Indice articoli


Policy chiare per una infrastruttura consistente

È stata sufficiente una analisi generale dell’approccio BYOD per far emergere una chiara situazione: la vastità di possibili soluzioni impone la definizione di policy specifiche. L’unico modo per mantenere gestibile un ecosistema di questo tipo è avere riferimenti chiari in fase di acquisto, configurazione e utilizzo delle macchine. La definizione dei requisiti è a sua volta un importante problema da affrontare. Le regole devono essere consistenti, ma –come imposto dalla consumerization di cui abbiamo parlato prima- anche flessibili e costantemente aggiornate per poter assecondare il rapido progresso tecnologico. Per portare qualche esempio pratico, in ambito aziendale la maggior parte dei computer utilizzano Windows 7, mentre un utente che acquista un pc per uso personale avrà probabilmente installato Windows 8 o 8.1. Un manager appassionato di Apple potrebbe possedere un moderno iPhone 6, mentre alcuni consulenti meno informatizzati continueranno ad utilizzare il fedele Blackberry di qualche anno fa. Il passaggio al BYOD deve essere attentamente valutato e considerato in ogni suo aspetto. La definizione di policy, specifiche tecniche dettagliate e aggiornate è fondamentale, perché una errata impostazione dell’approccio può portare a consistenti danni sia di natura tecnica che economica all’infrastruttura aziendale.


Cyod: una possibile alternativa

Come spesso accade quando si hanno a disposizione due soluzioni, un valido approccio è quello di prendere il meglio da entrambe. Stiamo parlando della tecnica CYOD, acronimo di Choose Your Own Device: In questo scenario all’utente rimane la possibilità di scegliere un dispositivo personale, ma che deve essere selezionato da un elenco stilato e approvato dall’IT aziendale. Solitamente la proprietà rimane dell’azienda, scaricando il dipendente dai costi di acquisto, e potendo garantire la corretta configurazione, applicazione delle policy e il controllo sul parco macchine in dotazione. Altro vantaggio è la possibilità di modulare l’offerta in base al grado o al ruolo del dipendente.


Cosa ne pensa il dipendente

bring your own deviceIl Byod coinvolge attivamente sia il cliente che l’azienda. Andiamo ad analizzare approccio e punto di vista di entrambi, cercando di offrire qualche suggerimento utile. 
Partiamo dal dipendente: abbiamo visto che utilizzare un telefono o un notebook personale ha svariati vantaggi, ma espone anche a delle difficoltà nell’utilizzo pratico. L’IT aziendale potrebbe essere poco propenso a intervenire su dispositivi privati per assistenza o manutenzione, quindi sta all’utente cercare gestirsi in autonomia e intervenire in prima persona in caso di malfunzionamenti o problemi.La connessione all’email e alla rubrica aziendale è storicamente l’attività più diffusa, ma anche quella che espone a maggiori rischi legati alla disattenzione. Utilizzare l’account personale al posto di quello aziendale è più facile di quanto si pensi. Le conseguenze di una mail di natura privata inviata a nome della società, o la diffusione di dati protetti a persone esterne possono essere molto gravi. Non basta quindi separare account personale e aziendale con due mail completamente diverse (magari una Gmail e l’altra di tipo @dominioazienda), ma anche utilizzare client dedicati. Per l’universo Android è importante citare l’app Gmail, che offre una integrazione totale con la casella di Google, ma non può essere configurata per operatori terzi. Acquamail e il client nativo e-Mail sono gratuiti e multi casella, ma ben lontano da soluzioni professionali come è Outlook di Microsoft. Offerta nel pacchetto Office 365 Business si integra completamente con l’ecosistema Exchange aziendale e il client desktop: compresa di calendario, rubrica e agenda. Lato PC abbiamo sicuramente Outlook e l’alternativa multipiattaforma Thunderbird di Mozilla. Mentre il mondo Apple offre nativamente (sia dekstop che mobile) il client Mail, completo e funzionale offre una buona integrazione con le principali caselle di posta.
Una piccola parentesi va dedicata alla soluzione multiutente offerta da Android sui tablet. A partire dalla versione 4.2 “Jelly Bean”, è possibile creare due o più utenze con dati, applicazioni e impostazioni completamente separati. Un’ottima soluzione per far convivere vita privata e lavorativa sullo stesso dispositivo. Nella recente release 5.0 “Lollipop” questa funzionalità è stata finalmente implementata senza limitazioni. Per portare un esempio pratico riguardo l’importanza di policy aggiornate costantemente questa è una situazione in cui un aggiornamento del sistema operativo diventa determinante nella scelta dello smartphone per l’uso in Byod. 
Diverso è il mondo notebook, dove sia Microsoft che Apple prevedono la separazione multiutente nativa di dati e applicazioni. Altre soluzioni utili per separare la sfera privata da quella professionale comprendono l’utilizzo di cellulari dual-sim, la maggior parte basati su Android offrono prestazioni di buon livello, con la capacità aggiuntiva di mantenere il numero aziendale e personale su un solo dispositivo, annullando la fastidiosa necessità di portare con se due oggetti separati.


