Un Software-Defined Perimeter (SDP) è un “framework di sicurezza di rete” che fornisce un accesso sicuro alle app aziendali e rappresenta una valida alternativa alle ben più conosciute VPN tradizionali inventate più di 20 anni fa, in un momento in cui tutte le applicazioni aziendali erano ospitate nei data center locali e la maggior parte dei dipendenti lavorava in sede.
Le architetture di infrastruttura Cloud, virtualizzazione e microservizi non esistevano ancora e il modello di sicurezza incentrato sul sito funzionava perfettamente per connettere alcuni pochi manager di alto livello che lavoravano da remoto al data center aziendale.
I metodi di lavoro oggi sono molto diversi. Il perimetro di rete per il quale le VPN sono state progettate come strumento di difesa si è sostanzialmente dissolto e per questo motivo sta prendendo piede proprio il concetto di Software-Defined Perimeter che consente alle organizzazioni di standardizzare la sicurezza dell’accesso remoto per tutti gli utenti, ridimensionarli in modo più economico e ridurre il potenziale rischio di attacchi.
Indice degli argomenti
Software-Defined Perimeter: fattore fondamentale della sicurezza
Un’azienda tipica ha dozzine e spesso centinaia di applicazioni ospitate su Cloud pubblici come Amazon AWS. Invece di pochi dipendenti remoti, il numero di utenti che lavorano da casa, alberghi, aeroporti e siti dei clienti è enorme. In Italia, per capirci, a causa della pandemia l’incremento dei dipendenti in forza tramite smart working è aumentato esponenzialmente.
Uno studio recente ha rilevato che il 70% dei professionisti lavora da remoto almeno un giorno alla settimana, mentre il 53% lavora da remoto almeno la metà della settimana.
Per questo motivo si è resa necessaria una nuova soluzione, o quella che viene spesso chiamata “una VPN di nuova generazione” per consentire l’accesso remoto alle reti aziendali distribuite di oggi.
Si sente dire da voci autorevoli della tematica che i requisiti di accesso aziendale stanno diventando sempre più complessi a causa delle dinamiche delle applicazioni, dell’adozione del Cloud e delle fusioni.
Per superare questa complessità, i professionisti tecnici dovrebbero quindi esplorare il Software-Defined Perimeter (SDP).
Il termine “perimetro” crea spesso confusione, poiché è tradizionalmente associato a un “perimetro di rete” ed elementi come zone demilitarizzate (DMZ), firewall, subnet e via dicendo.
Tuttavia, nonostante il termine un po’ confuso, il Software-Defined Perimeter (SDP) adotta l’approccio esattamente opposto.
A differenza delle architetture tradizionali che separano la rete aziendale dal mondo esterno mediante un perimetro fisso, SDP crea dinamicamente connessioni di rete punto-punto logico tra ciascun utente e le risorse a cui accede.
Per il resto, tutte le risorse di rete non autorizzate rimangono inaccessibili. Come implica il suo nome, un il Software-Defined Perimeter è implementato nel software su dispositivi, gateway, controller o server degli utenti finali. Può essere distribuito come prodotto autonomo (distribuito in sede nei data center) o come servizio (ospitato nel Cloud). In questo articolo ci concentriamo sugli SDP Cloud, forniti come servizio.
Definizione del perimetro definito dal software SDP
I Software-Defined Perimeter forniscono uno stretto controllo sull’accesso ai dati, riducendo la superficie di attacco e il rischio per la rete aziendale.
La fiducia in un modello di sicurezza incentrato sulla rete è probabilmente il limite di sicurezza principale delle VPN. Una volta che un utente remoto è autenticato, viene considerato attendibile, di conseguenza l’accesso VPN è eccessivamente permissivo, consentendo ai lavoratori remoti di accedere a più della rete di quanto sia necessario per completare le loro attività. Le risorse di rete sono inutilmente visibili, eccessivamente vulnerabili e aperte agli attacchi.
