Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per accesso remoto sicuro?

Cosa si intende per accesso remoto sicuro?

Cos'è l'accesso remoto sicuro?

L'accesso remoto sicuro è un termine generico che si riferisce alle misure di sicurezza, alle policy e alle tecnologie utilizzate dalle organizzazioni per fornire l'accesso alla rete, ai dispositivi e alle applicazioni da una posizione esterna all'ufficio aziendale, con un elevato livello di sicurezza.

 

Come funziona?

L'accesso remoto sicuro consente ai dipendenti che si trovano al di fuori dell'ufficio di utilizzare le risorse di cui hanno bisogno per essere produttivi. Rappresenta un mezzo per connettersi a un data center, a una rete, ad applicazioni o a risorse cloud tramite i propri dispositivi in remoto e attraverso connessioni Internet Wi-Fi domestiche o pubbliche non protette, anziché attraverso una rete aziendale.

L'accesso remoto sicuro è un cuscinetto che si frappone tra l'endpoint degli utenti ibridi di oggi e Internet, e che consente a questi ultimi di stabilire connessioni remote riducendo al minimo il rischio di accesso non autorizzato.

Le tecnologie e le policy di accesso remoto sicuro variano da un'azienda all'altra, e ogni reparto IT ha le proprie installazioni, i propri requisiti e il proprio budget per fornire l'accesso sicuro da qualsiasi luogo.

 

Perché l'accesso remoto sicuro è importante?

Oggi, molte aziende assumono le persone in base alle qualifiche che hanno, e non al luogo in cui vivono. Il lavoro remoto e ibrido sono realtà destinate a rimanere e, con l'evoluzione delle minacce informatiche e le vulnerabilità ai massimi storici, l'accesso remoto sicuro è passato in cima alla lista delle priorità dei reparti IT e degli addetti alla sicurezza di tutto il mondo, indipendentemente dal settore.

In passato, i dipendenti lavoravano sulla rete dell'organizzazione, e tutte le applicazioni risiedevano nel data center collegato alla stessa. Tuttavia, con l'insorgere della pandemia di COVID-19, le aziende sono state costrette a passare rapidamente al lavoro da remoto per rimanere produttive e continuare a fare utili. Questo si è tradotto nell'adozione di soluzioni di accesso remoto per offrire agli utenti la possibilità di accedere alle applicazioni interne, come Microsoft 365, estendendole tramite la rete e in altri metodi.

Gli standard di sicurezza moderni sono drasticamente diversi da com'erano anche solo cinque anni fa, e il paradigma su cui si basano le tecnologie sicure di accesso remoto sta mutando rapidamente.

 

Il 72% delle organizzazioni ha intenzione di adottare o sta adottando lo zero trust.

Report sui rischi delle VPN nel 2021 condotto da Cybersecurity Insiders

Quali sono le tecnologie utilizzate per offrire l'accesso remoto sicuro?

Sul mercato esiste un'ampia varietà di soluzioni per l'accesso remoto. Diamo un'occhiata ad alcune di quelle più utilizzate oggi dalle organizzazioni.
 

Virtual Private Network (VPN)

È stata la prima soluzione per l'accesso remoto sicuro. Una VPN consente di accedere alla rete aziendale attraverso un tunnel che si interpone tra la rete e un utente in remoto. Dopo l'autenticazione, gli utenti dispongono di un accesso illimitato alla rete e possono spostarsi lateralmente sulla stessa.
 

Autenticazione a due fattori/a più fattori (2FA/MFA)

Con questo metodo, un utente ottiene l'accesso a una rete aziendale o alle risorse autenticandosi attraverso almeno due mezzi. Può trattarsi di una qualsiasi combinazione di password, indirizzo e-mail, desktop remoto, dispositivo mobile o persino dati biometrici, come l'impronta digitale. Se un utente non riesce ad eseguire l'autenticazione su entrambi o tutti i fronti, la richiesta viene rifiutata.
 

