Zpedia 

/ Qual è la differenza tra SDP e VPN?

Qual è la differenza tra SDP e VPN?

La differenza tra un perimetro definito da software (SDP) e una rete privata virtuale (VPN) è che, mentre una VPN tradizionale pone una barriera attorno a un'intera rete aziendale, un SDP rende obsoleto il perimetro della rete posizionando efficacemente policy e controlli di sicurezza attorno al software, riducendo così le autorizzazioni a una base workload-workload o app-app, senza quindi implementare la tipica architettura basata sul perimetro.

Leggi il nostro Report del 2023 sui rischi della VPN
Zero TrustProtezione dalle minacce informaticheLa forza lavoro flessibileSicurezza della reteSicurezza sul cloud
  1. Cosa si intende per SDP?
  2. Come funziona un SDP
  3. I casi d'uso dell'SDP
  4. Cos'è una VPN?
  5. Come funziona una VPN
  6. Casi d'uso della VPN
  7. SDP o VPN
  8. SDP e ZTNA
  9. Zscaler ZTNA
  10. Risorse suggerite
  11. Domande frequenti
  12. Argomenti correlati

Che cos'è un perimetro definito dal software (SDP)?

Il perimetro definito da software (Software-Defined Perimeter, SDP) è un approccio alla sicurezza che concede l'accesso alle applicazioni interne in base all'identità dell'utente. In questo modello, l'attendibilità viene definita in base al contesto. Mentre nell'approccio tradizionale la sicurezza è centralizzata nel data center, l'SDP è fornito attraverso il cloud ed è ovunque. L'autenticazione degli utenti finali e il loro accesso alle risorse sono determinati dalle policy aziendali, che sono una componente importante della sicurezza delle organizzazioni incentrate sul cloud e sulla mobilità.

Concepiti per la prima volta dalla Defense Information Systems Agency (DISA) nel 2007, gli SDP si basano su un modello di "necessità d'uso" (need-to-know) che viene costantemente monitorato e adattato in base a una serie di criteri. Essi rendono l'infrastruttura applicativa invisibile a Internet, riducendo quindi la superficie di attacco presa di mira dagli attacchi basati sulla rete (DDoS, ransomware, malware, scansione dei server, ecc.).

La Cloud Security Alliance (CSA) ha mostrato da subito un interesse per questo modello e ha quindi iniziato a sviluppare il framework SDP. Nel 2011, anche se l'SDP era un concetto ancora nuovo, Google è stata tra le prime aziende ad adottarlo, sviluppando la propria soluzione SDP nota con il nome di Google BeyondCorp. Oggi, le organizzazioni che adottano l'SDP stanno modernizzando la sicurezza di endpoint, cloud e applicazioni, soprattutto nel contesto del passaggio al lavoro da qualsiasi luogo.

Come funziona un SDP?

  1. L'attendibilità non è mai implicita: la sicurezza di rete tradizionale offre agli utenti un'attendibilità eccessiva, mentre in un modello SDP l'attendibilità viene sempre verificata. In altre parole, gli approcci SDP concedono l'accesso alle applicazioni solo agli utenti autenticati e specificamente autorizzati a utilizzarle. Inoltre, gli utenti autorizzati possono accedere solo a determinate applicazioni, non alla rete.
  2. Assenza di connessioni in entrata: diversamente da una rete privata virtuale (VPN), che controlla le connessioni in entrata, gli SDP non ricevono questo tipo di connessioni. Rispondendo solamente con connessioni in uscita, gli SDP mantengono la rete e l'infrastruttura applicativa invisibili o nascoste a Internet, rendendole quindi impossibili da attaccare.
  3. Segmentazione delle applicazioni, non della rete: in passato, le organizzazioni dovevano eseguire complesse segmentazioni della rete per impedire a un utente (o a un'infezione) di muoversi lateralmente attraverso di essa. Questo metodo funzionava abbastanza bene, ma non era mai granulare e richiedeva una manutenzione costante. L'SDP offre una segmentazione nativa delle applicazioni, che consente di eseguire controlli one-to-one e ottenere quindi una segmentazione molto più granulare e più facile da gestire per il team IT.
  4. Utilizzo sicuro di Internet: con gli utenti distribuiti ovunque e le applicazioni che si spostano al di fuori del data center, le organizzazioni devono abbandonare l'approccio incentrato sulla rete. È necessario spostare la sicurezza nei luoghi in cui si trovano gli utenti, e questo significa utilizzare Internet come nuova rete aziendale. L'SDP è incentrato sulla protezione delle connessioni da utente ad applicazione tramite Internet, e non sulla protezione dell'accesso degli utenti alla rete aziendale.

