Cosa si intende per accesso remoto sicuro?

Come funziona?

L'accesso remoto sicuro consente ai dipendenti che si trovano al di fuori dell'ufficio di utilizzare le risorse di cui hanno bisogno per essere produttivi. Questa modalità di accesso rappresenta un mezzo per connettersi a un data center, a una rete, alle applicazioni o alle risorse cloud tramite i propri dispositivi in remoto e attraverso connessioni a Internet non protette tramite Wi-Fi domestici o pubblici, anziché attraverso una rete aziendale.

L'accesso remoto sicuro è un cuscinetto che si colloca tra l'endpoint degli utenti ibridi di oggi e Internet, e che consente a questi ultimi di stabilire connessioni remote riducendo al minimo il rischio di accesso non autorizzato.

Le tecnologie e le policy di accesso remoto sicuro variano da un'azienda all'altra, e ogni reparto IT ha le proprie installazioni, i propri requisiti e il proprio budget per fornire l'accesso sicuro da qualsiasi luogo.

Perché l'accesso remoto sicuro è importante?

Oggi molte aziende assumono le persone in base alle qualifiche che hanno, e non al luogo in cui vivono. Il lavoro remoto e ibrido sono realtà destinate a rimanere e, con l'evoluzione delle minacce informatiche e le vulnerabilità ai massimi storici, l'accesso remoto sicuro è passato in cima alla lista delle priorità dei reparti IT e degli addetti alla sicurezza di tutto il mondo, indipendentemente dal settore.

In passato, i dipendenti lavoravano sulla rete dell'organizzazione e tutte le applicazioni risiedevano nel data center collegato alla stessa. Tuttavia, con l'insorgere della pandemia di COVID-19, le aziende sono state costrette a passare rapidamente al lavoro da remoto per rimanere produttive e continuare a generare utili. Questo si è tradotto nell'adozione di soluzioni di accesso remoto in grado di consentire agli utenti di accedere alle applicazioni interne, come Microsoft 365, sia tramite la rete che in altri metodi.

Gli standard di sicurezza moderni sono drasticamente diversi da com'erano anche solo cinque anni fa, e il paradigma su cui si basano le tecnologie sicure per l'accesso remoto sta mutando rapidamente.

Quali sono le tecnologie utilizzate per offrire l'accesso remoto sicuro?

Sul mercato esiste un'ampia varietà di soluzioni per l'accesso remoto. Diamo un'occhiata ad alcune di quelle più utilizzate oggi dalle organizzazioni.

Rete privata virtuale (Virtual Private Network, VPN)

È stata la prima soluzione per l'accesso remoto sicuro. Una VPN consente di accedere alla rete aziendale attraverso un tunnel che si instaura tra la rete e un utente in remoto. Dopo l'autenticazione, gli utenti dispongono di un accesso illimitato alla rete e possono muoversi lateralmente sulla stessa.

Autenticazione a due fattori/a più fattori (2FA/MFA)

Con questo metodo, un utente ottiene l'accesso a una rete aziendale o alle risorse autenticandosi attraverso almeno due mezzi. Può trattarsi di una qualsiasi combinazione di password, indirizzo e-mail, desktop remoto, dispositivo mobile o persino dati biometrici, come l'impronta digitale. Se un utente non riesce ad eseguire l'autenticazione su tutti i fronti, la richiesta viene rifiutata.

Single Sign-On (SSO)

L'SSO consente a un utente di accedere a tutte le risorse tramite un'unica forma di autenticazione, da qui il termine Single Sign-On (o accesso singolo in italiano). Viene spesso utilizzato dalle aziende di ogni dimensione e dai privati per evitare di dover gestire diversi nomi utente e password.

Gestione dell'accesso con privilegi (Privileged Access Management, o PAM)

Questa soluzione gestisce gli accessi tramite l'unione di persone, processi e tecnologie. La gestione dell'accesso con privilegi offre all'IT una maggiore visibilità sugli account, monitorandoli in tempo reale, bloccando gli attacchi informatici e le minacce interne, ottimizzando l'efficienza operativa e garantendo la conformità. Con questa soluzione, agli utenti viene concesso l'accesso solo alle risorse per cui hanno l'autorizzazione, e la gestione degli accessi risulta quindi molto più rigorosa.

I vantaggi dell'accesso remoto sicuro

Le soluzioni per l'accesso remoto sicuro sono risorse preziose per un'organizzazione, perché aiutano a:

• Proteggere i dati sensibili. Proteggi i dati dell'organizzazione limitando l'accesso da fonti esterne e concedendolo solo tramite mezzi sicuri e controllati. In questo modo, puoi ridurre notevolmente il profilo di rischio dell'organizzazione, un aspetto fondamentale data la quantità di minacce avanzate attualmente in circolazione.
• Ridurre la superficie di attacco. Difenditi in modo ancora più efficace dalle minacce avanzate, riducendo il numero di vettori di attacco che i criminali informatici possono utilizzare per infiltrarsi negli endpoint da remoto. In questo modo, potrai migliorare il profilo di sicurezza dell'organizzazione.
• Ottenere e preservare la conformità. Aiuta l'organizzazione a rimanere conforme alle normative vigenti sulla protezione dei dati e sulla privacy prevenendo la fuga e la perdita di dati.

