Preparare l’infrastruttura IT per il Digital Workplace · in partnership with Aruba, a Hewlett...

1Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,

in partnership with Aruba, a Hewlett Packard Enterprise company

Un modello per i professionisti IT

Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,in partnership with Aruba, a Hewlett Packard Enterprise company

L’avvento della #GenMobile

Le sfide dell’IT per supportare il Digital Workplace

Le soluzioni più efficaci a queste sfide

A cosa somiglia una rete per la #GenMobile-ready?

Conclusioni

Preparare l’infrastruttura IT per il Digital Workplace



L’avvento della #GenMobile

#GenMobile è la prossima generazione di lavoratorii digitali che utilizza i dispositivi mobili in situazioni non convenzionali. Non più relegati alle e-mail di lavoro e all’intrattenimento personale, i dispositivi nel mondo mobile-first diventano la componente principale per ogni aspetto della produttività quotidiana.

Per uso personale, i dispositivi mobili e le applicazioni sono usate per intrattenimento, social media,

shopping, navigare in rete, e banking. Per lavoro, sono usati per comunicazioni vocali, condivisione di

file, video conferencing, CRM, unified collaboration, report, condivisione di calendari, supporto help

desk, e sviluppo di progetti. Il confine tra la nostra vita sociale e professionale diventa sottile ogni

giorno, come possiamo vedere dai risultati dell’ultima ricerca di settore condotta da Economist

Intelligence Unit (EIU):

• 30% degli intervistati ha dichiarato che non lavorerebbe mai per un’azienda che non gli

consentisse di usare il proprio dispositivo mobile per lavoro.

• La capacità di lavorare in ogni momento, ovunque è percepita come fattore di maggiore impatto

sulla produttività dei dipendenti, con il 49% degli intervistati convinto che il lavoro flessibile da

remoto sia la condizione che li rende più produttivi.

• 31% delle aziende intervistate usa app per la comunicazione da mobile per migliorare l’efficienza

dei dipendenti.

L’Internet Of Things (IoT) crea nuove opportunità e considerazioni per l’ambiente di lavoro digitale

mobile-first dal momento che questi dispositivi stanno andando online senza controllo e con una varietà

incredibile; dispositivi per la gestione dell’illuminazione, controllo della temperatura, controllo audio,

dispositivi domestici, chiusura delle porte, veicoli, attrezzatura medica, macchine industriali, contatori,

sistemi per il parcheggio, telecamere di sorveglianza, e molto altro.

La #GenMobile sta cambiando l’ambiente lavorativo, si aspetta flessibilità nella gestione delle attività,

nei luoghi di lavoro, e nel design dell’ufficio. Di conseguenza, il dipartimento IT e l’infrastruttura di rete

devono adattarsi e soddisfare una serie di esigenze.



Le sfide dell’IT per supportare il Digital Workplace

1. Migrazione dalle reti tradizionali che non soddisfano le richieste dei dipendenti mobile.

2. Attivare una rete mobile-first con l’affidabilità di un’infrastruttura di rete wired.

3. Affrontare le nuove minacce alla sicurezza causate dall’adozione incontrollata di BYOD e dispositivi IoT

4. Fornire un’esperienza di utilizzo di qualità delle app e di collaborazione da remoto, in ogni momento.

5. Interagire con clienti e dipendenti da dispositivi mobili per migliorare il servizio ai clienti e le operazioni.

Sicuramente, queste sono sfide nuove da affrontare. Ma con ogni sfida arriva una grande opportunità.

Siamo certi che le aziende che riusciranno ad affrontare queste sfide puntando verso il digital

workplace prima della concorrenza avranno enormi benefici. Nel resto di questo articolo, si metterà in

evidenza come i reparti IT possano fornire vantaggi tangibili alle loro aziende in termini di spese

operative e di abbassamento dei costi, e migliorare l’esperienza dei dipendenti.




1. Stable Wi-Fi Coupled With a Wired Network That’s Equally Smart .......................................................................................5

2. Gain Deeper Visibility into the End-to-End User Experience: Proactive vs. Reactive .............................................................11

3. Securely Support the Many Use Cases of BYOD and IoT ............................................................................................. 15

4. Deliver Cloud Apps and Collaboration from any Location .................. 19

5. Leverage Bluetooth Low Energy (BLE) for In-venue Mobile Engagement ....................................................................... 21

5


Authored by Dean Zaremba, George Stefanick, and Erin O’Reilly of Free Space Wireless,



1. Associare il Wi-Fi a una rete cablata è altrettanto intelligente

Consideriamo una situazione reale in cui due utenti stanno svolgendo le stesse attività su una rete

Wi-Fi, ma uno ha una esperienza utente soddisfacente mentre l’altro no. Questo scenario è sempre

più comune con le reti tradizionali che non rispondono alle richieste di un ambiente di lavoro digitale.

Perché questo capita, e molto più importante, cosa può essere fatto per affrontarlo?

Per rispondere a questa domanda, dobbiamo guardare al tipo di dispositivo – smartphone, tablet, o la

miriade di altri dispositivi, che un utente della #GenMobile può avere con sé in ogni momento. Ciascuno

di questi dispositivi possiede una radio integrata RF, un sistema operativo specifico, un particolare driver

firmware per l’accesso alla rete wi-fi, e modifiche proprie a supporto 802.11. Di conseguenza, ciascuno di

questi dispositivi avrà sempre prestazioni differenti all’interno della stessa rete di radiofrequenza.

