Amplifon, un bilancio di 7 anni di “zero trust” nella sicurezza di rete
Abbiamo raccontato di recente della forte crescita di Zscaler in Italia, dove il fornitore californiano paladino dell’approccio Zero Trust ha triplicato le risorse negli ultimi 12 mesi. Uno degli utenti “pionieri” di Zscaler è Amplifon, la multinazionale degli apparecchi acustici con quartier generale a Milano che opera in 25 paesi con quasi 20mila dipendenti, 9300 centri audiologici, e fatturato 2022 di 2,1 miliardi di euro.
Abbiamo approfondito con David Mallen, Global IT Network Operations Manager di Amplifon, le motivazioni della scelta di Zscaler per la network security già nel “lontano” 2016, quando il concetto di Zero Trust era molto meno conosciuto di oggi, e l’evoluzione del progetto negli anni.
Oltre la metà degli utenti lavora nei negozi
“Nella scelta di Zscaler è stata decisiva l’idea di orientarsi verso una soluzione cloud native; inoltre ha contato anche un importante cambio di policy che ha aperto ulteriormente le nostre filiali al mondo di internet e che, allo stesso tempo, ci ha esposto di più, ponendo problemi di configurazione importanti da punto di vista della network security”, ci spiega Mallen. “Per prevenire comportamenti involontariamente a rischio da parte degli utenti era essenziale un controllo più efficace, ma che non rallentasse l’operatività”.
Oltre metà degli utenti Amplifon infatti lavora nei negozi, “ed è l’utenza su cui serve più attenzione, perché in sede è più facile mantenere alta l’attenzione sulla sicurezza con corsi e webinar, mentre in negozio ci si deve occupare “fisicamente” del cliente a cui ovviamente è dedicata la maggior parte del tempo”.
Con queste premesse, continua Mallen, “la preferenza è andata a Zscaler per la flessibilità e semplicità di gestione da un’unica console, molto personalizzabile nella configurazione e nella segmentazione dei servizi accessibili. Inoltre Amplifon cresce mediante frequenti acquisizioni che rendono necessaria una soluzione facilmente distribuibile nei diversi paesi e presso le filiali”.
“Amplifon ha workload in tutti i 5 principali Public Cloud”
La prima soluzione adottata nel 2016 è stata ZIA (Zscaler Internet Access), che gestisce l’accesso a internet e alle soluzioni SaaS, e ha rimpiazzato il proxy legacy di Amplifon. “All’inizio serviva soprattutto a ispezionare il traffico, ma poi è cresciuta con nuove funzionalità che man mano abbiamo adottato, per esempio Advanced Threat Protection, Malware Detection, la possibilità di bloccare le esfiltrazioni di dati dai nostri client”.
L’implementazione di queste evoluzioni è un lavoro continuo, “anche per le diverse possibilità di scelta che lo strumento mette a disposizione. Per esempio, abbiamo bloccato i siti di file hosting non monitorabili, per evitare il rischio che dati sensibili possano essere esportati fuori dall’azienda”.
L’estensione di ZIA a tutti i paesi in cui opera Amplifon è avvenuta molto in fretta, continua Mallen, “con la necessità di alcune eccezioni di configurazione per l’America Latina, dove al momento Zscaler non ha nodi propri, anche se sta realizzando un Data Center a Bogotà che ci permetterà di eliminare queste eccezioni”.
A fine 2018 poi Amplifon ha adottato anche ZPA (Zscaler Private Access), per il controllo degli accessi ai servizi interni aziendali, in cloud o via intranet. “È importante anche perché Amplifon ha workload in tutti i cinque principali public cloud, e anche in questo caso continuiamo a evolvere la soluzione nel tempo, per esempio nel 2021 abbiamo introdotto nuove funzionalità come Browser Access e Machine tunnel, e nel 2022 abbiamo raffinato le regole per la segregazione degli accessi e configurato ZPA anche per gli accessi dei fornitori”.
“Il call center lavora sul CRM senza essere connesso alla rete Amplifon”
Un esempio interessante, spiega Mallen, riguarda la componente del sistema CRM di Amplifon che deve essere utilizzata dal call center: “L’operatore del call center può accedere tranquillamente su internet a questa componente: loggandosi in modo sicuro può arrivare alla pagina, e utilizzarla senza essere direttamente connesso alla rete Amplifon”.
Oggi il contratto Zscaler di Amplifon oltre a ZIA e ZPA comprende tra l’altro anche la sandbox avanzata e la soluzione digital experience, e lo scorso ottobre è stato rinnovato per altri due anni, per circa 13mila licenze complessive.
“Un’altra componente essenziale per noi”, conclude Mallen, “sono gli insight: rispetto a una classica VPN per esempio con ZPA si ha una visibilità più completa della chiamata di un dato utente per un dato servizio, e per il servizio richiesto da un utente specifico, e la stessa cosa vale per ZIA: i comportamenti malevoli vengono bloccati, ma comunque è possibile averne evidenza nella Dashboard e nei report”.