Il segreto dietro una connettività senza interruzioni in SailPoint: Spiegazione dei virtual appliances
Published on July 31, 2025
Ti sei mai chiesto come Identity Security Cloud (ISC) riesca a comunicare con le tue applicazioni on-premises senza forare il firewall? Ecco il Virtual Appliance (VA) – l'eroe non celebrato che alimenta in maniera discreta la governance sicura delle identità dietro le quinte.
Analizziamo:
Immagina di gestire un'organizzazione con un mix di sistemi in cloud e on-premises – Active Directory, server di file, piattaforme HR, ecc. ISC deve connettersi a questi sistemi per fornire accessi, eseguire certificazioni o recuperare dati di identità. Tuttavia… i tuoi sistemi on-premises sono protetti da un firewall. Non vuoi che il cloud vi acceda (la sicurezza dice: X).
La soluzione? Sei TU a connetterti.
Il VA è una macchina virtuale basata su Linux che installi all'interno della tua rete. Funziona come un agente locale che si connette a ISC, e non viceversa.
Immaginalo così:
Hai un messaggero sicuro nel tuo edificio (il VA). ISC lascia per lui delle note criptate in una casella postale condivisa (la Cluster Queue). Il messaggero (VA) le raccoglie, legge il compito – “Aggiorna l’accesso di Bob in Active Directory” – lo esegue, quindi ne dà seguito.
Tutto ciò avviene in sicurezza, utilizzando solo traffico in uscita. Nessuna porta aperta, nessuna regola di firewall strana. Pulito, sicuro, efficace.
Esempio reale:
Non appena il dipartimento HR clicca su “Terminate” per Alice in Workday, ISC interviene una volta aggregato l'aggiornamento. Invia un insieme di operazioni di deprovisioning alla coda cloud, senza creare aperture in ingresso nel tuo firewall.
Successivamente, il tuo Virtual Appliance on-premise:
Disabilita il suo accesso ad Active Directory
Revoca l'accesso a VPN ed Exchange
Blocca i suoi schemi di database
Disattiva le chiavi API e gli account di servizio
Tutto ciò avviene tramite una singola connessione TLS in uscita, in meno di 3 minuti, con ogni step tracciato e verificabile.
Moltiplica il tutto per 2.000 partenze ogni anno su 15 sistemi critici, e otterrai un processo di offboarding veramente automatizzato e a prova di bomba. Questa è la magia di ISC + VA.
Alcuni consigli che ho appreso da implementazioni reali:
Distribuisci sempre almeno 2 VAs per cluster: uno può essere fermo per aggiornamenti mentre l'altro mantiene il funzionamento.
Collocalili vicino ai sistemi a cui si connettono. Un VA accanto alla tua applicazione HR in cloud in Europa non renderà bene per un server payroll on-premise negli Stati Uniti.
Separa sandbox e produzione, in modo da poter rilevare eventuali problemi in fase iniziale durante gli aggiornamenti.
Riavviare un cluster di VA risolve più problemi di quanto si possa pensare
Evita di collocare i VAs nella DMZ. È come parcheggiare un'auto sicura in un vicolo poco affidabile.
In breve:
Le Virtual Appliances consentono a ISC di connettersi in sicurezza al tuo ambiente, di svolgere il lavoro pesante in modo discreto e di mantenere il flusso dei tuoi dati di identità senza che tu debba preoccuparti di firewall, proxy o accessi amministrativi non autorizzati.
Se possiedi ISC, i tuoi VAs fanno più di quanto pensi.
Non sei sicuro di quale opzione di connessione sia la migliore?
La scelta tra Standard, HTTP Proxy o Network Tunnel non è solo tecnica, è strategica.
Da NeverHack, abbiamo aiutato innumerevoli organizzazioni a ottimizzare le loro implementazioni di ISC per garantire la massima sicurezza e prestazioni.