notevoli risorse. Viene sprecato molto tempo; e nel business perdere tempo significa perdere denaro.

Un modello lento, insicuro e fragile di accesso al cloud

Per accedere alle risorse cloud è necessario utilizzare una VPN centralizzata. Per effettuare la connessione con un Single Sign-On (SSO), gli utenti e i dipendenti vengono diretti alla nostra sede centrale. Dall'ufficio centrale hanno la possibilità di connettersi al data center. Poiché il nostro team è globale, con utenti e filiali in India e in diversi altri paesi, questo metodo introduce latenza e lenta connettività.

VM-Series di Palo Alto Networks: un gateway di accesso decentralizzato alle risorse cloud

Il nostro vecchio metodo non era più adeguato. Abbiamo quindi sviluppato un'architettura in cui i team delle operazioni non devono più passare per la sede centrale e che non richiede un jump host per ogni pod. La VM-Series di Palo Alto Networks è al centro di questa nuova architettura di sicurezza. Abbiamo scelto la sottoscrizione GlobalProtect sui nostri firewall virtualizzati di nuova generazione VM-Series in modo che agiscano da gateway di accesso, e utilizziamo Panorama come gestore di sicurezza centralizzato. Poiché la VM-Series si connette direttamente ad Azure AD per la terminazione dell'utente centrale, siamo ora in grado di gestire l'accesso e usare un'unica fonte di identità. Abbiamo inoltre ottenuto visibilità e controllo granulari e la possibilità di segmentare e isolare i pod uno dall'altro.

E allora? Guardiamo i risultati

Da quando abbiamo implementato VM-Series di Palo Alto Networks nel cloud, abbiamo ottenuto risparmi di tempo significativi nell'identificazione e risoluzione dei problemi dei clienti. Abbiamo scelto Palo Alto Networks per 3 ragioni:

1. VM-Series di Palo Alto Networks si integra in modo nativo con Azure AD. Siamo in grado di centralizzare il controllo di ingresso/uscita di tutti gli utenti con l'SSO di Azure AD, che include il tracciamento dell'attività e dell'audit.
2. La possibilità di gestire i firewall centralmente con Panorama è un enorme vantaggio. La gestione di tutti i firewall è fondamentale per provvedere agli aggiornamenti della configurazione e del software.
3. Il deployment di VM-Series è eseguibile con IaC (Infrastructure as Code). In pochi minuti possiamo disaccoppiare e distribuire programmaticamente VM-Series nel cloud, insieme al resto dei componenti dell'infrastruttura. L'operazione è idempotente in tutte le nostre regioni.

Alcune considerazioni e raccomandazioni finali:

1. Con la sicurezza, separa le operazioni dall'IT: se non lo fai, rischi di perdere i vantaggi di agilità offerti dal cloud.
2. Puoi scalare la sicurezza nel cloud: sfrutta i vantaggi dei servizi cloud nativi come Azure AD, progettati per scalare. Puoi autenticare facilmente gli utenti nel cloud, non serve la connessione all'infrastruttura locale.
3. Scegli i prodotti di sicurezza gestibili con tecnologia IaC: l'utilizzo di IaC con Palo Alto Networks è stato un successo. Abbiamo ottenuto alti livelli di sicurezza, bassa latenza e abbreviato i tempi di risoluzione dei problemi nell'assistenza clienti.