Dal punto di vista architetturale, l'SDP si differenzia in modo sostanziale dalle soluzioni incentrate sulla rete. Gli SDP eliminano i costi aziendali di distribuzione e gestione degli apparecchi fisici; inoltre, l'adozione di un'architettura SDP semplifica lo stack di soluzioni in entrata, riducendo la dipendenza da VPN, protezione dai DDoS, bilanciamento del carico globale e apparecchi firewall.

I casi d'uso dell'SDP

Anche se l'SDP è in grado di affrontare molti casi d'uso, la maggior parte delle organizzazioni sceglie di iniziare con una delle seguenti quattro aree:

Protezione dell'accesso multicloud

Molte organizzazioni usano un modello multicloud, ad esempio combinando Workday, Microsoft 365 e i servizi infrastrutturali di AWS e Azure. Possono inoltre utilizzare una piattaforma cloud per lo sviluppo, l'archiviazione sul cloud e altro ancora. La necessità di proteggere questi ambienti porta le organizzazioni a ricorrere all'SDP per la sua capacità di proteggere le connessioni sulla base di policy, indipendentemente da dove si connettono gli utenti o da dove sono ospitate le applicazioni.

Riduzione del rischio associato agli utenti terzi

La maggior parte degli utenti terzi riceve un accesso con privilegi eccessivi, con conseguenti lacune nella sicurezza dell'azienda. Gli SDP riducono significativamente il rischio associato a terzi garantendo che gli utenti esterni non ottengano mai l'accesso alla rete, e che gli utenti autorizzati abbiano accesso solo alle applicazioni che possono di fatto utilizzare.

Accelerazione di fusione e acquisizioni

Nelle operazioni tradizionali di fusione e acquisizione, l'integrazione dell'IT può durare anni, perché le organizzazioni passano molto tempo a far convergere le reti e a gestire la sovrapposizione degli indirizzi IP, entrambe operazioni incredibilmente complesse. Un SDP semplifica questo processo riducendo il tempo necessario per garantire il successo di fusioni e acquisizioni e fornendo all'azienda un valore immediato.

Sostituzione delle VPN

Le organizzazioni stanno cercando di ridurre o eliminare l'utilizzo delle VPN perché ostacolano l'esperienza utente, introducono rischi per la sicurezza e sono difficili da gestire. Gli SDP affrontano direttamente questi problemi noti delle VPN migliorando le funzionalità di accesso remoto. 

Cybersecurity Insiders afferma infatti che il 41% delle organizzazioni sta riconsiderando la propria infrastruttura per l'accesso sicuro e prendendo in considerazione l'SDP; inoltre, la maggior parte di queste aziende ha bisogno di una distribuzione IT ibrida, mentre un quarto di esse di un modello SaaS.

Ora che abbiamo trattato il funzionamento interno e i casi d'uso dell'SDP, diamo un'occhiata a una rete privata virtuale, o VPN.

Che cos'è una rete privata virtuale (VPN)?

Una rete privata virtuale (Virtual Private Network, VPN) è un tunnel cifrato che consente a un client di stabilire una connessione a Internet con un server senza entrare in contatto con il traffico Internet. Attraverso questa connessione VPN, l'indirizzo IP di un utente viene nascosto, offrendo così privacy online quando si accede a Internet o alle risorse della rete aziendale, anche su reti Wi-Fi pubbliche o hotspot mobili e su browser pubblici come Chrome o Firefox.