Un “perimetro definito dal software” d’altra parte, adotta un approccio di assenza di fiducia basato sull’identità che impone una policy “personalizzata” per ogni dispositivo dell’utente.
Ogni connessione viene considerata non attendibile e, pertanto, viene verificata continuamente. Gli utenti hanno un’identità unica e fissa e un amministratore IT deve concedere l’autorizzazione per una connessione uno a uno tra un utente e le risorse a cui ha bisogno per accedere.
Tutte le risorse di rete non autorizzate sono semplicemente invisibili.
Per quanto concerne l’esposizione ad attacchi DDoS, i problemi sui gateway VPN tradizionali possono essere scoperti con metodi di ricognizione su finte vittime di attacchi DoS distribuiti (DDoS). Una soluzione SDP configurata in sede o, meglio ancora, ospitata su Cloud essenzialmente disabilita gli attacchi di ricognizione.
Funzionalità di accesso del Software-Defined Perimeter
Oltre alla sicurezza basata sull’identità, alcune soluzioni SDP forniscono funzionalità estese o ciò che viene chiamato “capacità di accesso di nuova generazione” (NGA), che include:
- correlazione tra accesso e comportamento dell’utente. Ad esempio, l’autenticazione e le verifica continue dell’utente e o del dispositivo a livello di pacchetto utilizzando la tecnologia di rete basata sull’identità;
- autenticazione a più fattori per ridurre le minacce di accesso;
- Single sign-on (SSO) per centralizzare la gestione delle identità.
A differenza dell’accesso eccessivamente permissivo delle VPN, gli SDP applicano un accesso limitato e basato sull’identificazione.
Accesso simultaneo a più app e Cloud
Le VPN non sono mai state progettate per Cloud ibridi e Cloud computing distribuito. Non è raro che un addetto alle vendite che lavora in remoto richieda l’accesso a un sistema di produzione nel data center, un app della catena di fornitura ospitata su AWS e un sistema CRM ospitato su Azure.
Facilitare questo accesso multi app e multi Cloud su larga scala per molti utenti non è così semplice con le classiche VPN. Non ha senso eseguire il backhaul del traffico degli utenti remoti attraverso le sedi aziendali solo per inviarlo nuovamente al Cloud pubblico pertinente.
L’alternativa per esempio come quella di configurare l’accesso sicuro direttamente a più Cloud pubblici è ingestibile. Dal punto di vista dell’utente finale, lavorare in remoto con più app utilizzando una VPN si traduce in un fastidioso flusso di connessione e disconnessione a risorse diverse.
In alcuni casi, gli utenti devono persino passare da un client VPN all’altro, mentre l’architettura SDP supporta intrinsecamente la connettività multi app e multi Cloud, consentendo ai client di stabilire e mantenere tunnel crittografati simultanei tra molte applicazioni e punti di servizio.
Con un sistema SDP ogni utente è esposto solo alle applicazioni specifiche di cui ha bisogno, indipendentemente dal data center in cui si trova. Rispetto alla gestione delle VPN in ciascuno dei nostri data center, questo è molto più semplice e conveniente per tutti.
Gestione semplificata
La gestione delle VPN aumenta la loro complessità in misura della quantità del numero di nuove applicazioni aziendali che vengono spostate nel Cloud.
Raramente una distribuzione Cloud coinvolge solo una singola istanza. Presso molti fornitori SaaS, il reparto IT deve fornire l’accesso a dozzine o centinaia di istanze in più providers Cloud, il che significa distribuire, configurare e mantenere VPN per ogni istanza richiesta.
Si consideri un’azienda SaaS in cui gli amministratori devono fornire l’accesso a 200 VPC su AWS e Azure, tramite connessioni VPN dedicate. Oltre a configurare un gateway privato virtuale per ogni AWS VPC, i file di configurazione corrispondenti devono essere installati e gestiti su ogni dispositivo gateway in ogni ufficio.
Questo può trasformarsi rapidamente in un incubo di gestione.
