Una rete privata virtuale (VPN) può aiutare a proteggere i dati e a gestire l'accesso degli utenti, ma esistono alternative all'uso delle VPN.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
VPN
Controllo degli accessi
Che cos'è l'IAM?
Sicurezza della forza lavoro che opera da remoto
Filtro DNS
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Una rete privata virtuale (VPN) è un servizio di sicurezza Internet che consente agli utenti di accedere a Internet come se fossero connessi a una rete privata. Le VPN utilizzano la crittografia per creare una connessione sicura su un'infrastruttura Internet non protetta.
Le VPN rappresentano un modo per proteggere i dati aziendali e gestire l'accesso degli utenti a tali dati. Le VPN proteggono i dati mentre gli utenti interagiscono con app e proprietà Web su Internet e possono mantenere nascoste determinate risorse. Vengono comunemente utilizzati per il controllo degli accessi, ma anche altre soluzioni di gestione delle identità e degli accessi (IAM) possono aiutare a gestire l'accesso degli utenti.
La crittografia è un modo per codificare i dati in modo che solo le parti autorizzate possano comprendere le informazioni. Prende dati leggibili e li modifica in modo che appaiano casuali agli aggressori o a chiunque altro li intercetti. In questo senso, la crittografia è come un "codice segreto".
Una VPN funziona stabilendo connessioni crittografate tra i dispositivi, spesso utilizzando i protocolli di crittografia IPsec o SSL/TLS. Tutti i dispositivi che si connettono alla VPN impostano le chiavi di crittografia e queste chiavi vengono utilizzate per codificare e decodificare tutte le informazioni inviate tra loro. Questo processo potrebbe aggiungere una piccola quantità di latenza alle connessioni di rete, il che rallenterà il traffico di rete (scopri di più sulle prestazioni VPN).
L'effetto di questa crittografia è che le connessioni VPN rimangono private anche se si estendono attraverso l'infrastruttura Internet pubblica. Immagina che Alice stia lavorando da casa e si connetta alla VPN aziendale per accedere a un database aziendale memorizzato su un server distante 160 chilometri. Supponiamo che tutte le sue richieste al database, così come le risposte del database, viaggino attraverso un punto di scambio Internet (IXP) intermedio. Supponiamo ora che un criminale si sia segretamente infiltrato in questo IXP e stia monitorando tutti i dati che vi transitano (un po' come quando si intercetta una linea telefonica). I dati di Alice sono ancora al sicuro grazie alla VPN. Tutto ciò che il criminale può vedere è la versione crittografata dei dati.
Immagina che ci siano due server nell'edificio degli uffici della Acme Co.: il Server A e il Server B. La Acme Co. non utilizza il Wi-Fi, quindi per l'accesso alla rete tutti i dispositivi devono utilizzare cavi Ethernet. Il server A è connesso fisicamente tramite cavi e router a una rete di dispositivi che include computer desktop e la stampante dell'ufficio.
Chiunque non sia fisicamente connesso alla rete del Server A non può connettersi al Server A, e lo stesso vale per il Server B. Se Bob desidera stampare un documento memorizzato sul Server A tramite la stampante dell'ufficio, deve collegare il suo computer desktop alla rete corretta prima di poter accedere al Server A e alla stampante. Se vuole recuperare un documento dal Server B, deve collegarsi anche a quella rete.
Le VPN funzionano in modo simile, con la differenza che la rete è virtuale anziché fisica. Proprio come Bob non può connettersi al Server A a meno che non sia collegato alla rete, un computer non può connettersi a una risorsa protetta da una VPN a meno che non si connetta a tale VPN. Se Acme Co. utilizzasse Wi-Fi e VPN anziché cavi e router fisici, Bob dovrebbe accedere alla VPN A per connettersi al Server A. Allo stesso modo, dovrebbe connettersi alla VPN B per accedere al Server B.
Poiché le VPN funzionano in questo modo, molte aziende le utilizzano per il controllo degli accessi, ovvero per controllare quali utenti hanno accesso a quali risorse. L'azienda configura diverse VPN e ogni VPN si connette a diverse risorse interne. Assegnando gli utenti a queste VPN, utenti diversi possono avere diversi livelli di accesso ai dati.
Il controllo e la gestione degli accessi sono fondamentali per proteggere e mettere in sicurezza i dati aziendali. Senza il controllo degli accessi, gli utenti non autorizzati potrebbero visualizzare o modificare dati riservati, con conseguente violazione dei dati.
1. Singolo punto di errore.
Gli aggressori non possono monitorare il traffico crittografato tramite VPN dall'esterno della VPN, ma se riescono a connettersi alla VPN, ottengono l'accesso a tutte le risorse connesse a quella rete. Perché un aggressore possa accedere ai dati protetti dalla VPN, basta un solo account o dispositivo compromesso.
Tale situazione è spesso nota come modello "castello e fossato". Immagina un castello protetto da un fossato. Qualsiasi forza d'attacco che prenda di mira il castello sarà bloccata dal fossato, ma una volta che lo avrà superato, l'intero castello sarà in pericolo. Con un approccio di sicurezza basato su VPN, il "fossato" è costituito dagli account VPN degli utenti interni. Se un aggressore ruba le credenziali di accesso di un utente, sarà in grado di violare la VPN e quindi "attraversare il fossato" ottenendo l'accesso a tutti i dati connessi.
