Il primo passo verso SASE: il viaggio di PAG Italia verso una soluzione completa di sicurezza nel cloud
6 min read
Intervista ad Astrid Rossi – IT Manager at PAG Italy
————————————————————–
La crescita del business è positiva, ma la sua espansione può aggiungere complessità alle esigenze IT, creando ulteriori oneri di sicurezza e gestione della rete. Nuove fusioni e acquisizioni possono aggravare ulteriormente questi problemi, richiedendo l’integrazione e la standardizzazione dell’infrastruttura delle nuove entità coinvolte.
Questo scenario si è presentato quando, nel febbraio 2012, nasce Penske Automotive Group Italy (PAG Italy) dalla joint venture tra Penske Automotive e il gruppo AutoVanti (delle famiglie Vanti e Mantellini). L’attività del gruppo, storicamente legata ai marchi BMW e MINI, si è ampliata con l’acquisizione di concessionarie di auto di lusso nel Nord Italia che rappresentano i marchi Audi, Jaguar Land Rover, Lamborghini, Mercedes-Benz e Smart, Maserati, Volvo e Porsche. La rete di concessionari si è presto estesa dall’Emilia-Romagna alla Lombardia, passando da tre sedi nell’area bolognese a 20 siti, geograficamente sparsi tra le due regioni.
PAG Italia è oggi la rete di concessionari leader nel segmento premium e lusso in Italia e l’espansione del gruppo continuerà nel mercato automobilistico.
Una rete multi-vendor dalla gestione onerosa
Sono la responsabile IT dal 2004 e mi occupo dell’infrastruttura e della rete. Lavoro con un Application Manager e il nostro team è composto da un ingegnere sul campo e dal nostro CTO. Ci affidiamo al supporto del nostro partner di fiducia, VIP IT Solutions, che fornisce servizi e assistenza ai 600 utenti presenti nelle nostre sedi.
Come altre aziende cresciute attraverso fusioni e acquisizioni, ci siamo trovati a gestire reti complesse con dispositivi di brand diversi, e a integrare nuove concessionarie nell’infrastruttura esistente in modo frammentario. La nostra infrastruttura multi-vendor ci ha spinto verso un’acquisizione di competenza necessaria per gestire le diverse tecnologie, allo scopo di fornire ai nostri concessionari una connessione alla rete in modo sicuro, per condividere applicazioni e informazioni senza soluzione di continuità, supportando e aggiornando software e sistemi. Avevamo maturato abbastanza esperienza per mantenere tutto operativo, ma non era sufficiente. Volevamo un’infrastruttura più ‘pulita’ e snella, insieme alla possibilità di avere un controllo a 360° da un’unica dashboard che offrisse una gestione flessibile e semplificata della rete.
La pandemia ha aggiunto un’ulteriore complessità. Quando è stato richiesto di lavorare da remoto, abbiamo avuto la necessita di integrare i dispositivi mobili e di supportare centinaia di utenti che si collegavano da casa tramite VPN. La gestione di questi utenti ha aumentato il carico di lavoro del nostro team IT e della nostra rete MPLS, la quale risultava troppo costosa e non abbastanza flessibile per il lavoro da remoto.
Avevamo già attivi i firewall Cisco Meraki MX per creare una connettività SD-WAN sicura e ridondata anche via cellulare e Wi-Fi in alcune delle nostre sedi. È stato da qui che abbiamo preso in considerazione l’espansione della nostra base installata Cisco.
Cisco rappresenta il futuro della rete di PAG Italia
In passato avevamo preso in considerazione l’utilizzo di Cisco come fornitore unico, ma l’investimento complessivo era un ostacolo e abbiamo finito per acquistare switch a basso costo da altri fornitori. Con il passare del tempo, ci siamo resi conto che stavamo pagando un prezzo alto in termini di tempo e costi nella risoluzione dei problemi e nell’integrazione di apparecchiature di diversi produttori.
Eravamo già al lavoro con un altro partner IT per sostituire alcune delle nostre infrastrutture obsolete con access point e switch Cisco Meraki, ma il progetto si era arenato. Ci siamo rivolti, cosi, a VIP IT Solutions, già partner Cisco, perché aveva una conoscenza approfondita della nostra infrastruttura, oltre che la certificazione Meraki appropriata per l’erogazione dei servizi. Mentre il lavoro di sostituzione degli access point e degli switch proseguiva, ci siamo chiesti: “E se potessimo fare di più?”.
All’inizio del 2021, ci siamo riuniti con Cisco e VIP IT Solutions per discutere del futuro della rete di PAG Italia e loro ci hanno aiutato a presentare al nostro consiglio di amministrazione una soluzione a fornitore unico. Ci hanno consigliato un full stack Cisco Meraki basato sulla qualità del servizio. La soluzione sarebbe servita anche come base per iniziare a parlare di Secure Access Service Edge (SASE), un modello di architettura di rete che combina funzionalità VPN e SD-WAN con funzioni di sicurezza cloud-native.
La soluzione comprendeva una dashboard di gestione basata sul web con un unico pannello di controllo e punti di accesso wireless gestiti dal cloud (Meraki MR), switch (Meraki MS) e appliance/firewall di sicurezza (Meraki MX). Se usati da soli, ognuno di questi prodotti offre visibilità e controllo granulari. Ma combinandoli, il nostro team avrebbe ottenuto la piattaforma di gestione centrale unica e integrata che desiderava. Avremmo anche semplificato contemporaneamente le operazioni IT e di rete in tutte le nostre concessionarie e configurato facilmente l’accesso ai dispositivi interni e mobili per prepararci al futuro.
