La tua azienda è cresciuta: al capannone storico si è aggiunto un magazzino, poi un secondo punto vendita, magari un ufficio commerciale in un'altra città. Ogni sede ha il suo router, la sua connessione internet, i suoi file locali. Il gestionale non si allinea, la stampante di rete non si vede da remoto, e per condividere una cartella tra le due sedi qualcuno manda ancora tutto per email. Suona familiare?
Collegare più sedi in un'unica rete aziendale non è più un lusso da grande impresa: è una necessità comune a moltissime PMI italiane, dal commercio alla produzione, dagli studi professionali con più filiali alla logistica. La buona notizia è che oggi esistono soluzioni mature, sicure e alla portata di un budget da piccola-media impresa. Il rischio, però, è farlo nel modo sbagliato: aprendo porte pericolose sul router, usando VPN gratuite non gestite, o collegando le sedi senza pensare a cosa succede se una di esse viene compromessa.
PERCHÉ UNA RETE MULTI-SEDE È DIVERSA DA UNA RETE SINGOLA
In un ufficio unico, la rete aziendale è un perimetro chiuso: un firewall, uno switch, qualche access point, e tutti i dispositivi si vedono e si fidano a vicenda (più o meno). Quando le sedi diventano due o più, il problema cambia natura: ora devi far comunicare in sicurezza reti che vivono su connessioni internet diverse, spesso con provider diversi, e che devono restare protette anche se una sede ha meno controlli fisici dell'altra (pensa a un piccolo ufficio commerciale rispetto alla sede centrale).
Le esigenze tipiche di una rete multi-sede sono tre: continuità (poter lavorare sui file e sul gestionale come se si fosse tutti nello stesso ufficio), sicurezza (evitare che un problema in una sede periferica diventi un problema per tutta l'azienda) e gestibilità (poter amministrare firewall, permessi e configurazioni da un unico punto, senza dover andare fisicamente in ogni sede per ogni modifica).
LE TECNOLOGIE PER COLLEGARE PIÙ SEDI
Non esiste un'unica soluzione giusta: dipende dal numero di sedi, dalla distanza, dal budget e da quanto traffico deve viaggiare tra un ufficio e l'altro. Le opzioni più diffuse per una PMI sono tre.
VPN Site-to-Site
È la soluzione più comune e accessibile: un tunnel cifrato (tipicamente IPsec o WireGuard) viene creato tra i firewall delle diverse sedi, sfruttando la connessione internet già presente. Il traffico tra le sedi viaggia crittografato sulla normale linea internet, ma dal punto di vista degli utenti sembra di essere sulla stessa rete locale. È la scelta più equilibrata per chi ha 2-5 sedi e un budget contenuto.
MPLS e linee dedicate
Il provider di telecomunicazioni fornisce un collegamento privato, dedicato, tra le sedi, che non passa sulla normale internet pubblica. Offre prestazioni molto stabili e prevedibili, ma ha costi ricorrenti più alti e tempi di attivazione più lunghi. Ha senso soprattutto per aziende con molte sedi, traffico dati pesante (es. videosorveglianza centralizzata, ERP con molti utenti) o esigenze di banda garantita.
SD-WAN
Una tecnologia più recente che permette di gestire in modo intelligente più connessioni internet contemporaneamente (fibra, ADSL di backup, LTE), instradando il traffico sulla via migliore in ogni momento e passando automaticamente a un collegamento alternativo in caso di guasto. È utile per chi ha molte sedi e vuole ridondanza senza i costi di una linea dedicata per ognuna.
| Soluzione | Costo indicativo | Quando ha senso |
|---|---|---|
| VPN Site-to-Site (IPsec) | Costo del firewall per sede + configurazione, nessun canone aggiuntivo oltre alla linea internet esistente | 2-5 sedi, budget contenuto, traffico moderato |
| MPLS / linea dedicata | Canone mensile per sede, più elevato rispetto a una VPN, attivazione più lunga | Molte sedi, traffico pesante, banda garantita necessaria |
| SD-WAN | Canone per apparato/sede, variabile in base al numero di connessioni gestite | Molte sedi, necessità di ridondanza automatica e failover |
Per la grande maggioranza delle PMI con 2-4 sedi in provincia, la VPN site-to-site basata su firewall dedicati resta la soluzione con il miglior rapporto tra costo, sicurezza e semplicità di gestione.
Attenzione: collegare due router "consumer" con una VPN gratuita scaricata da internet non è una rete multi-sede sicura. Senza un firewall vero, senza log del traffico e senza regole di segmentazione, stai solo aprendo una porta in più tra due reti già poco protette.
SICUREZZA: COSA SERVE DAVVERO PER OGNI SEDE
Il punto debole più comune nelle reti multi-sede non è la tecnologia di collegamento, ma la sicurezza delle singole sedi. Una rete è forte quanto il suo anello più debole: se l'ufficio commerciale periferico ha un router del provider senza firewall dedicato, quel punto diventa la porta d'ingresso per compromettere anche la sede centrale, una volta che le reti sono collegate tra loro.
Firewall dedicato in ogni sede
Ogni sede, anche la più piccola, dovrebbe avere un firewall proprio e non limitarsi al router fornito dal gestore della linea internet. Un firewall come pfSense permette non solo di creare il tunnel VPN verso le altre sedi in modo sicuro, ma anche di applicare regole specifiche, monitorare il traffico e isolare la sede in caso di problemi, senza dover intervenire fisicamente sul posto.