La sicurezza Zero Trust è un framework per il controllo degli accessi che mira a sostituire l'approccio "castello e fossato" con una strategia più sicura in cui nessun utente è considerato attendibile per impostazione predefinita. Scopri di più sulla sicurezza Zero Trust.
2. Le VPN sono difficili da gestire.
L'utilizzo di più VPN è difficile da gestire su larga scala. Nelle grandi organizzazioni, così tanti utenti diversi necessitano di così tanti tipi di accesso diversi che i team IT sono costretti a 1) configurare e gestire molte VPN oppure 2) richiedere agli utenti di accedere a più VPN contemporaneamente, il che è scomodo e può avere un impatto negativo sulle prestazioni del dispositivo e della rete.
3. Le VPN non sono sufficientemente granulari.
Le VPN funzionano bene per aprire l'accesso a un ampio gruppo di utenti contemporaneamente. Tuttavia, in pratica, i team IT spesso devono personalizzare le autorizzazioni per i singoli utenti: un dipendente deve accedere alla codebase, un altro deve accedere alla codebase e al sistema di gestione dei contenuti (CMS), un altro ancora deve accedere a entrambi, oltre alla piattaforma di automazione del marketing; un altro, infine, ha bisogno solo del CMS, e così via.
Configurare una VPN per ogni singolo dipendente è poco pratico: ha costi proibitivi, prestazioni lente ed è ad alta intensità di manodopera. Per gestire l'accesso a livello di singolo utente, è necessario un approccio diverso e più granulare.
Poiché le VPN sono virtuali, vengono spesso utilizzate per fornire ai lavoratori remoti l'accesso alle risorse aziendali necessarie. Tuttavia, questo approccio spesso porta le aziende a riscontrare uno o più dei problemi sopra descritti.
Molte soluzioni di gestione delle identità e degli accessi (IAM) offrono un controllo più granulare che è più facile da implementare. Cloudflare Zero Trust, ad esempio, è facile da configurare ed è progettato per aumentare la sicurezza senza influire sulle prestazioni. Cloudflare Zero Trust offre accesso sicuro alle applicazioni interne senza una VPN. Invece di una VPN, la rete globale Cloudflare protegge le risorse e i dati interni.
I gateway Web sicuri possono anche contribuire a proteggere i dipendenti da remoto, filtrando i contenuti rischiosi e impedendo ai dati di uscire dalle reti controllate dall'azienda. Infine, l'implementazione di un perimetro definito dal software (SDP) può mantenere l'infrastruttura interna e i dati invisibili a tutti gli utenti non autorizzati.
Scopri di più sulla sicurezza della forza lavoro che lavora da remoto.
Le reti private virtuali (VPN) creano spesso un singolo punto di guasto, poiché garantiscono all'utente l'accesso all'intera rete interna una volta autenticato. Questo approccio "tutto o niente" consente a un aggressore che rubi un singolo set di credenziali di muoversi lateralmente all'interno della rete e accedere a dati sensibili. Le VPN sono frequentemente prese di mira dagli aggressori, poiché presentano vulnerabilità note difficili da correggere rapidamente all'interno di una grande organizzazione.
Una VPN crea una connessione crittografata tra il dispositivo di un utente e un server. Sebbene ciò protegga i dati dall'essere intercettati da parti esterne sulla rete Internet pubblica, non protegge necessariamente l'utente dal monitoraggio da parte dello stesso provider VPN, o del servizio a cui l'utente si sta connettendo. Se una VPN non viene gestita correttamente, il provider potrebbe comunque essere in grado di vedere o registrare l'attività dell'utente.
Lo spostamento laterale si verifica quando una persona non autorizzata ottiene l’accesso a una parte di una rete e quindi utilizza tale accesso per esplorare e compromettere altri sistemi. Poiché le VPN tradizionali in genere non limitano le risorse a cui un utente può connettersi una volta all'interno della rete, un utente malintenzionato può passare da un'area a bassa sicurezza a un'area ad alta sicurezza senza bisogno di ulteriore autenticazione.
La differenza principale è il livello di fiducia concesso all'utente. Una VPN opera sul modello "castello e fossato", in cui chiunque si trovi all'interno del perimetro è considerato attendibile per impostazione predefinita. Al contrario, un modello Zero Trust presuppone che nessuno sia intrinsecamente affidabile, sia all'interno che all'esterno della rete. Invece di un accesso una tantum all'intera rete, Zero Trust richiede la verifica dell'identità e del dispositivo per ogni singola applicazione o risorsa a cui un utente tenta di accedere.
Le VPN possono spesso portare a velocità di connessione più lente e a una maggiore latenza. Ciò accade perché tutto il traffico deve viaggiare verso un server VPN centrale prima di poter raggiungere la destinazione finale. Questo processo può creare colli di bottiglia, soprattutto perché un numero sempre maggiore di dipendenti lavora in remoto e sovraccarica la capacità hardware della VPN. Alcune VPN crittografano anche il traffico a livello di rete, il che può aggiungere una piccola quantità di latenza.
Cloudflare Zero Trust sostituisce il vecchio modello VPN con una rete globale che verifica ogni richiesta a ogni risorsa. Utilizzando la rete di Cloudflare come punto di ingresso sicuro, le aziende possono proteggere le proprie applicazioni dall'Internet pubblico, fermare lo spostamento laterale e fornire ai propri team un modo più rapido e affidabile per lavorare ovunque.