Inoltre, non tutti i dispositivi supportano tutte le applicazioni aziendali. Mentre molte aziende stanno

sviluppando con successo VoIP e video via Wi-Fi su dispositivi aziendali o certi modelli di smartphone

e tablet, la prospettiva di dare accesso a queste applicazioni senza complicazioni a qualsiasi persona e

ogni possibile tipo di dispositivo in un ambiente BYOD è sempre un’operazione complessa.

Per affrontare il problema di come gestire diversi tipi di comportamenti nell’ambiente mobile-first ,

abbiamo due strade da scegliere. Innanzitutto, i dispositivi devono essere classificati per casi d’uso.

Per esempio, il dispositivo in questione è utilizzato per servizi di localizzazione, comunicazione vocale,

collaboration, accesso ad applicazioni aziendali, o IoT? Allora, per ciascuna classificazione, ogni

dispositivo deve essere testato e l’ambiente RF deve essere progettato per adottare tutti i casi d’uso.

Nuove impostazioni per la connessione di rete con

dispositivi mobili e IoT

6




Consideriamo un altro caso in cui utenti si trovano a utilizzare con successo una connessione Wi-Fi

gigabit 802.11ac per ogni necessità. Tuttavia, alcune volte a settimana, le prestazioni calano

drammaticamente, anche se i loro dispositivi indicano forte segnale e massimo livello di connessione.

Dopo molte ricerche, si evince che il calo di performance capita sempre quando è in utilizzo una grande

stanza per le conferenze. Questo è il classico esempio di una rete Wi-Fi progettata per una copertura

classica e non per soddisfare le richieste attuali. Il passaggio al wi-fi 802.11ac è necessario per soddisfare

la richiesta di maggiore efficienza del digital workplace, ma non è sufficiente.

Storicamente, il progetto della rete Wi-Fi è incentrato sulla potenza del segnale. Una volta stabilita la

potenza del segnale necessaria alle applicazioni, e finché l’intera area coperta mantiene la potenza di

segnale stabilita, la rete raggiunte le prestazioni desiderate.

Ma la realtà è cambiata, e l’aumento di utenti e dispositivi, associato all’utilizzo di applicazioni che

richiedono elevate prestazioni di banda in tempo reale, come voce e video, focalizzandosi solo sulla

potenza del segnale, è un approccio inadeguato.

Quando si progetta una rete per gli utenti della #GenMobile, si deve anche considerare il numero di

dispositivi, il tipo di applicazioni, e i requisiti necessari nell’area in cui si richiede copertura. Molto probabile

che dove un singolo access point (AP) aveva fornito in passato copertura adeguate, oggi sono necessari

più access point (Aps) per soddisfare le nuove richieste di capacità delle reti. In breve, è importante

valutare le esigenze di capacità e copertura in un progetto di rete Wi-Fi per il digital workplace.

Le soluzioni più efficaci a queste sfide1. Associare il Wi-Fi a una rete cablata è altrettanto intelligente

7




Dopo aver valutato con attenzione il progetto della rete sulla base dei dispositivi che dovrà supportare,

la posizione degli utenti, e quali applicazioni saranno utilizzate – tenendo presente le richieste di capacità

e copertura – è ora necessario considerare i tempi di trasmissione.

La Federal Communications Commission (FCC) consente solo la radio frequenza (RF) per l’uso in una

rete Wi-Fi. Di conseguenza, questa RF deve essere usata nel mondo più ampio ed efficiente possibile.

Ci sono cosi tanti suggerimenti, consigli pratici, e fattori in gioco nella realizzazione di RF che un

intero white paper dovrebbe essere dedicato alla questione. Faremo il nostro meglio per affrontare le

questioni più importanti.

Più frequentemente, i dispositivi utilizzano lo spettro radio 2.4 GHz nonostante vi sia maggiore

disponibilità di banda nello spettro radio 5.0 GHz. Preferendo lo spettro radio 2.4 GHz e ignorando la

possibilità di sfruttare la larghezza di banda disponibile sullo spetto radio 5.0 GHz, può causare un

inutile ingorgo di traffico per gli utenti. Siccome sempre più reti utilizzano lo spettro radio 5.0 GHz,

esiste un sorprendente numero di reti Wi-Fi esistenti progettate con la maggior parte dei client sui 2.4

GHz. Il risultato finale è una rete che assomiglia ad un’autostrada, in cui una parte del traffico si trova

congestionato, mentre altre corsie rimangono illogicamente vuote.


8




Ora immaginiamo un’altra situazione in cui l’IT ha studiato con attenzione i dispositivi che richiedono

supporto oltre alla densità e alle prestazioni richieste.

Ipotizziamo anche che abbiano configurato la rete per ridurre le inefficienze di trasmissione e abbiano

selezionato con attenzione l’ampiezza del canale appropriato tra i 20 e i 40 MHz (80 e 160 MGHz hanno

pochi casi d’uso nel mondo SOHO, e perfino in quei casi, non sono raccomandati).

Questo team IT ha ridotto il sovraccarico eccessivo (traffico non payload) diminuendo il numero SSID,

eliminando le basse velocità di trasmissione dati, riducendo l’interferenza di co-canale e i tentativi della rete,

ed eliminando gli access point (AP) non autorizzati. È stata implementata una policy QoS (quality of service)

per ottimizzare le prestazioni delle applicazioni in tempo reale come VoIP e video. La rete utilizza l’airtime

fairness per fare in modo che pochi utenti lenti non degradino le prestazioni complessive e il rendimento.

