Gruppo Arvedi: Sicurezza unificata e accesso remoto con Prisma SASE

Contesto e Obiettivo

Il progetto nasce con l’obiettivo di migrare la sicurezza dell’accesso a internet del Gruppo Arvedi verso una logica SASE centralizzata, sostituendo la gestione delle policy da Panorama con il Firewall-as-a-Service di Prisma Access, e proteggendo in modalità always-on circa 1200 mobile user. Include anche l’adozione di Strata Cloud Manager (SCM) per la gestione delle policy e l’installazione di apparati ION-1200 in alcune sedi.

Scenario Attuale (AS-IS)

Le sedi Arvedi utilizzano cluster Palo Alto con gestione locale e VPN IPSEC in BGP/OSPF verso Azure. AST (acquisizione recente) era su firewall Cisco e proxy TrendMicro, migrati a Palo Alto. I mobile user si collegano via VPN on-demand. Alcune sedi (es. TernInox) sono ancora collegate in MPLS alla sede centrale.

Soluzione Implementata

Tutte le sedi avranno l’uscita internet gestita da Prisma Access, con regole condivise su SCM. Gli accessi mobili saranno protetti tramite GlobalProtect in modalità always-on. Le sedi che non richiedono sicurezza avanzata avranno apparati ION-1200 per connessione al cloud. È previsto anche il consolidamento delle VPN tra sedi tramite Prisma come HUB centrale.

Fasi del Progetto

Strutturato in 5 fasi: avvio, pianificazione, esecuzione, controllo e chiusura. Le attività includono: configurazione delle service connection, migrazione delle 14 sedi, migrazione dei primi 15 utenti mobile (campione), rollout massivo, test, collaudo e documentazione. Alcune attività sono congiunte con Gruppo E, mentre il rollout esteso è in carico ad Arvedi.

Requisiti, Vincoli e Ambito

Sono richiesti: accesso a SCM/Panorama, configurazioni DHCP per ION, compatibilità firmware (10.2+), app GP versione 6.2.6. Tra le attività fuori ambito: aggiornamento firmware, modifica rete delle sedi, rimozione tunnel verso Azure e aggiornamento massivo del client GP. Il progetto include l’estensione delle service connection da 2 a 5 e l’attivazione Worldwide delle location.