← TORNA AGLI ARTICOLI

RETE AZIENDALE MULTI-SEDE: COME COLLEGARE PIÙ UFFICI IN SICUREZZA

La tua azienda è cresciuta: al capannone storico si è aggiunto un magazzino, poi un secondo punto vendita, magari un ufficio commerciale in un'altra città. Ogni sede ha il suo router, la sua connessione internet, i suoi file locali. Il gestionale non si allinea, la stampante di rete non si vede da remoto, e per condividere una cartella tra le due sedi qualcuno manda ancora tutto per email. Suona familiare?

Collegare più sedi in un'unica rete aziendale non è più un lusso da grande impresa: è una necessità comune a moltissime PMI italiane, dal commercio alla produzione, dagli studi professionali con più filiali alla logistica. La buona notizia è che oggi esistono soluzioni mature, sicure e alla portata di un budget da piccola-media impresa. Il rischio, però, è farlo nel modo sbagliato: aprendo porte pericolose sul router, usando VPN gratuite non gestite, o collegando le sedi senza pensare a cosa succede se una di esse viene compromessa.

PERCHÉ UNA RETE MULTI-SEDE È DIVERSA DA UNA RETE SINGOLA

In un ufficio unico, la rete aziendale è un perimetro chiuso: un firewall, uno switch, qualche access point, e tutti i dispositivi si vedono e si fidano a vicenda (più o meno). Quando le sedi diventano due o più, il problema cambia natura: ora devi far comunicare in sicurezza reti che vivono su connessioni internet diverse, spesso con provider diversi, e che devono restare protette anche se una sede ha meno controlli fisici dell'altra (pensa a un piccolo ufficio commerciale rispetto alla sede centrale).

Le esigenze tipiche di una rete multi-sede sono tre: continuità (poter lavorare sui file e sul gestionale come se si fosse tutti nello stesso ufficio), sicurezza (evitare che un problema in una sede periferica diventi un problema per tutta l'azienda) e gestibilità (poter amministrare firewall, permessi e configurazioni da un unico punto, senza dover andare fisicamente in ogni sede per ogni modifica).

1
Connettività
Un collegamento stabile e cifrato tra le sedi, che regga il traffico quotidiano senza rallentamenti
2
Sicurezza
Un firewall dedicato per ogni sede, che protegga anche se le altre vengono compromesse
3
Gestione centrale
Configurazioni, regole e monitoraggio amministrabili da un unico pannello, per tutte le sedi

LE TECNOLOGIE PER COLLEGARE PIÙ SEDI

Non esiste un'unica soluzione giusta: dipende dal numero di sedi, dalla distanza, dal budget e da quanto traffico deve viaggiare tra un ufficio e l'altro. Le opzioni più diffuse per una PMI sono tre.

VPN Site-to-Site

È la soluzione più comune e accessibile: un tunnel cifrato (tipicamente IPsec o WireGuard) viene creato tra i firewall delle diverse sedi, sfruttando la connessione internet già presente. Il traffico tra le sedi viaggia crittografato sulla normale linea internet, ma dal punto di vista degli utenti sembra di essere sulla stessa rete locale. È la scelta più equilibrata per chi ha 2-5 sedi e un budget contenuto.

MPLS e linee dedicate

Il provider di telecomunicazioni fornisce un collegamento privato, dedicato, tra le sedi, che non passa sulla normale internet pubblica. Offre prestazioni molto stabili e prevedibili, ma ha costi ricorrenti più alti e tempi di attivazione più lunghi. Ha senso soprattutto per aziende con molte sedi, traffico dati pesante (es. videosorveglianza centralizzata, ERP con molti utenti) o esigenze di banda garantita.

SD-WAN

Una tecnologia più recente che permette di gestire in modo intelligente più connessioni internet contemporaneamente (fibra, ADSL di backup, LTE), instradando il traffico sulla via migliore in ogni momento e passando automaticamente a un collegamento alternativo in caso di guasto. È utile per chi ha molte sedi e vuole ridondanza senza i costi di una linea dedicata per ognuna.

Soluzione Costo indicativo Quando ha senso
VPN Site-to-Site (IPsec) Costo del firewall per sede + configurazione, nessun canone aggiuntivo oltre alla linea internet esistente 2-5 sedi, budget contenuto, traffico moderato
MPLS / linea dedicata Canone mensile per sede, più elevato rispetto a una VPN, attivazione più lunga Molte sedi, traffico pesante, banda garantita necessaria
SD-WAN Canone per apparato/sede, variabile in base al numero di connessioni gestite Molte sedi, necessità di ridondanza automatica e failover

Per la grande maggioranza delle PMI con 2-4 sedi in provincia, la VPN site-to-site basata su firewall dedicati resta la soluzione con il miglior rapporto tra costo, sicurezza e semplicità di gestione.