Single Sign-On (SSO)

L'SSO consente a un utente di accedere a tutte le risorse tramite un'unica forma di autenticazione, da qui il termine Single Sign-On (o accesso singolo, in italiano). Viene spesso utilizzato dalle aziende di ogni dimensione e dai privati per evitare di dover gestire diversi nomi utente e password.
 

Gestione dell'accesso privilegiato (Privileged Access Management, o PAM)

La PAM si riferisce all'unione di persone, processi e tecnologie per gestire l'accesso. Offre all'IT una maggiore visibilità sugli account, monitorandoli in tempo reale, bloccando gli attacchi informatici e le minacce interne, ottimizzando l'efficienza operativa e garantendo la conformità. Con la PAM, agli utenti viene concesso l'accesso solo alle risorse per cui hanno l'autorizzazione, e la gestione degli accessi è molto più rigorosa.

 

I vantaggi dell'accesso remoto sicuro

Le soluzioni di accesso remoto sicuro sono risorse preziose per un'organizzazione, e ti aiutano a:

  • Mantenere i dati sensibili al sicuro, proteggendo i dati dell'organizzazione, limitando l'accesso da fonti esterne e concedendolo solo mediante mezzi sicuri e controllati. In questo modo, è possibile ridurre notevolmente il profilo di rischio dell'organizzazione, un aspetto fondamentale data la quantità di minacce avanzate attualmente in circolazione.
  • Ridurre la superficie di attacco, grazie a una difesa ancora più efficace dalle minacce avanzate, che consente di ridurre il numero di vettori di attacco che i criminali informatici possono utilizzare per infiltrarsi negli endpoint in remoto. In questo modo, è possibile migliorare il profilo di sicurezza dell'organizzazione.
  • Ottenere e preservare la conformità, supportando l'organizzazione per evitare che risulti non conforme alle normative sulla privacy e sulla protezione dei dati, e prevenendo così la divulgazione e la perdita di questi ultimi.

 

Ero a casa quando WannaCry ci colpì. Si bloccò tutto, i computer furono criptati e la rete venne compromessa. Al tempo, mi connettevo alle applicazioni interne con l'SDP e pensai: "se stessi usando la mia VPN e qualcuno in ufficio avesse il malware, anch'io sarei a rischio di infezione". Tuttavia, con l'SDP ero comunque in grado di accedere in modo sicuro alle mie applicazioni interne, perché non venivo collegato alla rete. Ero più al sicuro a casa, sulla mia rete domestica, di quanto non fossi in ufficio; fu allora che mi resi conto che stavamo accedendo alle applicazioni private nel modo sbagliato.

Tony Fergusson, IT Infrastructure Architect MAN Energy Solutions

Un cambiamento di rotta

È da qualche decennio che i professionisti IT si affidano alle VPN per garantire un accesso remoto sicuro. Questa prassi è rimasta invariata anche quando un numero sempre maggiore di utenti ha iniziato a lavorare fuori dalla rete e ad accedere alle risorse aziendali attraverso i propri laptop o dispositivi mobili e un numero sempre maggiore di applicazioni e infrastrutture si è trasferito sul cloud. 

Alla fine, i reparti IT e di sicurezza hanno dovuto porsi una domanda sofferta: con così tanti utenti fuori dalla rete e così tante applicazioni sul cloud, ha senso collegare gli utenti in remoto alla rete interna?

Vincolare la sicurezza alla rete è il problema principale del vecchio modello di accesso remoto. Oltre a una latenza più elevata, le organizzazioni che si affidano alla tecnologia VPN legacy devono affrontare un incremento del rischio in due aree principali:

    1.   Attendibilità intrinseca spesso eccessiva

    2.   Maggiore rischio di accesso alla rete dall'esterno

A differenza di un approccio zero trust, le vecchie architetture a castello e fossato, che fanno molto affidamento sulla VPN, spesso concedono l'attendibilità troppo facilmente. Questa filosofia difettosa crea una rete "piatta", che per determinare l'autenticazione all'interno della rete aziendale, dipende da indirizzi IP, controlli degli accessi basati sugli endpoint e altri fattori. Una volta all'interno di una di queste reti piatte, l'utente può muoversi in tutta la rete aziendale.