Inoltre, il team ha studiato con attenzione l’uso dei canali DFS (Dynamic Frequency Selection), che offrono

una notevole larghezza di banda, ma con qualche rischio. Il primo è che non tutti i dispositivi supportano

questi canali. Il secondo è che in base alle normative queste serie di frequenze possono essere utilizzate

dal governo per test radar, paralizzando così temporaneamente il Wi-Fi su questi canali.

Il team IT ha deciso di migliorare la capacità nelle proprie aree ad alta densità implementando l’utilizzo dei

canali DFS, sovrapponendo al tempo stesso almeno un canale non DFS in tutte le aree ad alta densità così

da ridurre entrambi i rischi.

Infine, è stato attentamente monitorato il tempo di trasmissione massimo, in modo che su ogni canale

il sovraccarico non superi il 5%, i canali dati non superino il 70% di utilizzo e i canali VoIP/video non

superino il 30%. Il risultato finale delle misure combinate adottate in questo scenario è una rete Wi-Fi in

grado di soddisfare tutte le esigenze dell’esperienza mobile degli utenti #GenMobile.


9




Così come è necessario adattare il design della rete wireless per soddisfare le esigenze #GenMobile

e quelle di un ambiente di lavoro digitale, anche il ruolo fondamentale dell’infrastruttura cablata va

tenuto in considerazione.

In passato assegnare un’identità a una porta Ethernet significava un’assegnazione VLAN specifica che

difficilmente sarebbe cambiata. I dispositivi che si collegavano alle porte Ethernet non venivano quasi

mai spostati (ad esempio, i PC desktop non sono mai stati portati a casa, né i telefoni VoIP di casa sono

mai stati portati in ufficio) e le porte Ethernet nelle sale riunioni o nelle postazioni di lavoro venivano

progettate in base ai colori. Sebbene colorare cavi o porte poteva essere un modo goffo di gestire la

connettività dei dispositivi digitali, i team IT sono riusciti nel compito, in quanto pochissimi di questi

dispositivi hanno dovuto cambiare personalità - tutti erano “sicuri” all’interno dei perimetri fisici

dell’edificio aziendale.

Con l’arrivo di Internet of Things (IoT) e considerata la natura “non affidabile” di questi dispositivi sulla

rete aziendale, è stato necessario trovare un modo migliore per controllare l’accesso alla rete cablata.

Una possibilità consiste nell’assegnare dinamicamente una configurazione a ogni singola porta non

appena il dispositivo viene classificato al momento della connessione. In questo modello i team responsabili

dell’operatività di rete non dovrebbero passare ore e ore a configurare ciascuna porta o a tenere traccia

di quale porta viene assegnata a quale uso specifico. Adottando questo approccio qualsiasi dispositivo

può connettersi a qualsiasi porta. In altre parole, le porte possono diventare “incolori”.

Un’altra considerazione importante riguardo alla edge port preesistente, è che in genere supporta un

solo dispositivo alla volta e a tale scopo la velocità di 1 Gbps era più che sufficiente. Un AP, invece,

supporterà molti dispositivi contemporaneamente, lasciando presagire che la velocità di 1 Gbps

potrebbe generare un collo di bottiglia. Si può discutere in merito alla capacità di un access point di

superare la soglia di throughput di 1 Gbps oggi, ma non vi è dubbio che questo accadrà nei prossimi

tre-sei anni, che poi corrispondono alla ragionevole aspettativa di vita di uno switch Ethernet. Di

conseguenza, nell’infrastruttura cablata odierna si dovrebbe considerare l’adozione di edge port

cablate da multi-gigabit, per garantire la tranquillità futura.

Una congestione del traffico sempre maggiore all’interno del layer di accesso alla rete cablata richiede

l’implementazione di regole QoS sulla dorsale cablata. È necessario assegnare alle applicazioni business

critical (ad esempio una telecamera di sicurezza cablata come dispositivo IoT) una priorità e una

classificazione anche all’interno della rete cablata ad alta capacità, per garantire livelli di latenza

inferiori e una maggiore velocità operativa dei processi aziendali.

È chiaro che ai team IT responsabili della rete viene chiesto di fare di più con le stesse risorse operative

ed economiche che hanno avuto a disposizione negli anni precedenti. Ovviamente la spesa IT va tenuta

in considerazione, mentre si cerca una via di mezzo tra un’infrastruttura Wi-Fi pervasiva ad alta capacità e

una rete cablata più intelligente in un ambiente di lavoro digitale.


10




Oltre ad automatizzare il controllo degli accessi in tempo reale e la configurazione QoS sulle porte

cablate, esiste un altro ambito in cui l’infrastruttura di accesso cablata può diventare più intelligente e

consentire ai responsabili della rete di aumentare i risparmi operativi: la cosiddetta implementazione

“zero-touch”. Siamo così abituati al fatto che gli access point Wi-Fi possono essere implementati senza

fatica - grazie ai controller Wi-Fi e/o alle piattaforme di gestione - che dimentichiamo quanto tempo

richiedono l’installazione e il provisioning di switch di accesso cablati. Dato che la rete cablata è un

elemento essenziale di qualsiasi progetto Wi-Fi, è fondamentale che l’implementazione iniziale delle

porte di accesso cablate sia automatizzata e la loro configurazione sia gestita centralmente, proprio

come nel caso degli access point Wi-Fi. Ciò vale sia che l’implementazione abbia luogo in un campus o

presso filiali remote.