Prima che si diffondesse la prima versione della VPN, nota come PPTP (Point-to-Point Tunneling Protocol), lo scambio sicuro di informazioni tra due computer richiedeva una connessione cablata, che era inefficiente e impraticabile su larga scala. 

Con lo sviluppo degli standard di crittografia e l'evoluzione dei requisiti hardware per la costruzione di un tunnel wireless sicuro, il PPTP alla fine si è evoluto in quello che è oggi: il server VPN. Dato che può essere applicato in modalità wireless, quest'ultimo ha permesso alle aziende di ridurre le complicazioni e i costi legati a questo tipo di trasferimento sicuro di informazioni. Da qui, molte imprese, tra cui Cisco, Intel e Microsoft, hanno sviluppato i propri servizi VPN fisici o basati su software/cloud.

Come funziona una VPN?

Una VPN funziona prendendo una connessione standard da utente a Internet e creando un tunnel virtuale cifrato che collega l'utente a un dispositivo in un data center. Questo tunnel protegge il traffico in transito in modo che gli utenti malintenzionati che utilizzano web crawler e distribuiscono malware  non possano rubare nessuna informazione dell'utente o dell'entità. Uno degli algoritmi di cifratura più comuni utilizzati per le VPN è l'Advanced Encryption Standard (AES), una crittografia a blocco simmetrico (single-key, o chiave singola) progettata per proteggere i dati in transito.

Molto spesso, solo gli utenti autenticati sono in grado di inviare il proprio traffico attraverso il tunnel VPN. A seconda del tipo di VPN o del relativo fornitore, gli utenti potrebbero doversi autenticare nuovamente per far sì che il proprio traffico continui ad attraversare il tunnel e sia al sicuro dagli hacker.

Come viene usata la VPN dalle aziende

Le organizzazioni utilizzano le VPN come mezzo per proteggere gli utenti che lavorano da remoto e usano dispositivi mobili o altri endpoint potenzialmente non sicuri. Le imprese ad esempio solitamente forniscono laptop Windows o Mac per consentire ai propri dipendenti di lavorare da casa, quando necessario; naturalmente, questa modalità di lavoro si è ormai enormemente diffusa a seguito della pandemia di COVID-19.

Le organizzazioni implementano le VPN per consentire agli utenti in remoto di accedere in modo sicuro alle risorse aziendali attraverso reti non protette quando sono a casa o ad esempio in un bar, in un hotel o altrove. La maggior parte dei fornitori di servizi Internet (Internet Service Provider o ISP) dispone di protocolli di sicurezza ottimali per proteggere i dati non sensibili che circolano attraverso le reti domestiche; tuttavia, quando si tratta di dati sensibili, le misure di sicurezza delle reti Wi-Fi domestiche non sono abbastanza robuste, così le imprese vi sovrappongono i propri protocolli VPN per potenziarne la difesa.

Le VPN consentono alle organizzazioni di interrompere il flusso predefinito del traffico dal router al data center e di inviarlo invece verso un tunnel cifrato, che protegge i dati e l'accesso a Internet da parte degli utenti che lavorano in remoto, riducendo (ma non eliminando) la superficie di attacco dell'azienda.

SDP e VPN a confronto: quali sono le differenze?

L'elemento che contraddistingue SDP e VPN è il metodo attraverso cui viene instaurata la connettività. Le VPN sono incentrate su IP e rete e collegano i dispositivi degli utenti alle reti, mentre l'SDP fornisce connessioni sicure tra gli utenti autorizzati e le applicazioni autorizzate, non tra utenti e rete.

