Problemi dell'infrastruttura di rete

Considerazioni per la migrazione al cloud

La migrazione al cloud raramente avviene in un'unica operazione. Soltanto un numero limitato di organizzazioni è in grado di adottare un singolo provider cloud, ma molte di più si trovano con una combinazione di cloud pubblico, cloud privato e infrastruttura on-premise.

Ci sono parecchi motivi per mantenere un'infrastruttura eterogenea. Lo stesso non si può dire per le funzioni di rete che supportano tale infrastruttura:

  • Sicurezza, ad esempio firewall, mitigazione DDoS e gestione degli accessi utente

  • Prestazioni ed affidabilità, ad esempio bilanciamento del carico, accelerazione del traffico e ottimizzazione WAN

Paradossalmente, un approccio ibrido alla protezione e all'accelerazione di ambienti cloud complessi crea effettivamente problemi di prestazioni, gap nella sicurezza e problemi di supporto. Per evitare questi problemi, i team IT e di sicurezza devono trovare il modo per far lavorare insieme queste funzioni di rete nel modo più fluido possibile.


Infrastruttura di sicurezza e prestazioni: modelli e problemi comuni

La protezione e l'accelerazione del cloud ibrido e dell'infrastruttura multi-cloud ha in genere richiesto uno o più dei seguenti:

  • Dispositivi hardware on-premise

  • Soluzioni a più punti distribuite nel cloud

Purtroppo, entrambi questi approcci portano parecchi problemi.


Problemi legati ai dispositivi hardware on-premise

È risaputo che l'hardware del datacenter richiede tempo per la manutenzione ed è costoso da possedere. Spesso ha anche dei limiti di capacità. Ad esempio, secondo un rapporto di Cloudflare, il 76% di tutti gli attacchi DDoS L3/4 nel secondo trimestre del 2020 ha consegnato fino a 1 milione di pacchetti al secondo (pps). In genere, un'interfaccia Ethernet da 1 Gbps può fornire da 80.000 a 1,5 milioni di pps.

Supponendo che l'interfaccia fornisca anche traffico legittimo, anche questi attacchi DDoS a velocità di pacchetto ridotte possono facilmente abbattere una proprietà Internet. L'alternativa è mantenere una capacità sufficiente per lo scenario peggiore, ma questa è una proposta costosa.

L'hardware crea anche lacune nella sicurezza. Patch e aggiornamenti sono un esempio. Le patch si basano sull'implementazione manuale e potrebbero non essere installate tempestivamente a causa di ritardi logistici o dimenticanza. Una volta rilasciata una patch, la vulnerabilità associata diventa un obiettivo di profilo superiore per gli aggressori opportunistici.

Inoltre, se implementati in un approccio cloud ibrido, i dispositivi hardware di rete creano lacune di sicurezza. Ovviamente è impossibile installare il proprio hardware in un provider cloud di terze parti. Ciò significa che diverse parti dell'infrastruttura sono protette in modi diversi, offrendo ai team IT e di sicurezza una minore visibilità e controllo sugli attacchi in arrivo e sul traffico legittimo.


Problemi con alcune soluzioni basate su cloud

I servizi basati su cloud hanno un costo totale di proprietà inferiore rispetto all'hardware, ma possono rallentare le prestazioni delle applicazioni e della rete se distribuiti in modo errato. Ad esempio, molti di loro si affidano a un numero limitato di datacenter specializzati, ad esempio centri di scrubbing per mitigazione DDoS. Se l'utente o gli utenti finali non sono vicini a uno di questi datacenter, il loro traffico dovrà percorrere una distanza notevole, anche se la sua destinazione finale è nelle vicinanze.

Questo processo di backhauling può aggiungere una notevole latenza. Questo problema si verifica quando un'organizzazione utilizza provider diversi per diverse funzioni di rete. Quando il traffico deve passare da un provider all'altro, la latenza può essere misurata in centinaia di millisecondi.

L'utilizzo di diversi provider per funzioni diverse crea anche sfide di supporto. Quando qualcosa va storto, può essere difficile stabilire quale provider sia la causa della congestione o dei disservizi. Inoltre, i tempi (e quindi i costi) necessari per gestire tutti questi provider possono comunque essere elevati.

In che modo possono rispondere le organizzazioni?


Le reti cloud distribuite risolvono le lacune di sicurezza e riducono la latenza

Le strategie precedentemente menzionate per proteggere e accelerare l'infrastruttura cloud condividono diversi punti deboli:

  • Problemi di prestazioni: l'hardware ha una capacità limitata, mentre i servizi basati su cloud possono causare latenza, soprattutto quando il traffico passa attraverso più reti cloud per più servizi.

  • Controlli e monitoraggio incoerenti: l'utilizzo di servizi separati per diverse funzioni di rete rende difficile applicare regole coerenti e monitorare il traffico globale.

  • Supporto: l'uso di servizi separati rende difficile diagnosticare dove si trovano i problemi.

Le soluzioni a tutti questi problemi sono l'integrazione e la portata globale, facendo in modo che queste funzioni di rete lavorino insieme nel modo più fluido possibile, in tutto il mondo

In pratica, questo significa in genere utilizzare una rete cloud distribuita. Una rete cloud distribuita è una rete con:

  • Molti punti di presenza con la distribuzione globale. Ciò significa che gli utenti finali sono sempre vicini alla rete, eliminando la latenza derivante dal traffico che viaggia da e verso un centro di scrubbing distante, un server VPN o un altro servizio.

  • La possibilità di eseguire più funzioni di sicurezza e prestazioni in ogni punto di presenza. Ciò significa che il traffico può essere sottoposto a scrubbing, instradato e accelerato in un unico datacenter, anziché dover passare da una posizione all'altra per ciascuna funzione, creando anche ridondanza. Se un datacenter viene sovraccaricato o diventa inattivo, altri possono prendere il suo posto immediatamente.

  • La capacità di lavorare con una infrastruttura cloud e on-premise. Questa funzionalità consente ai team IT e di sicurezza di impostare controlli costanti e di monitorare il traffico globale da un'unica postazione.

Le reti cloud distribuite spesso si basano su Anycast, un metodo di indirizzamento e routing di rete in cui le richieste in arrivo possono essere instradate a una varietà di posizioni o "nodi" diversi. Anycast consente a tali reti di instradare il traffico in arrivo verso la posizione più vicina con la capacità di elaborare la richiesta in modo efficiente, un componente fondamentale per ridurre la latenza per gli utenti finali.

Con tale interconnessione, routing intelligente e ridondanza, è molto meno probabile che problemi come controlli incoerenti, latenza e problemi di supporto ostacolino la migrazione al cloud.

La rete cloud distribuita di Cloudflare dispone di datacenter in oltre 285 città in più di 100 paesi, ognuno dei quali è in grado di applicare le regole del firewall, mitigare gli attacchi DDoS, bilanciare il carico del traffico e memorizzare nella cache i contenuti, per un delivery veloce agli utenti finali.

Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.


Punti chiave

Dopo aver letto questo articolo sarai in grado di capire:

  • Pro e contro di un'infrastruttura eterogenea

  • I problemi legati all'hardware on-premise e alle soluzioni a più punti fornite nel cloud

  • Come una rete cloud distribuita risolve questi problemi


RISORSE CORRELATE


Approfondisci questa tematica.

Scopri di più sulle strategie di sicurezza per la migrazione delle funzioni di rete dall'hardware al cloud, nel whitepaper sui dispositivi hardware Death of Network.

Get the white paper

Ricevi un riepilogo mensile degli approfondimenti Internet più popolari!