Con gli istituti finanziari tradizionali che si trovano a competere con nuove banche Fintech, la digitalizzazione è ormai irrinunciabile per il settore finanziario, dove infrastrutture IT consolidate si scontrano con modelli di business innovativi. Il framework SASE, accompagnato da un'architettura di sicurezza zero trust, offre una soluzione pratica per rispondere alle molte sfide della trasformazione digitale.

La trasformazione digitale, con le mutevoli esigenze dei clienti, la corsa a internet, il direct banking, preoccupa gli istituti finanziari. Le banche tradizionali sono tra quelle colpite più duramente, in quanto si trovano a metà tra tradizione e modernità, e lo stesso vale per le loro infrastrutture esistenti. In generale, i processi IT nel settore bancario vengono eseguiti su reti locali basate su mainframe, il che garantisce che i processi finanziari convenzionali funzionino in modo fluido e siano conformi alle normative legali. D'altro canto, il cloud introduce un nuovo mondo IT nelle attività quotidiane dei fornitori di servizi finanziari, caratterizzato da nuovi metodi di lavoro (lavoro mobile/in remoto), nonché da reazioni rapide alle richieste dei clienti, soddisfacendo al contempo tutti gli altri requisiti di conformità associati al cloud.

La rete è il nocciolo della questione

Modernizzare simultaneamente la gestione e la sicurezza della rete implica anche armonizzare i vari requisiti del settore finanziario. A questo proposito, viene data meno attenzione a mainframe, client o server e più a un'architettura IT nuova, che supporti un'estensione al cloud per agevolare la trasformazione digitale, consenta l'implementazione più semplice di modelli di business e la realizzazione di iniziative a sostegno del nuovo modello di lavoro in futuro. In considerazione di ciò, l'architettura esistente pone molteplici sfide: deve sostenere le misure di sicurezza, che sono fondamentali per le banche. Inoltre, deve adattarsi a modelli di business innovativi e allo stesso tempo soddisfare aspettative elevate per quanto concerne l'esperienza dell'utente. L'obiettivo non è quello di sostituire i mainframe del mondo bancario, ma di creare un'infrastruttura ibrida che soddisfi i requisiti moderni e riconcili questa esigenza con l'infrastruttura legacy esistente.

Tuttavia, è proprio qui che si verifica un problema comune: le connessioni tra i dipendenti in remoto e l'infrastruttura di rete della banca sono generalmente basate su soluzioni di accesso remoto come le reti private virtuali (VPN). Originariamente, le VPN erano state progettate per consentire ad alcuni dipendenti nel campo di accedere ai dati aziendali. Per soddisfare i requisiti di sicurezza, il traffico deve passare attraverso numerosi apparecchi di applicazione, come bilanciatori di carico, firewall o controlli DDoS, per consentire l'accesso all'applicazione richiesta. Ciò si traduce in latenze elevate e produttività ridotta per i dipendenti delle banche. Inoltre, le lacune di sicurezza nella tecnologia VPN comportano un elevato rischio di infezione. Questo rischio aumenta ancora di più a causa delle sfide poste dai nuovi metodi di lavoro. Ad esempio, gli strumenti di collaborazione ad alte prestazioni, come Microsoft Teams, Zoom o Slack, incidono negativamente sulla connettività. Durante l'era della trasformazione digitale, una policy di accesso convenzionale non è in grado di tenere il passo con i cambiamenti avvenuti in un mondo del lavoro ormai in remoto o mobile. La situazione è simile per i desktop virtuali (VDA), spesso utilizzati nel settore finanziario. A causa di problemi di sicurezza, sul desktop viene creata solamente un'immagine dell'applicazione effettiva. Tuttavia, la tecnologia di virtualizzazione è afflitta da problemi di latenza, che non solo ne complicano l'amministrazione, ma la rendono anche relativamente insicura e costosa. In più, questa ostacola le soluzioni cloud innovative e non è in grado di tenere il passo con le metodologie di lavoro moderne, in quanto non è facile da usare.

Microsoft 365: un catalizzatore per la digitalizzazione

I metodi di accesso utilizzati fino a oggi difficilmente sono in grado di fornire le prestazioni richieste per ottemperare ai requisiti tecnici di alto livello del mondo digitale. In pratica, Microsoft 365 funge frequentemente da catalizzatore per ripensare le architetture IT esistenti. La suite cloud richiede larghezze di banda relativamente elevate e basse latenze, per assicurare la soddisfazione degli utenti. L'SASE (Secure Access Service Edge) offre una soluzione a questi problemi; si tratta del modello di architettura cloud di Gartner, che unisce le funzioni di rete, connettività e sicurezza sotto forma di servizio. In sintesi, l'SASE consente a intere istituzioni finanziarie, reti e strategie di sicurezza di reinventarsi in modo olistico. Questo framework di sicurezza è stato sviluppato specificamente per una serie di requisiti, correlati a connettività e sicurezza, derivanti dal fatto che app, dispositivi e utenti si trovano al di fuori dei perimetri di rete tradizionali.

