Le possiamo chiamare interne, anche se molto spesso non si trovano più confinate nelle mura aziendali. Sono le svariate applicazioni IT su cui un’impresa basa i propri processi di business. E che possono dover essere utilizzate da collaboratori o partner con connessioni che attraversano, in un senso o nell’altro, il sempre più indefinito perimetro del network aziendale.
Il tema dell’accesso remoto sicuro alle applicazioni continua a essere di attualità e, per molte organizzazioni, necessita di essere rivisitato. Per alcuni decenni, questo mondo non è cambiato molto: la quasi totalità delle applicazioni si trovava nei data center delle imprese ed era prevalentemente acceduta da dipendenti che lavoravano all’interno delle mura della sede d’impresa o in uffici periferici collegati alla casa madre attraverso reti WAN (Wide Area Network) costose, dedicate e impenetrabili. I non moltissimi utenti remoti erano costituiti da personale sul campo che si connetteva alle applicazioni residenti nel data center utilizzando reti pubbliche, ma con dispositivi messi a disposizione dalle aziende e dotati di applicativi per la realizzazione di VPN (Virtual Private Network), in grado di garantire quasi la stessa sicurezza della LAN (Local Area Network).
Negli ultimi anni è cambiato tutto. Con la crescita dell’utilizzo di applicazioni SaaS (Software-as-a-Service) e la migrazione di applicazioni “interne” dai data center on-premises al cloud, l’ecosistema delle applicazioni cosiddette “interne” è diventato sempre meno interno in senso fisico. E così, molto spesso, sono anche gli utenti che non lavorano all’esterno dell’azienda che si ritrovano ad accedere in modalità “remota” alle applicazioni messe a disposizione (o comunque approvate) dalle imprese.
Metodi tradizionali, user experience e produttività
Indipendentemente da dove si trovino effettivamente le business application, se nel data center, e quindi connesse alla LAN aziendale, o sul cloud, è giusto chiedersi oggi come il loro accesso remoto (tanto più che aumentano gli utenti mobili, gli smart worker, le terze parti stabilmente interconnesse con l’azienda ecc.) può essere reso sicuro, semplificato, performante ed economico.
Molti sistemi di remote access VPN sono rimasti praticamente identici a quelli che erano negli anni Novanta. Nei data center devono essere installati del VPN gateway in grado di ricevere le richieste di connessione da parte degli utenti remoti. Questi hanno installato sui propri dispositivi dei software VPN client che permettono di stabilire una connessione con i VPN gateway in modo rigorosamente criptato. Per gli utenti, abituati a utilizzare le applicazioni Internet e le app mobile semplicemente con un clic del mouse o un tap del dito su un touchscreen, dover avviare un VPN client per accedere alle applicazioni aziendali rappresenta sicuramente un’esperienza poco “user friendly” e rapida.
Ma al di là dell’aspetto ergonomico, va considerato anche quello della performance della user experience e della produttività associate alle tradizionali architetture di remote access security VPN-based. Se queste sono finalizzate alla messa in sicurezza dell’accesso remoto ad applicazioni installate non nel cloud ma on-premises (oppure è previsto che anche l’accesso alle cloud-based application passi attraverso il filtro del data center aziendale), è necessario che i VPN gateway installati nelle aziende siano in grado di gestire il traffico di dati nel modo più performante possibile. Se aumentano gli utenti remoti, i casi sono due: o l’azienda investe in VPN gateway più potenti (o ne installa di ulteriori), o la produttività degli utenti ne risente, con conseguenti rischi di perdita di opportunità di business.
I rischi del “tutti nella rete”
Un’altra problematica legata alla modalità tradizionale di gestione della sicurezza degli accessi remoti alle applicazioni è che tutti gli utenti, per poter accedere a queste, devono “transitare” sul network aziendale. E questo perfino nel caso in cui l’utente remoto debba accedere a un’application SaaS o implementata dall’azienda nella “nube” nel contesto di una strategia di hybrid cloud. Se si considera che un utente che non utilizza un endpoint che già si trova all’interno del perimetro aziendale, e quindi sottoposto al controllo di tutti i sistemi di security implementati on-premises, può essere più facilmente infettato da malware, va da sé che, se lo si obbliga a passare sul network aziendale, può essere facilmente veicolo di infezioni che possono diffondersi nell’azienda.