Un cambiamento di rotta

Da vari decenni i professionisti IT si affidano alle VPN per garantire un accesso remoto sicuro. Questa prassi è rimasta invariata anche con il numero sempre maggiore di utenti che ha iniziato a lavorare fuori dalla rete e ad accedere alle risorse aziendali attraverso i propri laptop o dispositivi mobili e le numerose applicazioni e infrastrutture che si spostano sul cloud.

Alla fine, i reparti IT e di sicurezza hanno dovuto rivalutare la pratica di connettere gli utenti in remoto alla rete interna in un contesto in cui sempre più utenti e applicazioni sono al di fuori di essa.

Il principale problema del vecchio modello di accesso remoto è che la sicurezza è vincolata alla rete. Oltre a una latenza più elevata, le organizzazioni che si affidano alla tecnologia VPN legacy devono affrontare un incremento del rischio in due aree principali:

1. Attendibilità intrinseca spesso eccessiva
2. Maggiore rischio di accesso alla rete dall'esterno

A differenza dell'approccio zero trust, le vecchie architetture "castle-and-moat", che fanno molto affidamento sulla VPN, spesso concedono l'attendibilità troppo facilmente. Questa filosofia imperfetta crea una rete "piatta", in cui l'autenticazione all'interno della rete aziendale viene determinata in base a indirizzi IP, controllo degli accessi basato sugli endpoint e altri fattori. Una volta all'interno di una rete piatta, l'utente può muoversi su tutta la rete aziendale.

In questo modo, gli utenti malintenzionati possono sfruttare la superficie di attacco della VPN per infiltrarsi nella rete e lanciare ransomware, attacchi di phishing, attacchi DoS e utilizzare altri mezzi per esfiltrare i dati aziendali critici.

L'approccio zero trust, al contrario, considera ostile tutto il traffico, incluso quello già all'interno del perimetro. Se i workload non vengono identificati tramite una serie di attributi basati sul contesto, non sono ritenuti attendibili e non possono quindi comunicare.

Come descriveremo di seguito, l'accesso remoto sicuro si è evoluto per soddisfare le esigenze di un mondo moderno sempre più orientato al cloud.

Ridefinire l'accesso remoto sicuro con lo ZTNA

Per rispondere alle esigenze moderne, i team IT stanno utilizzando il framework ZTNA (Zero Trust Network Access) (noto anche come perimetro definito da software [Software-Defined Perimeter, SDP]), per consentire agli utenti esterni alla rete di accedere in modo sicuro.  Lo ZTNA offre un accesso sicuro alle applicazioni aziendali private, siano esse ospitate su cloud pubblici, cloud privati o sul data center, senza la necessità di una VPN.

Questo approccio si basa su un modello di attendibilità adattivo, dove l'attendibilità non è mai implicita e l'accesso viene concesso solo in base ai principi della necessità d'uso (need-to-know) e dei privilegi minimi, mediante policy di sicurezza granulari. Queste soluzioni di sicurezza non richiedono l'utilizzo di apparecchi fisici e possono essere distribuite in qualsiasi ambiente per supportare tutte le applicazioni API REST.

Per essere considerata ZTNA, una soluzione deve rispettare questi quattro principi:

1. Lo ZTNA isola l'accesso alle applicazioni dall'accesso alla rete. Questo isolamento riduce i rischi per la rete, come l'infezione da dispositivi compromessi, e garantisce l'accesso alle applicazioni solo agli utenti autorizzati.
2. Le connessioni inside-out, ossia dall'interno verso l'esterno, dall'app verso un utente, assicurano che sia l'infrastruttura di rete che quella dell'applicazione siano rese invisibili agli utenti non autorizzati. Gli IP non sono mai esposti a Internet e creano una "darknet" impossibile da trovare.
3. La segmentazione delle app garantisce che, una volta autorizzati gli utenti, l'accesso alle applicazioni sia concesso su base one-to-one, in modo che gli stessi abbiano accesso solo ad applicazioni specifiche, anziché all'intera rete.
4. Lo ZTNA adotta un approccio da utente ad applicazione non incentrato sulla rete. La rete non è più l'elemento centrale; Internet è la nuova rete aziendale in cui microtunnel TLS cifrati end-to-end sostituiscono l'MPLS.