Il rapido aumento dei dispositivi BYOD porta con sé un vantaggio chiave in termini di risparmio Capex:

il veloce declino dell’uso di desktop e telefoni VoIP cablati. Questo cambiamento fa sì che non sia più

necessario dimensionare gli armadi terminali in previsione di utilizzare due o tre cavi di derivazione per

singolo ufficio o postazione di lavoro. In sostanza, è necessario un numero inferiore di porte, cosa che

permette di riassegnare parte del budget IT alle richieste #GenMobile. Inoltre, dato che gli utenti stanno

passando dai sistemi cablati a quelli wireless e i server - tradizionalmente collegati al core - si spostano

nei data center, si genera un’opportunità di risparmio per l’infrastruttura LAN aziendale. In molti casi

è possibile migrare a un modello two-tier di periferia e core, in contrapposizione alla più tradizionale

struttura three-tier costituita da periferia, distribuzione e core. Anche questa opzione consente un

risparmio sui costi dell’infrastruttura cablata, da utilizzare per far fronte ai nuovi requisiti di connettività

in un ambiente di lavoro digitale.

Checklist delle raccomandazioni1. Documentare il set essenziale di applicazioni mission-critical e il mix di dispositivi

2. Classificare in modo dinamico ciascun dispositivo sulle porzioni Wi-Fi e cablate della rete

3. Per entrambe pianificare copertura e capacità

4. Ridurre il numero di SSID e, quando possibile, disabilitare le velocità più basse sulle radio Wi-Fi

5. Utilizzare canali DFS da sovrapporre ai canali non DFS per aumentare la capacità Wi-Fi

6. Applicare policy QoS su Wi-Fi e cablato per migliorare le prestazioni delle applicazioni in

tempo reale

7. Tenere traccia dell’utilizzo dei canali e consentire l’airtime fairness sulle radio Wi-Fi

8. Implementare porte cablate 802.3at PoE e multi-gigabit per supportare le esigenze future


11





2. Più visibilità sulla user experience end-to-end: l’approccio proattivo e quello reattivo

L’ultima sezione ha illustrato come la capacità di identificare e conoscere i tipi di dispositivi, la copertura

rispetto alla pianificazione della capacità e l’utilizzo del tempo di trasmissione abbia un effetto diretto

sulla user experience. Questo fa sorgere alcune domande:

• Come si fa a monitorare i parametri critici?

• Come si fa a conoscere le soglie che indicano una user experience scadente?

• Oltre al Wi-Fi, quali altri fattori potrebbero influenzare negativamente la user experience?

• Come si fa, oltre a raccogliere i dati, a risolvere i problemi addirittura prima che l’utente venga a

conoscenza della loro esistenza?

Per offrire la migliore user experience possibile, i reparti IT devono essere in grado di prevedere, anziché

reagire. La raccolta di metriche RF importanti come i livelli di interferenza, il numero di dispositivi, i top talker,

il numero di tentativi e la potenza del segnale possono essere di grande aiuto ai fini di queste previsioni.

Le metriche possono essere raccolte dagli access point di produzione o da monitor dedicati e visualizzate

normalmente nel dashboard di un controller Wi-Fi o tramite un software di monitoraggio. I monitor sono

in grado di raccogliere più dati su più canali in un lasso di tempo più breve rispetto agli access point,

capacità fondamentale per un approccio proattivo anziché reattivo. Questi dati possono essere utilizzati

per controllare le condizioni generali dell’ambiente Wi-Fi, ma ottenere un’istantanea vera e propria della

user experience richiederà una conoscenza più approfondita.

Monitoraggio di base delle con-dizioni di client e access point

12




Le soluzioni più efficaci a queste sfide2. Più visibilità sulla user experience end-to-end: l’approccio proattivo e quello reattivo

Qui è dove entra in scena la raccolta di dati a livello di applicazione. Avere una piena comprensione

delle applicazioni di uso comune e del traffico web su una rete è importante, in quanto si tratta di

indicatori fondamentali di modelli d’uso generali. Da qui è possibile definire le applicazioni

mission-critical, creare policy QoS, monitorare i tag QoS, configurare la coda QoS e, infine, garantire

che tutte le applicazioni mission-critical dispongano sempre della larghezza di banda e della priorità di

accesso necessarie per una user experience perfetta.

La classe di applicazioni più spesso associata a #GenMobile è la UCC (unified communication and

collaboration), per questo merita un accenno speciale. Le applicazioni UCC rendono possibili le

comunicazioni voce e video, così come la condivisione di documenti e la collaborazione, e inoltre sono

fondamentali per aumentare la produttività in un ambiente di lavoro costituito soprattutto da dispositivi

mobili. Poiché le applicazioni UCC sono in modalità real time e richiedono un’elevata qualità video, il

peso maggiore ricade sulla rete di qualsiasi applicazione. Un’organizzazione in grado di fornire ai

dipendenti un’applicazione UCC sui loro dispositivi mobili soddisfa gli standard di un vero ambiente di

lavoro digitale “mobile-first”.