In questo modo, gli utenti malintenzionati possono sfruttare la superficie di attacco VPN per infiltrarsi nella rete e lanciare ransomware, attacchi di phishing, attacchi DoS e utilizzare altri mezzi per esfiltrare i dati aziendali critici. 

Al contrario, l'approccio zero trust considera ostile tutto il traffico, incluso quello già all'interno del perimetro. Se i carichi di lavoro non vengono identificati da una serie di attributi basati sul contesto, non sono ritenuti attendibili e non possono comunicare.

Come descriviamo di seguito, l'accesso remoto sicuro si è evoluto per soddisfare le esigenze di un mondo moderno sempre più orientato al cloud. 

 

Ridefinire l'accesso remoto sicuro con lo ZTNA

Per rispondere alle esigenze moderne, i team IT stanno utilizzando il framework ZTNA (Zero Trust Network Access) (noto anche come perimetro definito da software [SDP]), per consentire agli utenti esterni alla rete di accedere in modo sicuro.  Lo ZTNA offre un accesso sicuro alle applicazioni aziendali private, siano esse ospitate su cloud pubblici, cloud privati o sul data center, senza la necessità di una VPN.

Questo approccio si basa su un modello adattivo, dove l'attendibilità non è mai implicita, e l'accesso viene concesso solo in base ai principi della necessità di conoscere e dei privilegi minimi, mediante policy di sicurezza granulari. Queste soluzioni di sicurezza non richiedono l'utilizzo di apparecchi fisici e possono essere distribuite in qualsiasi ambiente per supportare tutte le applicazioni API REST.

Per essere considerata ZTNA, una soluzione deve rispettare questi quattro principi:

  1. Lo ZTNA isola l'atto di fornire l'accesso alle applicazioni dall'accesso alla rete, riducendo in questo modo i rischi per quest'ultima, come le infezioni da dispositivi compromessi, e concedendo l'accesso alle applicazioni solo agli utenti autorizzati. 
  2. Le connessioni inverse dall'interno verso l'esterno, ovvero dall'app all'utente, assicurano che le infrastrutture della rete e dell'applicazione siano rese invisibili agli utenti non autorizzati. Gli IP non sono mai esposti a Internet, creano una "darknet" e rendono la rete impossibile da individuare. 
  3. La segmentazione delle app garantisce che, una volta che gli utenti sono autorizzati, l'accesso alle applicazioni sia concesso su base singola, in modo che gli stessi abbiano accesso solo ad applicazioni specifiche, anziché all'intera rete. 
  4. Lo ZTNA adotta un approccio da utente ad applicazione, e non un approccio alla sicurezza incentrato sulla rete. La rete non è più l'elemento centrale, e Internet diventa la nuova rete aziendale, grazie a microtunnel TLS criptati end-to-end che sostituiscono l'MPLS.

 

Perché lo ZTNA è più efficace della VPN per un accesso remoto sicuro

La trasformazione digitale ha rivoluzionato l'accesso remoto sicuro. Come abbiamo già scritto, le VPN non sono più sufficienti per far fronte alle minacce avanzate e al volume di utenti che si connettono ad applicazioni private fuori dalla rete. Questo può comportare alcuni gravi problemi di esperienza utente, connettività, sicurezza e gestione. 

Lo ZTNA, invece, offre un'esperienza migliore ai lavoratori in remoto, ed elimina la necessità di effettuare l'accesso a una VPN, che aumenta la complessità. L'accesso è invece continuo, indipendentemente dalle modifiche alla connettività di rete. Inoltre, lo ZTNA riduce la latenza di accesso e offre un'esperienza più rapida, indipendentemente dalla posizione. 

Consente inoltre di migliorare il profilo di sicurezza, perché si abbandona la sicurezza della rete e ci si concentra sulla protezione della connessione tra utente e applicazione. L'accesso è concesso su base singola, e solo gli utenti autorizzati possono accedere ad applicazioni specifiche. Il movimento laterale è impossibile e la superficie di attacco è ridotta. La rete e le applicazioni sono invisibili agli utenti non autorizzati, e gli IP non vengono mai esposti; in questo modo, il rischio di subire attacchi basati su Internet diminuisce.

