Qual è la differenza tra SDP e VPN?

Che cos'è un perimetro definito dal software (SDP)?

Il perimetro definito da software (Software-Defined Perimeter, SDP) è un approccio alla sicurezza che concede l'accesso alle applicazioni interne in base all'identità dell'utente. In questo modello, l'attendibilità viene definita in base al contesto. Nell'approccio tradizionale, la sicurezza è centralizzata nel data center; l'SDP, invece, è fornito dal cloud ed è ovunque. L'autenticazione degli utenti finali e il loro accesso alle risorse sono determinati dalle policy aziendali; questo lo rende una parte importante della sicurezza delle organizzazioni incentrate sul cloud e sulla mobilità.

Concepiti per la prima volta dalla Defense Information Systems Agency (DISA) nel 2007, gli SDP si basano su un modello di "necessità d'uso" (need-to-know) che viene costantemente monitorato e adattato in base a una serie di criteri. Essi rendono l'infrastruttura applicativa invisibile a Internet, riducendo quindi la superficie di attacco presa di mira dagli attacchi basati sulla rete (DDoS, ransomware, malware, scansione dei server, ecc.).

La Cloud Security Alliance (CSA) ha mostrato da subito un interesse per questo concetto e ha iniziato a sviluppare il framework SDP. Nel 2011, anche se l'SDP era un concetto ancora nuovo, Google è stato tra i primi ad adottarlo, sviluppando la propria soluzione SDP nota con il nome di GoogleBeyondCorp. Oggi, le organizzazioni che adottano l'SDP stanno modernizzando la sicurezza di endpoint, cloud e applicazioni, soprattutto nel contesto del passaggio al lavoro da qualsiasi luogo.

Come funziona un SDP?

1. L'attendibilità non è mai implicita: la sicurezza della rete tradizionale attribuisce agli utenti un'attendibilità eccessiva. Con un SDP, l'attendibilità deve invece essere guadagnata. L'approccio SDP concede l'accesso all'applicazione solo agli utenti autenticati e specificamente autorizzati a utilizzarla. Inoltre, gli utenti autorizzati possono accedere solo a una determinata applicazione, non alla rete.
2. Nessuna connessione in entrata: diversamente da una rete privata virtuale (VPN), che controlla le connessioni in entrata, gli SDP non ricevono questo tipo di connessioni. Rispondendo solamente con connessioni in uscita, gli SDP mantengono la rete e l'infrastruttura applicativa invisibili o nascoste a Internet, rendendole quindi impossibili da attaccare.
3. Segmentazione delle applicazioni, non della rete: in passato, le organizzazioni dovevano eseguire complesse segmentazioni della rete per impedire a un utente (o a un'infezione) di muoversi lateralmente attraverso di essa.Questo metodo funzionava abbastanza bene, ma non era mai granulare e richiedeva una manutenzione costante. L'SDP offre una segmentazione nativa delle applicazioni, che consente di eseguire controlli individuali e ottenere quindi una segmentazione molto più granulare e più facile da gestire per il team IT.
4. Utilizzo sicuro di Internet: con gli utenti distribuiti ovunque e le applicazioni che si spostano all'esterno del data center, l'organizzazione deve abbandonare un approccio incentrato sulla rete. La sicurezza deve essere spostata dove si trovano gli utenti, e questo significa utilizzare Internet come nuova rete aziendale. L'SDP è incentrato sulla protezione delle connessioni da utente ad applicazione tramite Internet, e non sulla protezione dell'accesso degli utenti alla rete aziendale.

Dal punto di vista dell'architettura, l'SDP si differenzia in modo sostanziale dalle soluzioni incentrate sulla rete. Gli SDP eliminano i costi aziendali di distribuzione e gestione degli apparecchi; inoltre, l'adozione di un'architettura SDP semplifica lo stack di soluzioni in entrata, riducendo la dipendenza da VPN, protezione dai DDoS, bilanciamento del carico globale e apparecchi firewall.

I casi d'uso dell'SDP

Anche se l'SDP è in grado di affrontare molti casi d'uso, la maggior parte delle organizzazioni sceglie di iniziare con una delle seguenti quattro aree:

Protezione dell'accesso multicloud

Molte organizzazioni sfruttano un modello multicloud combinando servizi come Workday e Microsoft 365 e i servizi infrastrutturali di AWS e Azure. Possono inoltre utilizzare una piattaforma cloud per lo sviluppo, l'archiviazione cloud e altro. L'esigenza di tutelare questi ambienti porta le organizzazioni a scegliere gli SDP per la loro capacità di proteggere le connessioni in base alle policy, a prescindere da dove gli utenti si connettono o da dove sono ospitate le applicazioni.