Visibilità sulla qualità delle applicazioni mobili, tra cui le comunicazioni unificate

13




È passato il tempo in cui si riportavano le metriche di rete in tabelle, fogli di calcolo o database. Oggi i

team IT chiedono mappe visuali facili da interpretare, in cui tutti i dati rilevanti possono essere visualizzati in

un’unica schermata. Essere proattivi, anziché reattivi, significa poter avere una visione in tempo reale

dell’intero ambiente RF, così come della rete cablata sottostante, della posizione degli utenti, della loro

condizione e delle prestazioni delle applicazioni in quelle posizioni specifiche, nonché di tutti i dispositivi

non autorizzati o degli eventi di intrusione.

Per esaminare la vera user experience end-to-end, è necessario considerare il tempo richiesto affinché

un utente riceva il primo pacchetto di dati alla prima connessione e dopo ogni evento di roaming. Ciò che

conta di più è il tempo totale richiesto per l’associazione a una rete wireless, l’autenticazione con un

server Radius, l’acquisizione di un indirizzo IP utilizzando DHCP, la risoluzione dei nomi host utilizzando

DNS e la trasmissione di un primo pacchetto di dati. Se non si è in grado di acquisire e seguire ogni fase di

questo processo, è un po’ come ignorare l’anello più debole di una catena e poi chiedersi come mai continui a

rompersi. Pertanto, la nuova generazione di strumenti di monitoraggio deve aiutare a valutare queste

performance end-to-end. Inoltre, se vengono rilevati dei problemi, questi strumenti di monitoraggio dovrebbero

consentire l’uso degli AP come client per eseguire un test rapido on-demand dell’intera user experience.

Analisi predittiva della user experience end-to-end in rete

Monitoraggio in tempo reale per uso delle applicazioni, densità dei dispositivi e qualità della trasmissione


14




L’ultimo aspetto dell’approccio proattivo rispetto a quello reattivo riguarda le notifiche. Una volta che

è possibile riesaminare facilmente le metriche e definire ciò che è accettabile per l’utente #GenMobile

e per l’ambiente di lavoro, occorre stabilire le soglie e creare allarmi che avvisano il team IT prima che

questi limiti vengano raggiunti. In un mondo autenticamente #GenMobile, gli amministratori IT sono

mobili come gli utenti, e le notifiche arrivano direttamente sui dispositivi mobili, attivando una risposta

prima che l’utente si renda conto che si è verificato un problema.

Gli stessi processi che permetteranno di risolvere in modo proattivo le criticità della rete, si renderanno

utili anche nelle occasioni in cui un dipartimento IT deve reagire a un problema. L’enorme quantità di

dati che è possibile raccogliere consente di inoltrare i problemi all’help desk di livello 1, anziché all’

assistenza tecnica di livello più alto e più costosa. E in quei rari casi in cui è necessario un livello di

supporto più specializzato, la vastità delle metriche disponibili ne agevolerà certamente il lavoro.

Checklist delle raccomandazioni1. Raccogliere informazioni sulle prestazioni dell’applicazione, oltre alle metriche Wi-Fi di base

2. Consentire l’analisi forense e dei trend per una maggiore visibilità della user experience

end-to-end

3. Adottare un metodo per simulare in modo sintetico le prestazioni della rete e i testi di

connettività

4. Definire metriche di soglia e i relativi allarmi per fornire una risposta proattiva

5. Creare un processo per l’utilizzo dell’help desk di livello 1 quando è richiesta una risposta reattiva


15





3. Supportare attivamente i numerosi casi di utilizzo dei dispositivi BYOD e IoT

Fin qui si è discusso di come progettare una rete affidabile, dell’importanza del monitoraggio proattivo

della rete stessa e della necessità di reagire in modo efficiente quando sorgono problemi. I prossimi

passi da fare per garantire una user experience positiva riguardano la sicurezza della rete. Sono richies-

ti tre passaggi fondamentali:

• Creare policy e regole precise.

• Esaminare tutte le richieste di accesso in considerazione delle policy.

• Negare o concedere le autorizzazioni di conseguenza.

Data la vasta gamma di tipi di dispositivi, tipi di utenti e applicazioni, il controllo dell’accesso alla rete (NAC)

deve essere pianificato caso per caso. Di seguito sono descritti gli elementi chiave per garantire un ambiente

di lavoro digitale incentrato sui dispositivi mobili.

Iniziamo dal caso di utilizzo più comune, ovvero la concessione dell’accesso alla rete ai dipendenti che

utilizzano un dispositivo aziendale o un device proprio (BYOD). L’obiettivo è quello di fornire accesso alle reti

cablate, wireless o VPN con la massima facilità e continuità possibili, senza utilizzare più metodi di accesso,

credenziali o schermate di login.

A tale scopo, si sta imponendo come standard l’uso di una singola piattaforma NAC in grado di eseguire

l’autenticazione basata su 802.1X, mentre il protocollo EAP-TLS utilizza i certificati che sono la metodologia più

sicura. L’autenticazione spesso è basata su un nome utente e una password ed è associata a database degli

utenti esistenti, come Active Directory o LDAP. Per maggiore sicurezza alcune aziende stanno implementando

l’autenticazione a più fattori, come ad esempio una domanda segreta, le impronte digitali, il riconoscimento

vocale, una fotografia o la posizione fisica.

