Cos'è una VPN?

La storia della VPN

Il protocollo Point-to-Point Tunneling, ritenuto la genesi del trasferimento wireless sicuro dei dati, è stato rilasciato nel 1996. Prima del PPTP, lo scambio sicuro di informazioni tra due computer richiedeva una connessione cablata, che su larga scala risultava inefficiente e poco pratica a causa della quantità di infrastrutture fisiche necessarie. Per questo motivo, quando la sicurezza offerta da un cavo non era disponibile, tutti i dati trasferiti risultavano vulnerabili ad attacchi o furti.

Con lo sviluppo degli standard di crittografia e l'evoluzione dei requisiti hardware per la costruzione di un tunnel wireless sicuro, il PPTP alla fine si è evoluto in quello che è oggi: il server VPN. Dato che può essere applicato in modalità wireless, quest'ultimo ha permesso alle aziende di ridurre le complicazioni e i costi legati a questo tipo di trasferimento sicuro di informazioni. Da qui molte imprese, tra cui Cisco, Intel e Microsoft, hanno iniziato a sviluppare i propri servizi VPN fisici e virtuali.

Come funziona una VPN?

Una VPN funziona prendendo una connessione standard da utente a Internet e creando un tunnel virtuale cifrato che collega l'utente a un dispositivo in un data center. Questo tunnel protegge il traffico in transito in modo che gli utenti malintenzionati che utilizzano web crawler e distribuiscono malware non possano rubare nessuna informazione dell'utente o dell'entità. Uno degli algoritmi di cifratura più comuni utilizzati per le VPN è l'Advanced Encryption Standard (AES), una crittografia a blocco simmetrico (single-key, o chiave singola) progettata per proteggere i dati in transito.

Molto spesso, solo gli utenti autenticati sono in grado di inviare il proprio traffico attraverso il tunnel VPN. A seconda del tipo di VPN o del relativo fornitore, gli utenti potrebbero doversi autenticare nuovamente per far sì che il proprio traffico continui ad attraversare il tunnel e sia al sicuro dagli aggressori.

Tipi di VPN

Le VPN esistono per fornire una sicurezza pratica che può soddisfare esigenze o consentire di raggiungere scopi su scala ridotta. Ecco alcuni esempi di VPN:

VPN sul cloud: le VPN possono essere implementate su macchine virtuali per "abilitarle al cloud". Questa soluzione sfrutta le capacità hardware di una VPN e aggiunge (artificialmente) funzionalità cloud, come una maggiore scalabilità e la protezione degli endpoint. Sebbene queste soluzioni possano rivelarsi maggiormente utili per le aziende più ampie rispetto a una tipica soluzione VPN singola, potrebbero comunque non essere sufficientemente flessibili da supportare una forza lavoro da remoto o ibrida su larga scala.

VPN per dispositivi personali/mobili: le aziende come ExpressVPN e NordVPN offrono app VPN scaricabili per consentire agli utenti di proteggere i dati sui propri dispositivi personali. Si tratta di una buona misura da adottare se si naviga sul web su reti Wi-Fi non sicure. Sono disponibili anche alcune VPN gratuite per proteggere i dispositivi, che dopo un periodo iniziale diventano a pagamento.

VPN di accesso remoto: queste VPN sono progettate specificamente per gli utenti che lavorano fuori dall'ufficio in un contesto aziendale. Sono in genere implementate all'interno del data center aziendale, ma possono essere estese (a scapito delle prestazioni delle app e/o del web) per proteggere gli utenti in remoto da malware e altre minacce. Queste minacce sono diventate estremamente comuni dopo l'inizio della pandemia di COVID-19

A cosa servono le VPN?

Una VPN è uno strumento adatto a proteggere le filiali o i dipendenti da remoto su scala ridotta. Quando erano pochi i dipendenti che necessitavano di lavorare in viaggio o di connettersi, ad esempio, da un bar, le aziende potevano sfruttare un servizio VPN per distribuire un software client VPN che consentiva all'utente in remoto di stabilire una connessione sicura da un endpoint situato al di fuori del perimetro della rete.

In passato, quando tutti lavoravano dall'ufficio, le aziende impiegavano le VPN site-to-site persino per collegare due reti, come la rete aziendale e la rete di una filiale. Le VPN quindi si rivelano utili in una varietà di casi, in particolare per tenere gli utenti in remoto e delle filiali lontani dal traffico Internet. Tuttavia, con l'affermarsi del lavoro da remoto, sono sempre di più le aziende che si rendono conto che questi strumenti non offrono il grado di protezione necessario.