L’approccio dell’azienda

Mentre l’utente deve valutare problemi legati all’utilizzo giornaliero dei dispositivi, l’azienda deve prendere in considerazione molti più fattori. Abbiamo già parlato dell’attenzione da dedicare alla sicurezza dei dati, alla connettività e alle possibilità di accedere ai servizi da remoto, ma un ulteriore aspetto è l’applicazione del BYOD alle diverse aree dell’azienda. Naturalmente stiamo parlando di realtà medio-grandi che contano al loro interni diversi dipartimenti, anche qui è fondamentale una valutazione specifica per ogni realtà.Per poter garantire l’accesso remoto in modo sicuro, al di là dei problemi legati ai limiti di banda offerti dalla rete nazionale, bisogna fare delle attente valutazioni di tipo sistemistico. Per alcuni utilizzi può essere sufficiente l’apertura delle porte sul firewall aziendale, in modo da consentire il corretto funzionamento delle connessioni client-server tra gli applicativi off-premises e i servizi interni. È evidente che questo tipo di comunicazioni non possono passare in chiaro attraverso la rete, è necessario ricorrere alla cifratura delle comunicazioni utilizzando, ad esempio, la tecnologia TLS/SSL. 
Una criterio alternativo su cui basare l’accesso dall’esterno è l’utilizzo di soluzioni VPN che garantiscano un collegamento dedicato e sicuro alla rete aziendale. Ad esempio permettendo al notebook del dipendente, di funzionare come se fosse collegato alla rete LAN dell’ufficio. I vantaggi sono evidenti: per l’utente off-premises svolgere le operazioni legate al business è del tutto trasparente rispetto al luogo in cui si trova. companyEsistono diverse soluzioni, ma dato l’utilizzo professionale è importante rivolgersi a piattaforme conosciute e collaudate come quelle basate su IPSec o OpenVPN. È evidente che questi software debbano essere correttamente installati e configurati prima dell’utilizzo, si torna quindi a sottolineare l’importanza del controllo centralizzato da parte dell’IT interno sul parco macchine. Anche l’utilizzo di una VPN presenta degli aspetti a cui fare attenzione, il fatto che da remoto si possa lavorare come in locale va regolamentato a livello di accesso alle risorse: ad esempio un utente che abbia privilegi amministrativi sulle macchine (server, dispositivi di rete, storage etc) quando è in ufficio, non necessariamente deve avere lo stesso livello di accesso quando è collegato dall’esterno.
Per chi non avesse già installato in azienda soluzioni firewall commerciali, può valutare ad esempio il progetto open source pfSense (www.pfsense.org), basato su FreeBSD e installabile senza problemi su un normale PC, anche non di ultima generazione, sia in macchina virtuale che appliance dedicate (come quelle basate sulla piattaforma Alix di PC Engines). Gli sviluppatori offrono – qualora fosse necessario – supporto commerciale a pagamento (prezzi a partire da 400 dollari Usa, solo in lingua inglese). pfSense supporta IPSec, Pptp e OpenVPN. È interessante notare che per la creazione di una Vpn con OpenVPN, una delle tecnologie più complesse, è disponibile ad esempio un comodo wizard guidato e un plugin (Client Export) che permette l’esportazione diretta dei file necessari per la connessione da tutti i principali sistemi operativi (Windows, Linux, Mac, Android, iOS).
Una interessante alternativa commerciale è Kerio Control (www.kerio.com), molto facile da gestire e con una interfaccia intuitiva, integra anche il controllo sui contenuti. Funzione non implementate nelle soluzioni open. La maggior parte delle operazioni sono facilmente gestibili grazie alla semplicità dell’interfaccia di gestione, tradotta interamente in Italiano. È inoltre possibile avere supporto completo grazie ai due distributori italiani (CoreTech, www.coretech.it e Multiwire, www.multiwire.net). Molto interessante è anche il prezzo, che parte da 258,64 euro (Iva inclusa) per i primi 5 utenti.