Requisiti per un moderno accesso remoto
Il nuovo panorama degli ecosistemi applicativi aziendali, sempre più ricchi di applicazioni eterogenee e installate su piattaforme differenti e mutevoli, impone quindi una modernizzazione anche del secure remote access.
Ecco alcuni obiettivi a cui molti esperti di sicurezza suggeriscono di puntare. Innanzitutto, si consiglia di non far passare anche i traffici applicativi remoti diretti ad applicazioni cloud dalla rete aziendale. Ovviamente vanno adottate altre modalità di protezione di queste connessioni. Fra i vantaggi di questa soluzione, in primo luogo si segnala la riduzione del rischio che dispositivi non sufficientemente “trusted” possano introdurre virus e altre minacce nel data center, sfruttando, paradossalmente, anche l’encryption delle connessioni VPN per eludere i sistemi di sicurezza on-premises. In secondo luogo gli utenti remoti che devono accedere ad applicazioni in cloud, possono farlo connettendosi ad esse in modo più diretto e performante.
Un secondo obiettivo è far sì che ogni utente possa accedere solo alle applicazioni di cui ha bisogno. Ispirandosi all’esperienza del Dark Web, che oggi è presa a spunto anche da alcune istituzioni militari, con l’aiuto di soluzioni disponibili sul mercato i network e security administrator possono far sì che tutti gli indirizzi IP che non corrispondono a risorse necessarie a un determinato end user siano invisibili. Questa misura contribuisce anche a ridurre il rischio che altri utenti esterni “malevoli” possano individuare sistemi contro i quali lanciare attacchi DDoS o connessioni in cui inserirsi con la tecnica del man-in-the-middle per sottrarre informazioni.
Dalle segmentazione per reti a quella per applicazioni
Con le tecniche di networking e security tradizionali, finora è stato possibile aumentare i livelli di sicurezza soprattutto attraverso la segmentazione delle reti in sottoreti, corrispondenti a determinati intervalli di indirizzi IP, nelle quali sono applicate determinate policy. Si tratta di un metodo, oltre che noioso, lungo e complesso. Un’altra metodologia applicata è quella di implementare ACL (Access control list) per ogni risorsa sensibile. In ogni ACL sono elencati gli indirizzi IP di tutti gli utenti che possono accedere e quali attività possono svolgere. Un rischio frequente con questo sistema è che, anche quando un utente lascia un’azienda o un dipartimento aziendali, possa continuare ad accedere alle applicazioni per cui era precedentemente abilitato.
L’alternativa a queste metodologie è perseguire una segmentazione dei sistemi IT non basata sulle reti, ma sulle applicazioni, e su questa base stabilire delle policy per cui a ogni specifico utente sono associate specifiche applicazioni. Tutte le altre possono addirittura risultare non solo non accessibili, ma neppure visibili.
Un cambiamento di questo tipo, sicuramente nell’ambito della sicurezza degli accessi remoti alle applicazioni, si può oggi più facilmente ottenere passando da un approccio basato sull’utilizzo di appliance installate nei data center a uno che sfrutta servizi di cloud security. Questi offrono ai responsabili del networking e della security la possibilità di non doversi più occupare della gestione delle appliance, della segmentazione delle reti con gli indirizzi IP e le ACL, ma di creare policy legate agli utenti di tipo “per app”.
A fare rispettare queste policy ci pensano tecnologie sviluppate e gestite da questi provider, fra le quali: user interface di amministrazione facili da usare, agenti software leggeri da installare sui dispositivi degli utenti per connettersi ai nodi globali del security cloud provider, e connettori verso le SaaS, le cloud-app e le applicazioni nel data center.