Come viene usata la VPN dalle aziende

Nei contesti professionali, le aziende utilizzano le VPN come mezzo per proteggere gli utenti che lavorano da remoto e usano dispositivi mobili o altri endpoint potenzialmente non sicuri. Le organizzazioni possono, ad esempio, fornire laptop Windows o Mac per consentire ai propri dipendenti di lavorare da casa, quando necessario. Naturalmente questa modalità di lavoro è ormai diffusa, come conseguenza della pandemia di COVID-19.

Le aziende implementano le VPN per consentire agli utenti in remoto di accedere in modo sicuro alle risorse aziendali tramite le proprie reti domestiche. La maggior parte dei fornitori di servizi Internet (ISP) dispone di protocolli di sicurezza ottimali per proteggere i dati non sensibili che circolano attraverso le reti domestiche. Tuttavia, quando si tratta dei dati sensibili, le sole misure di sicurezza delle reti Wi-Fi domestiche non sono sufficientemente robuste per fornire una protezione adeguata, e le imprese devono utilizzare protocolli VPN per preservarne la sicurezza.

Attraverso un provider VPN, le aziende utilizzano questi protocolli per interrompere il flusso predefinito di traffico dal router al data center e lo inviano, invece, su un tunnel cifrato che protegge i dati e rende sicuro l'accesso a Internet degli utenti in remoto, riducendo così la superficie di attacco dell'azienda, anche se su scala ridotta.

I vantaggi e le sfide dell'utilizzo di una VPN

Vantaggi

Le VPN possono semplificare la sicurezza di un'azienda o persino di un singolo individuo. Sono progettate principalmente per:

• Limitare le autorizzazioni: cosa succederebbe se chiunque potesse accedere a qualsiasi rete? Le VPN rispondono a questo problema richiedendo agli utenti di autenticarsi per entrare nella rete.
• Prevenire la limitazione della larghezza di banda: il tunnel cifrato di una VPN impedisce la visibilità dall'esterno e, in teoria, la larghezza di banda rimane più ampia e la velocità più elevata.
• Proteggere i dispositivi: i desktop da remoto, così come i dispositivi con sistemi operativi Android e iOS, possono essere protetti con l'aiuto di una VPN.

Sfide

Nonostante la promessa di questi vantaggi, le VPN possono presentare anche una serie di ostacoli e grattacapi per i reparti IT, o addirittura intensificare i rischi. Le VPN:

• Collocano gli utenti sulla rete: le VPN offrono intrinsecamente a dipendenti e terze parti un accesso diretto alla rete aziendale. Nel momento in cui un utente si collega alla rete tramite VPN, viene considerato "attendibile" senza alcuna verifica concreta del reale livello di attendibilità, e ha la possibilità di muoversi lateralmente sulla rete.
• Aumentano costi e complessità: il costo di un set completo di soluzioni gateway VPN aumenta man mano che i limiti di latenza e capacità impongono alle organizzazioni di replicare tali set in ciascuno dei loro data center.
• Non sono progettate per la scalabilità: le VPN sono, per loro natura, basate su hardware, e non sono progettate per crescere e garantire scalabilità per proteggere utenti, workload e applicazioni all'aumentare delle esigenze di un'organizzazione. Inoltre, il lavoro ibrido è ormai diffusissimo, e la maggior parte delle VPN non è in grado di gestire attività al di fuori di una sede aziendale o un numero corposo di dipendenti da remoto.

Le limitazioni della VPN nel business

Gran parte dei problemi legati alla sicurezza della rete tradizionale risiedono nell'infrastruttura VPN, che è inefficiente e non sicura, perché:

• Le VPN non sono in grado di impedire il movimento laterale delle minacce: sebbene possano mantenere i dati al sicuro attraverso dei tunnel cifrati su scala ridotta, non impediscono l'accesso alla rete aziendale nel suo complesso in caso di compromissione di un endpoint.
• Le VPN non sono efficacemente scalabili. Le VPN basate su hardware devono essere configurate manualmente, e i limiti della larghezza di banda tendono a richiedere distribuzioni ridondanti. Le VPN basate su software, invece, devono essere distribuite su ogni singolo dispositivo utente, limitando le modalità attraverso cui gli utenti possono lavorare.
• Le VPN non forniscono lo zero trust. Dopo l'autenticazione tramite VPN, un utente è collocato sulla rete, dove un hacker o un utente interno malintenzionato può muoversi lateralmente per accedere alle informazioni sensibili o sfruttare dall'interno le vulnerabilità non protette.