Sicurezza on-premises

Abbiamo visto che un aspetto fondamentale perché il BYOD funzioni in azienda è la fornitura di una copertura Wi-Fi completa, ma questo può esporre le risorse interne a un accesso fin troppo facile da parte del dipendente o, se non correttamente configurata, anche a ex-dipendenti o addirittura a utenti ospiti.
A questo proposito è buona usanza fornire l’accesso a internet (o anche a un ristretto insieme di funzioni business) tramite una apposita rete Guest per chi si trovasse a utilizzare la copertura wireless interna in modo occasionale o saltuario. Normalmente questa rete non prevede l’accesso all’infrastruttura principale dell’azienda (server, dispositivi di rete, storage etc). Questa soluzione può essere implementata in diversi modi, l’approccio migliore è quello di considerare già durante la fase di acquisto, dei dispositivi che integrino la gestione di reti Guest nativamente. Per la realizzazione di reti con questo tipo di funzioni evoluti, l’americana Ubiquiti (www.ubnt.com) offre la piattaforma UniFi: si tratta di una linea di Access Point con relativo software per la gestione centralizzata. Questi dispositivi prevedono l’implementazione di una rete guest nativa, sono facili da configurare e possono essere comodamente gestiti dall’interfaccia di controllo centralizzata.BYOD3 res È possibile realizzare più sotto-reti separate e anche definire set di policy per l’accesso alle stesse. Unifi è distribuita in Italia da Sice Telecom (www.sicetelecom.it). Sul mercato sono naturalmente presenti numerose proposte alternative prodotte dai grandi del settore, come D-Link e Netgear.
Questo tipo di soluzioni sono però più vicini all’utilizzo domestico o SOHO che corporate, ma le dimensioni dell’architettura aziendale e i criteri per la sicurezza devono crescere di pari passo. Quando parliamo di realtà di dimensioni medio-grandi è necessario passare a soluzioni avanzate basate sul protocollo WPA e integrate con, ad esempio, Active Directory in ambiente Windows Server. Questi sistemi utilizzano un sistema di autenticazione centralizzato chiamato Radius (Remote Authentication Dial-In User Service) che però necessità di uno o più server dedicati. Una gestione di questo tipo, seppur maggiormente dispendiosa in termini di risorse hardware e software, garantisce funzionalità di sicurezza avanzate. Ad esempio l’esclusione di accesso a personale non più autorizzato, senza ricorrere al cambio di password su tutta la rete.

Un’altra soluzione possibile e spesso utilizzata in realtà dove la presenza di utenti guest è elevata (aeroporti, stazioni, aree pubbliche) è l’implementazione di un Captive Portal. In questa situazione al primo accesso da ogni dispositivo viene richiesta una autenticazione da parte del gateway, da quel momento in poi la sessione è univocamente legata a quel dispositivo. Non sarà il sistema più comodo, ma sicuramente è molto utile in diversi contesti.
Questa funzionalità può essere gestita in modo diretto dal firewall (come pfsense o Kerio Control che sono citati nell’articolo) ma anche da infrastrutture WiFi centralizzate come UniFi di Ubiquiti.

L'autore

Lorenzo Bedin e Filippo Moriggia

Filippo Moriggia

Dopo 10 anni di esperienza nel settore del giornalismo tecnico collaborando con PC Professionale, Panorama e altre testate del gruppo Mondadori, Filippo Moriggia ha fondato Guru Advisor, il sito italiano di riferimento per professionisti del settore IT, system integrator e managed service provider.
E’ laureato in Ingegneria delle Telecomunicazioni e svolge attività di libero professionista come consulente presso aziende e studi professionali. Si occupa in particolare di software, virtualizzazione, reti e sicurezza. E’ certificato VMware VCA for Data Center Virtualization.

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione, con precedenti esperienze nell'ambito delle pubblicazioni Web.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1