Segmentazione delle reti (VLAN)
Non tutto il traffico tra le sedi deve poter raggiungere tutto. Il gestionale della sede centrale probabilmente deve essere raggiungibile dalle filiali, ma le telecamere di videosorveglianza o la rete Wi-Fi ospiti no. Segmentare con VLAN dedicate, sia all'interno di ogni sede sia nelle regole del tunnel VPN, limita i danni se un dispositivo viene compromesso.
Autenticazione centralizzata
Se ogni sede ha il proprio server di autenticazione locale con credenziali diverse, la gestione diventa presto ingestibile e insicura (password dimenticate, account di ex-dipendenti mai disattivati in una sede). Centralizzare l'autenticazione, ad esempio con Active Directory o un provider cloud come Microsoft 365, permette di gestire accessi e permessi da un unico punto per tutte le sedi.
Monitoraggio del traffico tra sedi
Sapere cosa passa nel tunnel tra le sedi, e accorgersi rapidamente di anomalie (un picco di traffico insolito, connessioni verso indirizzi sospetti), è quello che fa la differenza tra individuare un problema in poche ore o scoprirlo settimane dopo, quando il danno è già fatto.
Pro tip: per il personale che lavora spesso fuori sede o da casa, la stessa infrastruttura di firewall e VPN usata per collegare gli uffici può estendersi anche al lavoro da remoto. Con soluzioni come desktop remoto sicuro il dipendente accede ai dati aziendali senza doverli mai portare fisicamente fuori dalla rete protetta.
GLI ERRORI PIÙ COMUNI NELLE RETI MULTI-SEDE
Errore 1: nessun firewall dedicato nelle sedi minori
Si investe nella sicurezza della sede principale e si lascia la filiale con il router base del provider. Basta che quella sede venga compromessa per mettere a rischio l'intera rete collegata.
Soluzione: ogni sede, indipendentemente dalle dimensioni, deve avere un firewall dedicato configurato secondo le stesse policy di sicurezza.
Errore 2: nessuna ridondanza sulla connessione internet
Se la sede centrale ha una sola linea internet e quella linea cade, tutte le sedi collegate restano isolate tra loro, bloccando gestionale, telefonia VoIP e condivisione file.
Soluzione: prevedere almeno una connessione di backup (una seconda linea o una SIM dati) sulle sedi critiche, con passaggio automatico in caso di guasto.
Errore 3: regole del firewall troppo permissive "per farlo funzionare"
Durante la configurazione iniziale capita di aprire regole ampie per risolvere un problema di connettività, e poi dimenticarsi di restringerle. Con il tempo, il firewall multi-sede diventa un colabrodo di eccezioni.
Soluzione: documentare ogni regola aperta, con la motivazione, e fare una revisione periodica delle configurazioni di rete.
Errore 4: nessun piano per quando una sede viene compromessa
Molte aziende collegano le sedi pensando solo al funzionamento quotidiano, senza chiedersi cosa succede se una sede viene infettata da un ransomware: la rete multi-sede, se non è segmentata, può diventare il canale che diffonde il problema ovunque.
Soluzione: progettare la rete in modo che ogni sede possa essere isolata rapidamente dalle altre, senza dover disattivare tutto il collegamento aziendale.
CHECKLIST: LA TUA RETE MULTI-SEDE È SICURA?
Prima di considerare "fatta" la connessione tra le tue sedi, verifica questi punti:
- ☐ Ogni sede ha un firewall dedicato, non solo il router del provider?
- ☐ Il traffico tra le sedi viaggia in un tunnel cifrato (VPN, non connessioni in chiaro)?
- ☐ Le reti sono segmentate, così che non tutto sia raggiungibile da ovunque?
- ☐ Le credenziali di accesso sono centralizzate, non duplicate e scollegate tra sedi?
- ☐ Esiste una connessione internet di backup sulle sedi critiche?
- ☐ Qualcuno monitora il traffico e riceve un avviso in caso di anomalie?
- ☐ Sai come isolare una singola sede in caso di incidente, senza fermare tutte le altre?
Se hai risposto "no" a più di due domande, la tua rete multi-sede probabilmente funziona, ma non è ancora sicura come dovrebbe.
DA DOVE PARTIRE
Se stai per aprire una nuova sede, il momento migliore per progettare la rete è prima di attivare la connessione internet, non dopo. Se invece le sedi sono già collegate ma con soluzioni improvvisate, conviene fare un audit della situazione attuale: che tipo di collegamento c'è tra le sedi, che firewall sono installati, quali regole sono attive e da chi vengono gestite.
Con il nostro servizio di cybersecurity aiutiamo le PMI della provincia di Verona a progettare e mettere in sicurezza reti multi-sede, dalla scelta del firewall giusto per ogni ufficio fino alla configurazione dei tunnel VPN e al monitoraggio continuo del traffico tra le sedi.
In sintesi: collegare più sedi in un'unica rete aziendale è oggi alla portata di qualsiasi PMI, ma va fatto con un firewall dedicato per ogni ufficio, un tunnel cifrato tra le sedi e una segmentazione che impedisca a un problema locale di diventare un problema per tutta l'azienda.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.