Oltre all’utente, anche il dispositivo può essere incluso come parte della policy di accesso alla rete. Nel caso dei

dispositivi aziendali, la policy di sicurezza potrebbe essere semplicemente basata su un indirizzo MAC oppure

includere la presenza di un agente software per la gestione dei

dispositivi mobili (MDM) installato sul dispositivo. Per i dispositivi

BYO, la policy potrebbe fare affidamento sulle versioni del siste-

ma operativo, sul modello del dispositivo e/o sulla presenza di

una soluzione MAM (mobile application management). Le solu-

zioni per la gestione di dispositivi e app mobili possono dividere

i dati personali dalle applicazioni e dai dati aziendali per mante-

nere la rete sicura oppure possono contribuire alla creazione di

blacklist per determinati dispositivi e applicazioni non sicuri.

16




Le soluzioni più efficaci a queste sfide3. Supportare attivamente i numerosi casi di utilizzo dei dispositivi BYOD e IoT

Un altro scenario di utilizzo comune è quando l’accesso alla rete è richiesto per un ospite che sta

consultando Internet, deve eseguire una stampa o altri servizi base. Questi “non dipendenti” potrebbero

essere visitatori, clienti, fornitori, partner commerciali, consumatori e così via.

A questi utenti ospiti deve essere garantito un accesso sicuro ed efficiente. Le opzioni di registrazione

sono tipicamente soluzioni basate sul portale, quali la registrazione automatica o la garanzia offerta da

un dipendente, ed entrambe riducono il carico per l’amministrazione IT. Una volta registrati, in genere

gli utenti cercano di ottenere le credenziali via e-mail o tramite un testo e possono effettuare il login e

accedere a una VLAN sicura che dà loro accesso limitato alla rete.

Un ulteriore esempio di accesso guest potrebbe essere quello presso una struttura ad alta capacità,

come un aeroporto, la sede di un evento sportivo o un centro commerciale. In questo caso si potrebbe

utilizzare un semplice account di “accettazione dell’uso” oppure, in alternativa, potrebbe essere

richiesto un login tramite i social media. In alcuni casi anche l’autenticazione aperta potrebbe essere

un’opzione. In tutte queste situazioni la WLAN guest deve essere protetta al 100% dalla rete aziendale,

in genere attraverso l’utilizzo di policy basate sui ruoli, applicate insieme ai firewall incorporati

nell’infrastruttura di rete.

Portali web progettati su misura e di facile utilizzo per aiutare gli utenti a portare in rete i loro dispositivi

17




La necessità di accesso alla rete da parte di non dipendenti si associa alla crescita di IoT. Sebbene i

dispositivi non siano gestisti dall’uomo, hanno ancora bisogno di accedere alla rete. Per l’Internet of

Things le aziende devono approntare delle policy basate sui ruoli che siano diverse da quelle destinate

ai dipendenti e agli utenti ospiti. Possono anche essere necessarie più policy per gestire la vasta gamma

di dispositivi IoT che si connettono alla rete.

Il profiling dei dispositivi e le impronte digitali, già misure importanti per la sicurezza della rete, sono

diventate mission critical con l’avvento di IoT. Ogni volta che un dispositivo tenta di collegarsi alla rete,

ne viene richiesto automaticamente il profilo. Questo significa sapere di quale tipo di dispositivo si

tratta e quale funzione svolga all’interno dell’azienda, per applicare la policy di sicurezza più adatta. Se

la rete rileva un dispositivo di cui non è possibile tracciare il profilo automaticamente, tale dispositivo

verrà messo in quarantena finché non saranno disponibili maggiori informazioni.

Automated classification of devices on the network

Oltre ai problemi relativi al NAC (Network Admission Control), esistono altre questioni di sicurezza che

devono essere tenute in considerazione in qualsiasi rete. Innanzi tutto, le intrusioni. Un sistema wireless

di rilevamento delle intrusioni (WIDS) e un sistema wireless di protezione dalle intrusioni (WIPS), insieme,

aiutano a identificare le potenziali minacce all’infrastruttura AP o ai client associati.

Una soluzione WIPS/WIDS sofisticata, efficace, ma facile da gestire, dovrebbe mettere a disposizione di

un amministratore di rete gli strumenti per identificare, valutare e difendersi dagli attacchi, garantendo

al tempo stesso all’utente #GenMobile un’esperienza omogenea, senza interruzioni e sicura. Inoltre,

la soluzione WIDS/WIPS deve essere altamente personalizzabile, perché i requisiti e le norme che si

applicano a ciascuna rete possono variare in modo significativo, sia che si tratti di una sala conferenze,

di una banca o di un’agenzia governativa.


18




Un altro serio problema per la sicurezza delle reti sono i malware a più stadi o gli attacchi persistenti.

Associati all’accesso dell’utente, questi software sono in grado di rimanere nella rete per un lungo

periodo di tempo e lanciare attacchi multipli che tipicamente si concretizzano nel furto dei dati o nel

crash della rete. I firewall e i software antivirus legacy non sono adatti per questi tipi di attacchi. La

soluzione consiste in una protezione di nuova generazione, un’integrazione perfetta di più prodotti che

rilevano, attenuano e prevengono le minacce. Questo tipo di protezione deve essere implementato al

livello delle applicazioni, in quanto la tradizionale sicurezza basata sulle porte è insufficiente.