Nei data center le cose non sono molto diverse, le VPN sono spesso collocate tra un firewall esterno che gestisce il traffico Internet, e un firewall interno che gestisce gli elenchi di controllo degli accessi.
Queste policy devono essere sincronizzate tra i data center per mantenere una policy di sicurezza coerente, un sistema SDP offre un modello di gestione e amministrazione notevolmente più semplice per qualsiasi numero di data center e implementazioni Cloud.
Una console di amministrazione nel Cloud consente agli amministratori di eseguire l’onboarding di ciascuna risorsa di rete su una piattaforma SDP una volta, quindi di gestire tutte le policy centralmente nel Cloud, evitando la necessità di configurare e sincronizzare le diverse posizioni.
C’è poco da configurare o mantenere e aggiornare nel data center o VPC, poiché tutte le definizioni di logica e sicurezza vengono eseguite nella piattaforma Cloud SDP. Allo stesso modo, l’onboarding di nuovi dipendenti remoti è molto più semplice rispetto alla VPN perché si lavora a livello di ruoli.
Esperienza dell’utente finale migliorata
Per chiunque abbia utilizzato una VPN aziendale, avere a che fare con prestazioni lente e inaffidabili sono all’ordine del giorno. Peggio ancora se il lavoro coinvolge diverse applicazioni in più data center diversi o istanze Cloud, imponendo connessioni e disconnessioni ripetutamente da ogni applicazione remota.
Con un sistema SDP, l’esperienza dell’utente migliora notevolmente. Innanzitutto, un client SDP mantiene connessioni simultanee a molte applicazioni e instrada in modo trasparente il traffico alla destinazione appropriata.
Un utente può quindi lavorare contemporaneamente con più applicazioni, indipendentemente dalla loro posizione.
Una soluzione Software-Defined Perimeter basata su Cloud può fornire una presenza globale di gateway SDP o punti di presenza (PoP), che riduce la latenza e ottimizza il routing dei dati. Invece di connettersi a un data center remoto o un cloud, un utente viene automaticamente connesso al PoP più vicino, migliorando così le prestazioni e la qualità del servizio indipendentemente dalla posizione geografica.
Migliore scalabilità a costi inferiori
Il costo totale di proprietà (TCO) per la distribuzione e la manutenzione delle VPN aziendali aumenta rapidamente con l’espansione della VPN stessa.
Le appliance VPN firewall (virtuali o fisiche) possono essere costose e poiché il numero di data center, istanze Cloud e utenti remoti aumenta, le aziende devono acquistare capacità aggiuntiva per scalare e supportare la crescita.
Un fattore di costo aggiuntivo è rappresentato dai continui aggiornamenti e manutenzione dei dispositivi VPN, che consumano tempo per l’intero IT.
Tuttavia, il prezzo nascosto più grande delle VPN è il tempo del help desk per il supporto tecnico dell’utente finale, che copre l’installazione e la configurazione del software client VPN, nonché la risoluzione dei problemi in corso nella misura che la domanda aumenta.
Sfruttando una spina dorsale di PoP globali, una soluzione SDP distribuita nel Cloud può scalare fino a milioni di utenti simultanei, senza richiedere alcun investimento iniziale o manutenzione continua.
In sintesi, questo è quello che offre un client SDP, più semplice, che può essere installato in modo indipendente, e molte volte senza supporto da parte del IT.
Migrare dalla VPN al Software-Defined Perimeter
Un’ultima considerazione non da poco è che la transizione dalle VPN a una soluzione “perimetrale definita dal software” non richiede alcuna revisione completa dell’infrastruttura IT.
Un sistema SDP fornisce a dipendenti, consulenti, e utenti remoti un accesso conveniente e granulare a specifiche applicazioni Web o legacy, con una sicurezza più rigorosa e senza la necessità di una VPN convenzionale.
I vantaggi di un Software-Defined Perimeter rispetto a una VPN sono molti e giustificano appieno l’adozione di questa importante innovazione tecnologica di sicurezza.