Nemmeno le migliori soluzioni VPN sono in grado di proteggere tutte le attività online, perché alcuni dei loro protocolli di crittografia potrebbero non riuscire a rispondere alle minacce avanzate di oggi.

Come influisce una VPN sulle prestazioni?

Le VPN possono fornire tunnel sicuri verso il data center di un'organizzazione, ma questi tunnel rischiano di limitare la rete a causa della maggiore larghezza di banda e delle funzionalità necessarie per inviare in modo sicuro il traffico da una rete domestica a un componente hardware in un data center. Sia le prestazioni che l'esperienza utente possono risultare notevolmente compromesse, e gli utenti potrebbero dover accedere ripetutamente alla VPN, un aspetto che causa frustrazione in questi ultimi.

Sicurezza della rete sul cloud: un'alternativa alla VPN

Man mano che le organizzazioni si abituano a modelli di lavoro flessibili e l'adozione del cloud diventa la norma, risulta evidente che un approccio vecchio stile basato sui firewall è troppo lento per il cloud e lo zero trust.

È invece necessaria una soluzione moderna e digitale, su misura per l'era del cloud e della mobilità: una soluzione di sicurezza con base cloud che separa la sicurezza dalla rete e applica le policy ovunque risiedano le app e ovunque si connettano gli utenti.

Spostando la sicurezza dalla rete al cloud, l'intero set di soluzioni di sicurezza della rete viene collocato ovunque vadano gli utenti. Le protezioni vengono applicate in modo uniforme, offrendo le stesse misure di sicurezza nelle filiali, nelle case degli utenti, nei terminal degli aeroporti o nelle sedi aziendali.

Rispetto alla sicurezza della rete tradizionale, una soluzione ideale di sicurezza con base cloud offre:

• Esperienza utente più veloce: il traffico utente segue il percorso più breve per raggiungere qualsiasi applicazione o destinazione Internet.
• Sicurezza di livello superiore: tutto il traffico Internet, incluso il traffico criptato, viene ispezionato, e i dati sulle minacce vengono correlati in tempo reale.
• Riduzione dei costi: non vi è più la necessità di acquistare ed eseguire costantemente interventi di manutenzione sulle apparecchiature, perché l'infrastruttura cloud si aggiorna continuamente.
• Gestione più semplice: una soluzione fornita come servizio riduce la complessità dovuta alla gestione di molteplici dispositivi non integrati.

Il passaggio a un set di soluzioni di sicurezza completo e fornito sul cloud garantisce agli utenti un accesso rapido, sicuro e basato sulle policy alle applicazioni private e di terze parti. Fai attenzione però, perché molte aziende di sicurezza pubblicizzano soluzioni fornite sul cloud e adatte al cloud, ma spesso si tratta di apparecchi legacy virtualizzati e riadattati. Solo Zscaler offre una sicurezza costruita sul cloud e per il cloud.

Zscaler Private Access™ (ZPA™)

Zscaler Private Access™ (ZPA™) è un servizio ZTNA (Zero Trust Network Access) fornito sul cloud che offre un accesso sicuro a tutte le applicazioni private, senza la necessità di una VPN per l'accesso remoto. ZPA fornisce un modello zero trust sfruttando il security cloud di Zscaler per offrire un accesso scalabile da remoto e in locale alle app aziendali, senza collocare mai gli utenti sulla rete. ZPA utilizza tunnel TLS microcifrati e policy aziendali applicate sul cloud per creare un segmento sicuro tra un utente autorizzato e un'applicazione specifica.

L'architettura unica e avviata da servizio di ZPA, in cui l'App Connector si connette in uscita al ZPA Public Service Edge, rende invisibili a Internet sia la rete che le applicazioni. Questo modello crea un ambiente isolato attorno a ciascuna applicazione, anziché attorno alla rete, e permette di eliminare il movimento laterale e la possibilità che i ransomware si diffondano.