I nuovi sistemi di sicurezza devono integrarsi con le piattaforme delle policy che regolano l’accesso

alla rete per poter essere applicati in tempo reale, sia alla connessione Wi-Fi che all’accesso alla rete

cablata, qualora vengano individuati attacchi interni/o esterni. Mentre le tradizionali soluzioni NAC si

occupavano solo della connessione iniziale di dispositivi Wi-Fi e cablati, le soluzioni per la gestione delle

policy di nuova generazione devono intervenire contro la crescente esposizione ai rischi dei dispositivi

collegati quando vengono identificate attività dannose.

Checklist delle raccomandazioni1. Definire policy di accesso alla rete che tengano conto dell’ampio ventaglio di tipologie di dispositivi,

condizioni, utenti, tempistiche e ubicazione

2. Utilizzare la tecnica del profiling per portare in rete i dispositivi IoT, mettendoli in quarantena,

se necessario

3. Implementare un’unica piattaforma per gestire il controllo dell’accesso cablato, wireless e VPN

alla rete

4. Per i dipendenti, utilizzare il protocollo 802.1X EAP-TLS abbinato all’autenticazione a più fattori

5. Per l’accesso sicuro degli ospiti, applicare policy di firewall all’interno della rete

6. Implementare una policy con procedure e soluzioni di rilevamento e/o prevenzione delle

intrusioni wireless

7. Integrare la protezione di nuova generazione contro le minacce con la piattaforma di gestione

delle policy


19





4. Offrire applicazioni per il cloud e collaborazione da qualsiasi luogo

L’ultimo tassello che compone la user experience end-to-end è l’applicazione stessa. Naturalmente non esistono due reti o due organizzazioni che abbiano le stesse esigenze applicative. Tuttavia, alcuni principi fondamentali valgono per la maggior parte degli scenari.

La tradizionale architettura client/server non è più adatta alle reti costituite soprattutto da dispositivi

mobili. Questo modello era stato progettato per fornire file e dati da un singolo server a un PC collegato

sulla stessa LAN o occasionalmente a una WAN. Il PC era abbastanza robusto da supportare applicazioni

di grandi dimensioni memorizzate localmente, ma nel caso dei dispositivi mobili non è più così. Per

questo oggi la delivery delle applicazioni deve essere semplice e centralizzata.

Inoltre gli utenti spesso non lavorano più sulla stessa LAN come server. Un martedì l’utente può lavorare

da casa con la necessità di accedere all’applicazione dal tablet utilizzando una connessione internet. Il

mercoledì lo stesso utente potrà viaggiare o visitare clienti e avrà bisogno di accedere all’applicazione

dallo smartphone con un servizio cellulare 4G. Il venerdì, potrebbe controllare le operazioni da uffici

remoti con il bisogno di usare la WAN aziendale per collegarsi in modo sicuro alle stesse applicazioni.

Sebbene ciascuno di questi scenari richieda un’unica infrastruttura di rete, l’utente pretende che la propria

esperienza rimanga inalterata in ogni modalità di accesso, di tipo di dispositivo o di luogo. Soddisfare

questo requisito comporta una centralizzazione delle applicazioni in un luogo centralizzato attraverso

server virtuali, un concetto abbastanza semplice che offre molti vantaggi alla rete mobile-first.

L’espressione “Le applicazioni sono distribuite da un luogo centralizzato” è la forma più estesa per

definire le applicazioni cloud. Le applicazioni cloud sono possibili grazie a farm di server virtuali e data

center e possono essere distribuite da un cloud pubblico o privato. Le applicazioni di cloud privato sono

distribuite da un data center di proprietà gestito internamente e possono essere utilizzate solo dagli

utenti con accesso alla rete. Il vantaggio di utilizzare un data center privato consiste nella possibilità

di mantenere i protocolli di sicurezza e di QoS per tutto il percorso dal cliente alle applicazioni server,

mentre il vantaggio delle applicazioni di cloud pubblico risiede nella redditività in termini di costo e un

facile accesso. Con tutte queste opzioni disponibili ogni organizzazione deve decidere la combinazione

delle applicazioni di cloud pubblico e privato che più si adattano alle necessità specifiche e quindi a

quelle di budget.

Quando le aziende vogliono esplorare nuovi territori per il loro business, quanto più velocemente si

dirigono verso le nuove ubicazioni e si collegano alle risorse aziendali, tanto più velocemente potranno

ottenere un positivo RoI. L’infrastruttura di rete non può ostacolare il modo in cui la gente fa affari in

questi siti remoti.

20




Le aziende di informatica possono usare strumenti sviluppati sul cloud per installare infrastrutture

così velocemente come una persona può abilitare un lavoratore remoto con un dispositivo mobile e

collegarlo a un’applicazione cloud. Nel passaggio al digital workplace le aziende avranno probabilmente

componenti di infrastruttura remota che non saranno più necessari, come i router WAN, troppo cari da

mantenere e non più utili quando si passa dai link MPLS a una banda larga in remoto. Eliminare quei

componenti comporterà risparmi che potranno essere assegnati all’installazione di piattaforme integrate,

che possono offrire servizi di WAN, LAN e WLAN quando la banda larga sarà collegata a queste succursali.

Le soluzioni più efficaci a queste sfide4. Offrire applicazioni per il cloud e collaborazione da qualsiasi luogo

Checklist delle raccomandazioni1. Progettare un modello di rete per la casa, una connettività per un piccolo ufficio remoto.

2. Implementare un sistema di facile accesso per una connettività con utenti remoti su hotspots

4G, LTE e Wi-Fi.

3. Creare una lista di applicazioni che saranno distribuite dal cloud pubblico e privato per gli

utenti remoti.