Con le soluzioni SDP, vengono stabilite connessioni inside-out, ossia dall'interno verso l'esterno, tra utente e applicazione, anziché connessioni in entrata dal dispositivo verso la rete. Tali connessioni inside-out garantiscono che gli IP delle applicazioni non siano mai esposti a Internet, separando quindi l'accesso alle applicazioni da quello alla rete. Dato che gli utenti non ottengono l'accesso alla rete, la superficie di attacco risulta quindi ridotta al minimo, e gli utenti possono usufruire di un accesso veloce e diretto alle applicazioni, senza la latenza della rete. L'esperienza d'uso è quindi di gran lunga superiore rispetto a quella offerta dalle VPN,

motivo per cui le organizzazioni stanno cercando di ridurre o eliminare l'utilizzo di queste ultime. Le VPN causano infatti una scarsa esperienza utente, introducono rischi per la sicurezza e sono difficili da gestire. Gli SDP risolvono direttamente tutte queste problematiche migliorando il funzionamento dell'accesso remoto.

SDP e ZTNA (Zero Trust Network Access)

Il modello ZTNA è diventato un framework di sicurezza conosciutissimo, ma molte persone non si rendono conto che in realtà si basa sugli stessi principi dell'SDP. Lo ZTNA impiega infatti i principi e le funzionalità dell'SDP e, in entrambi questi metodi, non esiste una rete interna, e gli utenti possono accedere alle risorse solo se il contesto associato alla richiesta (utente, dispositivo, identità, ecc.) può essere convalidato.

Per aiutare le organizzazioni a raggiungere un livello di sicurezza elevato, i fornitori promettono framework ZTNA che consentono di preservare la sicurezza di reti, dati e risorse sul cloud. Tuttavia, molti di questi in realtà non sono altro che piattaforme di sicurezza sul cloud inserite a forza in apparecchi legacy o, peggio ancora, sono progettate da fornitori di servizi di rete che improvvisano un modulo di sicurezza nel tentativo di farsi strada nel settore.

Queste piattaforme non offrono la scalabilità, la flessibilità e soprattutto la sicurezza che una piattaforma costruita sul cloud e pensata per il cloud può offrire.

Zscaler, SDP e ZTNA

Zscaler Zero Trust Exchange™ include Zscaler Private Access™ (ZPA), l'unica piattaforma ZTNA di nuova generazione del settore, costruita sui principi di un SDP. ZPA ridefinisce la connettività e la sicurezza delle app private per la forza lavoro ibrida di oggi applicando il principio dei privilegi minimi, che offre agli utenti una connettività sicura e diretta alle applicazioni private eseguite on-premise o sul cloud pubblico, eliminando al contempo gli accessi non autorizzati e il movimento laterale.

Zscaler Private Access offre alla tua organizzazione il potere di:

  • Incrementare la produttività della forza lavoro ibrida con un accesso rapido e senza interruzioni alle app private, che i tuoi utenti siano a casa, in ufficio o in qualsiasi altro luogo.
  • Mitigare il rischio di subire violazioni dei dati rendendo le applicazioni invisibili agli aggressori e imponendo l'accesso a privilegi minimi, riducendo così al minimo la superficie di attacco ed eliminando il movimento laterale.
  • Bloccare gli aggressori più avanzati con una protezione delle app private unica nel suo genere, che riduce al minimo il rischio di utenti compromessi e di aggressori attivi.
  • Estendere la sicurezza zero trust ad app, workload e dispositivi IoT con la piattaforma ZTNA più completa al mondo, che consente di applicare l'accesso a privilegi minimi ad app private, workload e dispositivi OT/IIoT

Ridurre la complessità operativa con una piattaforma nativa del cloud che elimina le VPN tradizionali, che sono difficili da scalare, gestire e configurare in un mondo incentrato sul cloud.

promotional background

Le VPN lasciano le reti esposte agli attacchi. Abbandona le VPN in modo semplice grazie a Zscaler.

Scopri di più

Risorse suggerite

Perché lo ZTNA è la migliore alternativa alla VPN
Visita la nostra pagina web
Cos'è una VPN?
Leggi l'articolo
Che cos'è un perimetro definito da software?
Leggi l'articolo
Zscaler Private Access
Visita la nostra pagina web
L'uso dell'SDP come alternativa alla VPN: 6 domande frequenti degli amministratori
Leggi il blog
Tre motivi per cui gli SDP, e ora lo ZTNA, stanno sostituendo le VPN
Leggi il blog
01 / 04
FAQ