Attenzione: collegare due router "consumer" con una VPN gratuita scaricata da internet non è una rete multi-sede sicura. Senza un firewall vero, senza log del traffico e senza regole di segmentazione, stai solo aprendo una porta in più tra due reti già poco protette.

SICUREZZA: COSA SERVE DAVVERO PER OGNI SEDE

Il punto debole più comune nelle reti multi-sede non è la tecnologia di collegamento, ma la sicurezza delle singole sedi. Una rete è forte quanto il suo anello più debole: se l'ufficio commerciale periferico ha un router del provider senza firewall dedicato, quel punto diventa la porta d'ingresso per compromettere anche la sede centrale, una volta che le reti sono collegate tra loro.

Firewall dedicato in ogni sede

Ogni sede, anche la più piccola, dovrebbe avere un firewall proprio e non limitarsi al router fornito dal gestore della linea internet. Un firewall come pfSense permette non solo di creare il tunnel VPN verso le altre sedi in modo sicuro, ma anche di applicare regole specifiche, monitorare il traffico e isolare la sede in caso di problemi, senza dover intervenire fisicamente sul posto.

Segmentazione delle reti (VLAN)

Non tutto il traffico tra le sedi deve poter raggiungere tutto. Il gestionale della sede centrale probabilmente deve essere raggiungibile dalle filiali, ma le telecamere di videosorveglianza o la rete Wi-Fi ospiti no. Segmentare con VLAN dedicate, sia all'interno di ogni sede sia nelle regole del tunnel VPN, limita i danni se un dispositivo viene compromesso.

Autenticazione centralizzata

Se ogni sede ha il proprio server di autenticazione locale con credenziali diverse, la gestione diventa presto ingestibile e insicura (password dimenticate, account di ex-dipendenti mai disattivati in una sede). Centralizzare l'autenticazione, ad esempio con Active Directory o un provider cloud come Microsoft 365, permette di gestire accessi e permessi da un unico punto per tutte le sedi.

Monitoraggio del traffico tra sedi

Sapere cosa passa nel tunnel tra le sedi, e accorgersi rapidamente di anomalie (un picco di traffico insolito, connessioni verso indirizzi sospetti), è quello che fa la differenza tra individuare un problema in poche ore o scoprirlo settimane dopo, quando il danno è già fatto.

Pro tip: per il personale che lavora spesso fuori sede o da casa, la stessa infrastruttura di firewall e VPN usata per collegare gli uffici può estendersi anche al lavoro da remoto. Con soluzioni come desktop remoto sicuro il dipendente accede ai dati aziendali senza doverli mai portare fisicamente fuori dalla rete protetta.

GLI ERRORI PIÙ COMUNI NELLE RETI MULTI-SEDE

Errore 1: nessun firewall dedicato nelle sedi minori

Si investe nella sicurezza della sede principale e si lascia la filiale con il router base del provider. Basta che quella sede venga compromessa per mettere a rischio l'intera rete collegata.

Soluzione: ogni sede, indipendentemente dalle dimensioni, deve avere un firewall dedicato configurato secondo le stesse policy di sicurezza.

Errore 2: nessuna ridondanza sulla connessione internet

Se la sede centrale ha una sola linea internet e quella linea cade, tutte le sedi collegate restano isolate tra loro, bloccando gestionale, telefonia VoIP e condivisione file.

Soluzione: prevedere almeno una connessione di backup (una seconda linea o una SIM dati) sulle sedi critiche, con passaggio automatico in caso di guasto.

Errore 3: regole del firewall troppo permissive "per farlo funzionare"

Durante la configurazione iniziale capita di aprire regole ampie per risolvere un problema di connettività, e poi dimenticarsi di restringerle. Con il tempo, il firewall multi-sede diventa un colabrodo di eccezioni.

Soluzione: documentare ogni regola aperta, con la motivazione, e fare una revisione periodica delle configurazioni di rete.

Errore 4: nessun piano per quando una sede viene compromessa

Molte aziende collegano le sedi pensando solo al funzionamento quotidiano, senza chiedersi cosa succede se una sede viene infettata da un ransomware: la rete multi-sede, se non è segmentata, può diventare il canale che diffonde il problema ovunque.

Soluzione: progettare la rete in modo che ogni sede possa essere isolata rapidamente dalle altre, senza dover disattivare tutto il collegamento aziendale.

CHECKLIST: LA TUA RETE MULTI-SEDE È SICURA?

Prima di considerare "fatta" la connessione tra le tue sedi, verifica questi punti:

  • ☐ Ogni sede ha un firewall dedicato, non solo il router del provider?
  • ☐ Il traffico tra le sedi viaggia in un tunnel cifrato (VPN, non connessioni in chiaro)?
  • ☐ Le reti sono segmentate, così che non tutto sia raggiungibile da ovunque?
  • ☐ Le credenziali di accesso sono centralizzate, non duplicate e scollegate tra sedi?
  • ☐ Esiste una connessione internet di backup sulle sedi critiche?
  • ☐ Qualcuno monitora il traffico e riceve un avviso in caso di anomalie?
  • ☐ Sai come isolare una singola sede in caso di incidente, senza fermare tutte le altre?