4. Definire chiaramente le metriche di rete che soddisfino le aspettative dell’utente e monitorarle

in tempo reale.

5. Implementare il QoS end-to-end per le applicazioni di cloud privato, principalmente per le

comunicazioni unificate.

6. Negoziare con attenzione e comprendere i contratti di servizio (SLA) per le app cloud pubblico.

21





5. Sfruttare il Bluetooth Low Energy (BLE) per il Mobile Engagement in-siti aperti al pubblico

I servizi basati sull’ubicazione e sull’interazione mobile sono un aspetto dell’esperienza digitale per la

#GenMobile che sta diventando sempre più importante. La possibilità di interagire con clienti e dipendenti

in modo contestuale attraverso capacità quali le notifiche push a target specifici o le indicazioni passo

dopo passo offrono numerosi vantaggi sia per l’esperienza dell’utente sia per i profitti dell’azienda.

La tecnologia Bluetooth a bassa energia (BLE) è ideale per i servizi che si basano su ambienti interni.

Operando sulla frequenza di 2.4 GHz, i segnali di BLE hanno un raggio di circa 70 m e possono offrire

una precisione di localizzazione in soli 30 cm. Se combinata con un’app mobile ben progettata, installata

su tablet o smartphone, può essere usata come dispositivo client-side all’interno di una rete dal

segnale BLE. Riteniamo che il valore delle informazioni basate sulla localizzazione saranno virtualmente

illimitate via via che le interazioni tra gli smartphone e l’IoT continuano a crescere.

I BLE beacons sono semplici da installare e utilizzare, ma lunghe installazioni possono rappresentare

sfide operative in termini di gestione, come i cambi di batterie e gli adattamenti ai livelli di potenza, etc.

Per vincere queste sfide ed eliminare il tempo e la spesa della gestione manuale, le aziende interessate

ai BLE beacons dovranno trovare soluzioni attraverso l’uso di sensori e di altre competenze di gestione

in remoto.

Gestione centralizzata dei

segnali BLE

22




Le soluzioni più efficaci a queste sfide5. Sfruttare il Bluetooth Low Energy (BLE) per il Mobile Engagement in-siti aperti al pubblico

Per le aziende prive di risorse rivolte a sviluppare le proprie applicazioni mobili da zero vi è una vasta

gamma di modelli che possono essere usati. Per le aziende che hanno un’app ma vogliono aggiungere

servizi dedicati alla localizzazione, vi sono degli add-on SDK per funzioni quali la navigazione e il

marketing context-aware o dipendente dal contesto. Alcuni dei casi di utilizzo più comuni per i servizi

che si basano sulla localizzazione comprendono i punti seguenti:

• Offrire un’esperienza “indoor gps” su una mappa per aiutare gli utenti a navigare sul dispositivo

con indicazioni passo dopo passo.

• Permettere agli utenti di trovare amici e colleghi in modo facile e veloce.

• Permettere ai clienti di trovare facilmente i dipendenti quando hanno bisogno di assistenza.

• Trasmettere notifiche push ai clienti basandosi sulla loro posizione in quel momento e sulle

abitudini passate di shopping.

• Fornire un check-out automatizzato, accesso e controllo della temperatura della camera per gli

ospiti di hotel.

• Spegnere e accendere automaticamente le luci e altre funzioni quando i dipendenti entrano o

escono dalle sale.

Checklist delle raccomandazioni1. Definire chiaramente i casi di utilizzo per i BLE beacons in modo da attivare i servizi di localizzazione.

2. Iniziare a lavorare con un partner sviluppatore di app con un’attenzione mirata al miglioramento

dell’esperienza dell’utente.

3. Creare un piano e una strategia sul modo in cui l’app mobile interagirà con i dispositivi IoT.

4. Usare la gestione centralizzata per i BLE beacons per ridurre i costi operativi.



A cosa somiglia una rete per la #GenMobile-ready?



Conclusioni

Indipendentemente dal tipo di attività che si svolge, relativa a servizi finanziari, governo, salute o istruzione, vendita al dettaglio, ospitalità o produzione, la #GenMobile sta avendo un impatto notevole sul modo in cui si gestisce il business e sul tipo di infrastruttura di rete necessaria.

Questo documento ha mostrato alcune delle sfide che la #GenMobile e il passaggio verso il digital

workplace rappresentano per le aziende in tutti i mercati verticali e ha passato in rassegna alcune

delle soluzioni a queste problematiche. Le imprese lungimiranti accoglieranno queste informazioni e

lavoreranno con gli specialisti della mobilità, architetti e ingegneri di rete, per trovare approcci accurati

e personalizzati in base ai loro particolari casi di utilizzo. Facendolo, ne trarranno vantaggi che vanno

da una comunicazione e una collaborazione migliorate a un potenziamento della produttività e a una

riduzione delle spese operative e di capitale. (Fatta eccezione per un cenno nell’introduzione, in

nessuna parte del documento affrontiamo la questione di come un digital workplace possa aiutare le

organizzazioni ad attrarre e trattenere i talenti della #GenMobile. Suggerisco che si aggiunga una

sezione dedicata a questo argomento e che si inserisca nelle Conclusioni.)

Preparare l’infrastruttura IT per il Digital Workplace · in partnership with Aruba, a Hewlett...

Documents

Transcript of Preparare l’infrastruttura IT per il Digital Workplace · in partnership with Aruba, a Hewlett...