L'SASE combina le funzioni di sicurezza e di rete in un framework unificato, che include tutti gli ambienti di lavoro, e suggerisce che le tecnologie cloud colleghino una rete SD-WAN (Software-Defined Wide Area Network) alle funzioni di sicurezza. Oltre ai firewall basati su cloud (FWaaS), il framework SASE include funzionalità come Secure Web Gateway (SWG), CASB (Cloud Access Security Broker) e, soprattutto, lo ZTNA (Zero Trust Network Access). Una piattaforma di sicurezza incentrata sul cloud soddisfa i requisiti di sicurezza del settore finanziario e bancario fornendo una sicurezza uniforme basata su linee guida definite una sola volta, che sono indipendenti da sedi, centri di server, ambienti multi-cloud o uffici.

Zero trust: sicurezza dal cloud

Lo ZTNA (Zero Trust Network Access) è al centro della sicurezza basata sul cloud. Si tratta di un modello di sicurezza che non considera dispositivi, utenti o servizi come intrinsecamente attendibili, sia che si trovino all'interno o all'esterno della rete aziendale. Questo tipo di architettura, basata su un modello di accesso a privilegi minimi, non considera attendibile nessun utente, finché quest'ultimo non è stato verificato e convalidato dalle policy di sicurezza adottate. Il servizio di sicurezza sul cloud funge da intermediario, o broker, e collega un utente verificato e il suo dispositivo a un'applicazione. Lo ZTNA è composto da procedure estese che autenticano utenti e servizi e monitorano il traffico di rete. A differenza dell'approccio VPN, che colloca gli utenti sulla rete, lo ZTNA consente la microsegmentazione a livello di applicazione. Per ottenere la microsegmentazione, crea un tunnel sicuro per gli utenti autorizzati affinché possano accedere alle applicazioni necessarie senza utilizzare la rete.

L'implementazione di un approccio zero trust nel settore bancario ridurrà il rischio di esposizione delle reti e delle applicazioni, escludendo sia le minacce esterne che i rischi interni potenziali, senza compromettere l'esperienza dell'utente. Il principio del tunnel si traduce nel fatto che le applicazioni sono invisibili agli aggressori, pertanto le banche sono in grado di ridurre le aree superficiali di attacco e persino la vulnerabilità generale. Ciò consente agli utenti di accedere facilmente alle applicazioni dall'esterno dell'ambiente bancario, senza che debbano essere utenti della rete. Un ulteriore vantaggio è rappresentato dal fatto che lo ZTNA consente agli utenti di evitare il problema correlato alle prestazioni insoddisfacenti per le applicazioni VDI. Il traffico di rete non viene più instradato attraverso un data center verso Internet, ma inviato direttamente alla piattaforma cloud, riducendo di conseguenza la latenza. Inoltre, l'architettura zero trust, combinata con le tecnologie VDI, fornisce agli amministratori una supervisione centralizzata, oltre alla possibilità di controllare quali utenti possono accedere alla rete e quali non devono essere autorizzati.

In ultimo, ma non meno importante, il concetto di zero trust può aiutare le banche a limitare le spese per l'amministrazione IT, senza compromettere la sicurezza. In questo caso, la trasformazione digitale viene facilitata da un modello ibrido, in cui i processi tradizionali e le applicazioni bancarie tipiche possono continuare a funzionare su un'architettura locale affidabile, per soddisfare i requisiti legali quali la conformità. Processi nuovi e innovativi, che vengono richiesti con urgenza da clienti e dipendenti nell'ambito della digitalizzazione, possono essere forniti in modo sicuro e conveniente tramite il cloud, con un accesso diretto che viene autorizzato senza reindirizzamenti. In conclusione, ciò comporta l'uso ad alte prestazioni di Microsoft 365, con tutti i suoi strumenti di collaborazione, la soddisfazione dei dipendenti e misure di sicurezza economicamente vantaggiose per tutto ciò che è essenziale nell'ambiente finanziario. Ciò significa che il cloud diventa una banca sicura per le innovazioni digitali.