Perché lo ZTNA è più efficace della VPN per un accesso remoto sicuro

La trasformazione digitale ha rivoluzionato l'accesso remoto sicuro. Come abbiamo spiegato in precedenza, le VPN non sono più sufficienti per far fronte alle minacce avanzate e al volume di utenti che si connettono ad applicazioni private fuori dalla rete; questo può comportare alcuni gravi problemi per l'esperienza utente, la connettività, la sicurezza e la gestione.

Lo ZTNA, invece, offre un'esperienza migliore ai lavoratori da remoto ed elimina la necessità di effettuare l'accesso a una VPN. L'accesso risulta quindi molto fluido, indipendentemente dalle modifiche alla connettività di rete. Inoltre, lo ZTNA riduce la latenza di accesso e offre un'esperienza più rapida, indipendentemente dalla posizione.

Consente inoltre di migliorare il profilo di sicurezza, perché si abbandona la sicurezza della rete e ci si concentra sulla protezione della connessione tra utente e applicazione. L'accesso è concesso su base one-to-one e gli utenti autorizzati possono accedere solo ad applicazioni specifiche. Inoltre, il movimento laterale è impossibile e la superficie di attacco si riduce. La rete e le applicazioni risultano invisibili agli utenti non autorizzati, e gli IP non sono mai esposti; in questo modo, il rischio di subire attacchi basati su Internet diminuisce.

A differenza delle VPN, gli strumenti ZTNA sono facili da gestire, perché non è necessario installare, configurare e gestire apparecchi fisici. Lo ZTNA non si basa sugli indirizzi IP, quindi non è necessario gestire ACL, policy dei firewall o traduzioni. Possono anche essere applicate policy granulari a livello di applicazione e utente che consentono di ottenere una sicurezza mirata sulle applicazioni e di fornire agli utenti un accesso a privilegi minimi.

Scegliere un servizio di accesso remoto sicuro per rispondere alle esigenze di oggi

Le soluzioni ZTNA sono tutte basate sul concetto dell'attendibilità adattiva, ma lo ZTNA è disponibile in due versioni: ZTNA come soluzione indipendente e ZTNA come servizio.

Lo ZTNA come soluzione indipendente richiede la distribuzione e la gestione di tutti i componenti del prodotto. Inoltre, diversi provider di infrastrutture IaaS cloud offrono ai propri clienti funzionalità ZTNA. La soluzione ZTNA risiede all'edge dell'ambiente, nel data center o sul cloud, e agisce da broker per stabilire una connessione sicura tra utente e applicazione.

Ecco alcuni vantaggi dello ZTNA come soluzione indipendente:

• Si ha in mano il controllo diretto e la gestione dell'infrastruttura ZTNA, un aspetto che potrebbe essere necessario per rispondere ai requisiti di conformità
• I servizi IoT ospitati on-premise possono beneficiare di una velocità ottimizzata
• La velocità delle prestazioni può migliorare se gli utenti locali non devono connettersi a Internet per accedere alle app ospitate on-premise

Lo ZTNA come soluzione indipendente offre un maggiore controllo sull'ambiente, ma potrebbe non offrire i vantaggi di un servizio distribuito sul cloud.

Zscaler e lo ZTNA

L'altra opzione è lo ZTNA come servizio, come ad esempio Zscaler Private Access™ (ZPA). Si tratta di un servizio ospitato sul cloud in cui i clienti utilizzano l'infrastruttura cloud del provider per l'applicazione delle policy. L'organizzazione acquista solo le licenze utente e distribuisce connettori leggeri per le applicazioni front-end in tutti gli ambienti, mentre il provider offre la connettività, la capacità e l'infrastruttura necessarie.

Tra utenti e applicazioni sono stabilite connessioni inside-out, dall'interno verso l'esterno, che vengono mediate e consentono di separare l'accesso alle applicazioni dall'accesso alla rete senza esporre gli indirizzi IP a Internet.

Zscaler Private Access offre moltissimi vantaggi all'organizzazione, tra cui:

• Una distribuzione più semplice, in quanto non è necessario distribuire gateway ZTNA
• Una gestione semplificata, in quanto i servizi non sono ospitati in locale
• Selezione continua del percorso ottimale, per offrire la copertura globale della forza lavoro in remoto

Come risponde ZPA alle moderne sfide dell'accesso remoto sicuro

ZPA fornisce un accesso remoto sicuro alle applicazioni interne sul cloud senza collocare gli utenti sulla rete aziendale. Questo servizio cloud non richiede gateway VPN complessi per l'accesso remoto e utilizza policy ospitate sul cloud per autenticare l'accesso e instradare il traffico degli utenti verso la posizione dell'applicazione più vicina a loro.

ZPA è una soluzione definita da software in grado di funzionare insieme alla tecnologia di accesso diretto, che collega direttamente i data center dei clienti ai data center dei provider di servizi cloud attraverso Zscaler Zero Trust Exchange.