Interoperabilità e dashboard di facile utilizzo
Per configurare Cisco Meraki è bastata un’appliance MX e una connessione a Internet in ogni sede, perfetta per le nostre concessionarie dislocate. In pochi minuti, abbiamo potuto configurare e proteggere ogni concessionaria dalla dashboard centralizzata e poi proteggere il perimetro della nostra rete limitando l’accesso ai dispositivi e agli utenti fidati tramite SD-WAN. Questo approccio è molto più efficiente di una rete MPLS, perché il mio team può gestire e scalare questa rete premendo un pulsante, invece di doverla rimappare ogni volta che attuiamo un cambiamento. SD-WAN è anche più adatto alla connettività cloud, e ci dà accesso a nuovi strumenti e tecnologie che non avremmo potuto implementare su MPLS.
Un altro vantaggio fondamentale di una rete Cisco end-to-end è la garanzia e l’assistenza dell’azienda. Le apparecchiature Cisco non raggiungono la fine del ciclo di vita per molti anni, offrendo un ulteriore livello di stabilità. Per il nostro piccolo team IT è rassicurante poter contare sul supporto del team di assistenza tecnica Cisco attraverso frequenti aggiornamenti e cicli di vita dei prodotti. Siamo in grado di risolvere la maggior parte dei nostri problemi, ma se ci troviamo in difficoltà, ci rivolgiamo all’esperienza di Cisco e di VIP IT Solutions, che forniscono un supporto continuo.
Questo livello di assistenza al cliente, unito all’infrastruttura single-sourced, si traduce in una minore manutenzione, una più facile risoluzione dei problemi e una riduzione dei tempi di inattività.
Stratificazione dei prodotti Cisco per proteggere la nostra VPN
Negli ultimi anni, la tecnologia VPN sicura è diventata una priorità assoluta per PAG Italia. Le nostre operazioni in Italia necessitano di una maggiore protezione per soddisfare gli standard del nostro portale negli Stati Uniti. Dobbiamo inoltre fornire un accesso alla rete sicuro e facile da configurare a un numero crescente di utenti remoti, tra cui i nostri team dirigenziali e manageriali.
Per affrontare questa sfida, utilizziamo una combinazione di tecnologie Cisco, tra cui:
– Cisco Meraki Enterprise Mobility Management. I suoi strumenti di gestione dei dispositivi mobili (MDM) ci permettono di fornire impostazioni e restrizioni, gestire e tracciare i dispositivi, cancellare parzialmente e completamente i dispositivi compromessi e dismessi e offrire risoluzione dei problemi e supporto remoto in tempo reale.
– Cisco Umbrella Secure Web Gateway ci permette di ispezionare e filtrare il traffico web, bloccando anche i file che possono contenere malware.
– Cisco Umbrella DNS protegge la nostra rete ibrida da attacchi informatici a livello di server dei nomi di dominio.
– Cisco Secure Access by Duo autorizza e autentica gli amministratori degli account e gli utenti remoti. Questa soluzione zero-trust ci permette di confermare le identità degli utenti, monitorare i dispositivi remoti e impostare criteri di sicurezza adattivi al di là del nostro perimetro di rete. I nostri utenti possono connettersi in modo sicuro alla rete di PAG Italia tramite VPN da qualsiasi luogo e con qualsiasi dispositivo, rendendo più facile la gestione dei lavoratori remoti.
Abbiamo trasferito l’80% della nostra infrastruttura su Cisco Meraki. In seguito, aggiungeremo altri tasselli, come Cisco Umbrella, mentre continuiamo a lavorare per realizzare un progetto SASE completo. Per certi versi, il modello SASE è l’architettura del futuro. Ma consolidando numerose funzioni di rete e di sicurezza che tradizionalmente vengono fornite separatamente, possiamo ottenere i vantaggi dell’integrazione del cloud fin da subito.
Abbiamo decentralizzato la nostra architettura e centralizzato il controllo
La nostra dipendenza dall’infrastruttura di rete virtuale e la necessità di proteggere il nostro perimetro per gli utenti mobili ci impone di bilanciare l’architettura decentralizzata con il controllo centralizzato. Abbiamo iniziato il nostro percorso SASE come un modo per semplificare la gestione della rete, riducendo l’esposizione al rischio e migliorando le prestazioni. È il cuore di ogni nuovo dispositivo e funzionalità Cisco che aggiungiamo alla nostra infrastruttura.
Nell’ultimo decennio PAG Italia ha registrato una crescita enorme e la tecnologia di rete ha continuato a progredire. Con l’aiuto di VIP IT Solutions e del full stack Cisco Meraki, il nostro team IT può gestire tutto senza dover aggiungere altro personale. Possiamo continuare a progredire gestendo, controllando e mantenendo la nostra rete in modo efficace e al passo con le crescenti richieste degli utenti, mentre la nostra azienda si espande e si evolve.
… e non è ancora finita. Restate sintonizzati!
—————————————-
Traduzione della success story
The First Step to SASE: PAG Italy’s Journey Toward a Complete Cloud Security Solution