A differenza delle VPN, gli strumenti ZTNA sono facili da gestire, perché non è necessario installare, configurare e gestire degli apparecchi fisici. Lo ZTNA non si basa sugli indirizzi IP, quindi non è necessario gestire ACL, policy dei firewall o traduzioni. Possono essere applicate policy granulari a livello di applicazione e utente che consentono di ottenere una sicurezza focalizzata solamente sulle applicazioni e di fornire agli utenti un accesso a privilegi minimi.

Why a ZTNA approach to secure remote access is more effective than VPN

Scegliere un servizio di accesso remoto sicuro per rispondere alle esigenze di oggi

Le soluzioni ZTNA sono tutte basate sul concetto di affidabilità adattiva, ma lo ZTNA è disponibile in due versioni: ZTNA come soluzione indipendente e ZTNA come servizio.

Lo ZTNA come soluzione indipendente richiede la distribuzione e la gestione di tutti i componenti del prodotto. Inoltre, diversi provider cloud di infrastrutture IaaS offrono ai propri clienti funzionalità ZTNA. La soluzione ZTNA risiede all'edge dell'ambiente, nel data center o nel cloud, e agisce da broker per stabilire una connessione sicura tra utente e applicazione.

Ecco alcuni dei vantaggi dello ZTNA come soluzione indipendente:

  • Hai in mano il controllo diretto e la gestione dell'infrastruttura ZTNA, un aspetto che potrebbe essere necessario per rispondere ai requisiti di conformità 
  • I servizi IoT ospitati on-premise possono diventare più rapidi
  • La velocità delle prestazioni può migliorare se gli utenti locali non devono connettersi a Internet per accedere alle app ospitate on-premise

Lo ZTNA come soluzione indipendente offre un maggiore controllo sull'ambiente, ma potrebbe non offrire i vantaggi di un servizio distribuito sul cloud.

 

Zscaler e lo ZTNA

L'altra opzione è lo ZTNA come servizio, come Zscaler Private Access™ (ZPA). Si tratta di un servizio ospitato sul cloud in cui i clienti utilizzano l'infrastruttura cloud di un fornitore per l'applicazione delle policy. L'organizzazione acquista semplicemente le licenze utente e distribuisce connettori leggeri per le applicazioni front-end in tutti gli ambienti, mentre il provider offre connettività, capacità e infrastruttura. 

Tra utenti e applicazioni vengono stabilite connessioni inverse, dall'interno verso l'esterno, che vengono mediate e che consentono di separare l'accesso alle applicazioni dall'accesso alla rete, senza esporre gli indirizzi IP a Internet.

Zscaler Private Access offre moltissimi vantaggi all'organizzazione, tra cui:

  • Un'implementazione più semplice, poiché non è necessario distribuire gateway ZTNA 
  • Una gestione semplificata, perché i servizi non sono ospitati on-premise 
  • La costante selezione del percorso ottimale, per offrire la copertura globale della forza lavoro in remoto

 

Ecco in che modo ZPA risponde a tutte le sfide moderne dell'accesso remoto sicuro

Nello specifico, la soluzione ZPA offre un accesso remoto sicuro alle applicazioni interne che si trovano sul cloud, senza collocare gli utenti sulla rete aziendale. Il servizio cloud non richiede gateway VPN complessi per l'accesso remoto, e utilizza policy ospitate sul cloud per autenticare l'accesso e instradare il traffico degli utenti verso la posizione dell'applicazione più vicina a loro. 

ZPA è una vera soluzione definita da software, che può funzionare insieme alla tecnologia di accesso diretto e che collega direttamente i data center dei clienti ai data center dei provider di servizi cloud. Scopri come si inserisce in Zero Trust Exchange di Zscaler e come iniziare oggi stesso il tuo percorso verso lo zero trust.