Se hai risposto "no" a più di due domande, la tua rete multi-sede probabilmente funziona, ma non è ancora sicura come dovrebbe.

DA DOVE PARTIRE

Se stai per aprire una nuova sede, il momento migliore per progettare la rete è prima di attivare la connessione internet, non dopo. Se invece le sedi sono già collegate ma con soluzioni improvvisate, conviene fare un audit della situazione attuale: che tipo di collegamento c'è tra le sedi, che firewall sono installati, quali regole sono attive e da chi vengono gestite.

Con il nostro servizio di cybersecurity aiutiamo le PMI della provincia di Verona a progettare e mettere in sicurezza reti multi-sede, dalla scelta del firewall giusto per ogni ufficio fino alla configurazione dei tunnel VPN e al monitoraggio continuo del traffico tra le sedi.

In sintesi: collegare più sedi in un'unica rete aziendale è oggi alla portata di qualsiasi PMI, ma va fatto con un firewall dedicato per ogni ufficio, un tunnel cifrato tra le sedi e una segmentazione che impedisca a un problema locale di diventare un problema per tutta l'azienda.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

HAI PIÙ SEDI DA COLLEGARE?

Ti aiutiamo a progettare una rete multi-sede stabile e sicura, con il firewall giusto per ogni ufficio e un tunnel VPN configurato a regola d'arte.

Richiedi Consulenza Scopri Firewall pfSense
APPROFONDIMENTI E COPERTURA TERRITORIALE — SUPPORTO E ASSISTENZA LOCALE +

Servizi e Prodotti IT per PMI

Il supporto e l'assistenza locale di Digital Combines raggiungono tutte le PMI della provincia di Verona. Operiamo con tecnici certificati per assistenza remota e on-site, interventi di emergenza, manutenzione preventiva, consulenza IT e formazione.

I nostri servizi includono anche: Installazione server Linux/Windows, Virtualizzazione, Reti aziendali certificate Cisco, Centralini VoIP, Siti Web ottimizzati SEO, e l'esclusiva AI locale Dr. Watson. Forniamo supporto tecnico sistemistico on-site e da remoto, garantendo continuità operativa e costi certi.

Partner Tecnologici

Collaboriamo con i leader del settore: Microsoft (Azure, 365), Cisco, Bitdefender, Netgate (pfSense), OVH Cloud, Aruba Business, Cloudflare, Adobe, Winblu, Ubuntu, Debian, FreeBSD, Samsung Pay, Stripe, PayPal.

Copertura Territoriale: 98 Comuni della Provincia di Verona

Il nostro team opera capillarmente in tutto il territorio veronese, garantendo interventi rapidi nei seguenti comuni: Affi, Albaredo d'Adige, Angiari, Arcole, Badia Calavena, Bardolino, Belfiore, Bevilacqua, Bonavigo, Boschi Sant'Anna, Bosco Chiesanuova, Bovolone, Brentino Belluno, Brenzone sul Garda, Bussolengo, Buttapietra, Caldiero, Caprino Veronese, Casaleone, Castagnaro, Castel d'Azzano, Castelnuovo del Garda, Cavaion Veronese, Cazzano di Tramigna, Cerea, Cerro Veronese, Cologna Veneta, Colognola ai Colli, Concamarise, Costermano sul Garda, Dolcè, Erbè, Erbezzo, Ferrara di Monte Baldo, Fumane, Garda, Gazzo Veronese, Grezzana, Illasi, Isola della Scala, Isola Rizza, Lavagno, Lazise, Legnago, Malcesine, Marano di Valpolicella, Mezzane di Sotto, Minerbe, Montecchia di Crosara, Monteforte d'Alpone, Mozzecane, Negrar di Valpolicella, Nogara, Nogarole Rocca, Oppeano, Palù, Pastrengo, Pescantina, Peschiera del Garda, Povegliano Veronese, Pressana, Rivoli Veronese, Roncà, Ronco all'Adige, Roverchiara, Roveredo di Guà, Roverè Veronese, Salizzole, San Bonifacio, San Giovanni Ilarione, San Giovanni Lupatoto, San Martino Buon Albergo, San Mauro di Saline, San Pietro di Morubio, San Pietro in Cariano, San Zeno di Montagna, Sanguinetto, Sant'Ambrogio di Valpolicella, Sant'Anna d'Alfaedo, Selva di Progno, Soave, Sommacampagna, Sona, Sorgà, Terrazzo, Torri del Benaco, Tregnago, Trevenzuolo, Valeggio sul Mincio, Velo Veronese, Verona, Veronella, Vestenanova, Vigasio, Villa Bartolomea, Villafranca di Verona, Zevio, Zimella.