Ridurre il rischio relativo a utenti esterni

La maggior parte degli utenti terzi riceve un accesso con privilegi eccessivi, che crea gap nella sicurezza dell'azienda. Gli SDP riducono notevolmente i rischi associati alle terze parti perché impediscono qualsiasi accesso alla rete da parte di utenti esterni e garantiscono che solo gli utenti autorizzati possano accedere alle applicazioni che hanno il permesso di utilizzare.

Accelerare l'integrazione di fusioni e acquisizioni

Negli approcci tradizionali a fusioni e acquisizioni, l'integrazione dell'IT può durare anni, perché le organizzazioni passano molto tempo a far convergere le reti e gestiscono la sovrapposizione degli indirizzi IP, che costituiscono delle operazioni incredibilmente complesse. Un SDP semplifica questo processo riducendo il tempo necessario per garantire il successo di fusioni e acquisizioni e fornendo all'azienda un valore immediato.

Sostituzione della VPN

Le organizzazioni stanno cercando di ridurre o eliminare l'utilizzo delle VPN, perché ostacolano l'esperienza utente, introducono rischi per la sicurezza e sono difficili da gestire. Gli SDP affrontano direttamente questi problemi noti delle VPN migliorando il funzionamento dell'accesso remoto. 

Cybersecurity Insiders afferma che il 41% delle organizzazioni sta cercando di rivalutare la propria infrastruttura di accesso sicuro e per questo prende in considerazione l'SDP; la maggior parte di queste aziende ha bisogno di una distribuzione IT ibrida, mentre un quarto di esse deve implementare il SaaS.

Ora che abbiamo trattato il funzionamento interno e i casi d'uso dell'SDP, diamo un'occhiata a una rete privata virtuale, o VPN.

Che cos'è una rete privata virtuale (VPN)?

Una rete privata virtuale (Virtual Private Network, VPN) è un tunnel cifrato che consente a un client di stabilire una connessione a Internet con un server senza entrare in contatto con il traffico Internet. Attraverso questa connessione VPN, l'indirizzo IP di un utente viene nascosto, offrendo così privacy online quando si accede a Internet o alle risorse della rete aziendale, anche su reti WiFi pubbliche o hotspot mobili e su browser pubblici come Chrome o Firefox.

Prima che si diffondesse la prima versione della VPN, nota come PPTP (Point-to-Point Tunneling Protocol), lo scambio sicuro di informazioni tra due computer richiedeva una connessione cablata, che era inefficiente e non pratica su larga scala. 

Con lo sviluppo degli standard di crittografia e l'evoluzione dei requisiti hardware per la costruzione di un tunnel wireless sicuro, il PPTP alla fine si è evoluto in quello che è oggi: il server VPN. Dato che può essere applicato in modalità wireless, quest'ultimo ha permesso alle aziende di ridurre le complicazioni e i costi legati a questo tipo di trasferimento sicuro di informazioni. Da qui, molte imprese, tra cui Cisco, Intel e Microsoft, hanno sviluppato i propri servizi VPN fisici o basati su software/cloud.

Come funziona una VPN?

Una VPN funziona prendendo una connessione standard da utente a Internet e creando un tunnel virtuale cifrato che collega l'utente a un dispositivo in un data center. Questo tunnel protegge il traffico in transito in modo che gli utenti malintenzionati che utilizzano web crawler e distribuiscono malware non possano rubare nessuna informazione dell'utente o dell'entità. Uno degli algoritmi di cifratura più comuni utilizzati per le VPN è l'Advanced Encryption Standard (AES), una crittografia a blocco simmetrico (chiave singola) progettata per proteggere i dati in transito.

Molto spesso, solo gli utenti autenticati sono in grado di inviare il proprio traffico attraverso il tunnel VPN. A seconda del tipo di VPN o del relativo fornitore, gli utenti potrebbero doversi autenticare nuovamente per far sì che il proprio traffico continui ad attraversare il tunnel e sia al sicuro dagli hacker.

Come viene usata la VPN dalle aziende

Le organizzazioni utilizzano le VPN come mezzo per proteggere gli utenti che lavorano da remoto e usano dispositivi mobili o altri endpoint potenzialmente non sicuri. Le imprese possono ad esempio fornire laptop Windows o Mac per consentire ai propri dipendenti di lavorare da casa, quando necessario. Naturalmente, questa modalità di lavoro è ormai diffusa come conseguenza della pandemia di COVID-19.

Le organizzazioni implementano le VPN per consentire agli utenti in remoto di accedere in modo sicuro alle risorse aziendali attraverso reti non protette quando sono a casa o ad esempio in un bar, in un hotel o altrove. La maggior parte dei fornitori di servizi Internet (ISP) dispone di protocolli di sicurezza ottimali per proteggere i dati non sensibili che circolano attraverso le reti domestiche. Tuttavia, quando si tratta dei dati sensibili, le misure di sicurezza delle reti Wi-Fi domestiche non sono abbastanza robuste per proteggerli, così le imprese vi sovrappongono i propri protocolli VPN per una maggiore sicurezza.

Le VPN consentono alle organizzazioni di interrompere il flusso predefinito del traffico dal router al data center e di inviarlo invece verso un tunnel cifrato, che protegge i dati e l'accesso a Internet da parte degli utenti che lavorano in remoto, riducendo (ma non eliminando) la superficie di attacco dell'azienda.

SDP e VPN a confronto: quali sono le differenze?

L'elemento che contraddistingue SDP e VPN è il metodo attraverso cui viene instaurata la connettività. Le VPN sono incentrate sull'IP e sulla rete e collegano i dispositivi degli utenti alle reti, mentre l'SDP fornisce connessioni sicure tra gli utenti autorizzati e le applicazioni autorizzate.

Con le soluzioni SDP, vengono stabilite connessioni dall'interno verso l'esterno tra utente e applicazione, anziché connessioni in entrata dal dispositivo verso la rete. Queste connessioni "inside-out" garantiscono che gli IP delle applicazioni non siano mai esposti a Internet, separando quindi l'accesso alle applicazioni dalla rete. Dato che gli utenti non ottengono l'accesso alla rete, la superficie di attacco è ridotta al minimo e gli utenti possono usufruire di un accesso veloce e diretto alle applicazioni, senza latenza dovuta alla rete. L'esperienza d'uso è quindi di gran lunga superiore rispetto a quella offerta dalle VPN.

Le organizzazioni stanno cercando di ridurre o eliminare l'utilizzo delle VPN , perché ledono l'esperienza utente, introducono rischi per la sicurezza e sono difficili da gestire. Gli SDP sono utili per risolvere tutte queste problematiche note delle VPN, migliorando il funzionamento dell'accesso remoto.

SDP e ZTNA (Zero Trust Network Access)

Il modello ZTNA è diventato un framework di sicurezza conosciutissimo, ma molte persone non si rendono conto che in realtà si basa sugli stessi principi dell'SDP. Lo ZTNA sfrutta infatti i principi e le funzionalità dell'SDP. In entrambi questi metodi, non esiste una rete interna, e gli utenti possono accedere alle risorse solo se il contesto della richiesta (utente, dispositivo, identità, ecc.) può essere convalidato.

Per aiutare le organizzazioni a raggiungere un livello di sicurezza così elevato, i fornitori promettono un framework ZTNA che consente alle organizzazioni di preservare la sicurezza di reti, dati e risorse sul cloud. Ma in realtà molti di questi framework non sono altro che piattaforme di sicurezza sul cloud inserite a forza negli apparecchi legacy o, peggio ancora, sono progettati da fornitori di servizi di rete che improvvisano in modo approssimativo un modulo di sicurezza nel tentativo di entrare nel settore.

Queste piattaforme non offrono la scalabilità, la flessibilità e soprattutto la sicurezza che può offrire una piattaforma costruita sul cloud e pensata per il cloud.

Zscaler, SDP e ZTNA

 Zscaler Zero Trust Exchange™ include Zscaler Private Access™ (ZPA), l'unica piattaforma ZTNA di nuova generazione del settore, basata sul principio dell'SDP. ZPA ridefinisce la connettività e la sicurezza delle app private per adattarle alla forza lavoro ibrida di oggi applicando il principio dei privilegi minimi, che offre agli utenti una connettività sicura e diretta alle applicazioni private on-premise o su cloud pubblico eliminando al contempo l'accesso non autorizzato e il movimento laterale.

Zscaler Private Access consente all'organizzazione di:

• Incrementare la produttività della forza lavoro flessibile, con un accesso rapido e senza interruzioni alle app private, sia che gli utenti siano a casa, in ufficio o in qualsiasi altro luogo.
• Mitigare il rischio di subire una violazione dei dati, rendendo le applicazioni invisibili agli aggressori e imponendo l'accesso a privilegi minimi. Tutto questo riduce la superficie di attacco ed elimina il movimento laterale.
• Fermare gli aggressori più avanzati con una protezione delle app private unica nel suo genere, che riduce al minimo il rischio di utenti compromessi e di aggressori attivi.
• Estendere la sicurezza zero trust ad app, workload e IoT, con la piattaforma ZTNA più completa al mondo, che consente l'accesso a privilegi minimi ad app private, workload e dispositivi OT/IIoT.

Ridurre la complessità operativa, con una piattaforma nativa del cloud che elimina le VPN tradizionali, difficili da scalare, gestire e configurare in un mondo cloud-first.