I rischi alla sicurezza degli ambienti BYOD (Bring Your Own Device) hanno stimolato discussioni intorno alla realizzazione delle VPN basate su IPsec (IP Security). Ma alcuni ritengono che anche SSL (Secure Sockets Layer) dovrebbe essere ricompreso nella discussione.
Nel corso degli ultimi anni, le reti private virtuali (VPN) hanno assunto un ruolo sempre più importante nelle strategie di sicurezza IT delle imprese. Allo stesso tempo, le fila dei lavoratori che accedono alle reti aziendali in remoto sono in rapida crescita, con la creazione di nuovi potenziali punti di pericolo che ne deriva. Secondo Gartner, il 40% della forza lavoro mondiale sarà mobile entro il 2016.
Una VPN dovrebbe essere il primo passo per garantire che tutti i dispositivi utilizzati dai lavoratori siano in grado di accedere in modo sicuro alla rete aziendale. Ora è il momento per le organizzazioni di fare sul serio con le strategie di sicurezza BYOD e trovare una VPN che supporti l’ambiente di lavoro odierno, in continua evoluzione e sempre più mobile.
I due principali tipi di VPN sono IPsec e SSL e ognuno ha vantaggi e svantaggi per gli utenti remoti.
Per troppo tempo, IPsec ha lottato contro la fama di essere ingombrante da implementare e gestire. Tuttavia, la sua capacità senza pari di proteggere i dati è raramente, se non mai, messa in discussione. Ora, attraverso i progressi compiuti sul fronte delle infrastrutture tecnologiche, IPsec è diventato facile da utilizzare, pur mantenendo la sua caratteristica di superiorità in ambito sicurezza.
Forse l’aspetto più vantaggioso delle VPN IPsec è la loro solida funzionalità. IPsec abilita un più ampio spettro di standard basati su protocolli aperti e algoritmi di autenticazione rispetto a SSL, che si basa principalmente sui certificati digitali di crittografia per l’autenticazione. Tali certificati, tipicamente emessi da un sistema di autorità di certificazione, possono essere afflitti da problemi di sicurezza alla fonte.
Al contrario, gli utenti registrati IPsec VPN raramente devono preoccuparsi di processi condotti in modo non corretto o che non funzionano a dovere durante il trasferimento dei dati. Ci sono grandi aspettative, oggi, sui lavoratori mobili e la capacità di IPsec di offrire un accesso sicuro alla rete nella sua totalità è da alcuni giudicata una scelta di gran lunga migliore rispetto a SSL, che può offrire accesso facile solo a specifiche risorse.
IPsec rappresenta un “tubo trasparente” per tutti i protocolli IP e le applicazioni, garantendo un accesso sicuro alla maggior parte dei dispositivi. Alcune delle applicazioni aziendali più popolari e necessarie lavorano senza problemi su connessioni IPsec, le stesse applicazioni che spesso pongono problemi agli utenti su connessioni SSL. Queste includono le applicazioni basate su UDP (User Datagram Protocol), con le applicazioni VoIP che ne rappresentano il sottoinsieme più vitale.
Le VPN IPsec sono in grado di integrare standard di sicurezza superiori attraverso una più ampia gamma di protocolli, tra cui le applicazioni SSL Web based. Con IPsec, l’esperienza per gli utenti finali è giudicata migliore dai più, paragonabile a quella dei lavoratori che si trovano fisicamente in ufficio.
L’implementazione di una VPN IPsec è sempre stata considerata complicata e laboriosa. Questa percezione era in realtà causata dal processo meticoloso inerente l’implementazione di IPsec, per fare in modo che ogni endpoint della rete sia correttamente rappresentato. Per aumentare ulteriormente la sicurezza, ogni dispositivo designato su una rete abilitata IPsec deve essere caricato con lo stesso software VPN. Questo deve essere fatto prima che il dispositivo sia registrato sulla nuova rete.
Al contrario, SSL è una scelta tecnologia basata su browser. Tuttavia, fino a quando viene eseguita unicamente la funzionalità di proxy Web, le reti SSL richiedono anche un client, quindi la predisposizione di privilegi di utente-cliente simili sul dispositivo. Questo client dovrà essere implementato tramite il browser in-band. Sebbene le VPN SSL non abbiano bisogno di software aggiuntivo out-of-band, hanno dato prova di essere in seguito più vulnerabili ai dispositivi esterni e indesiderati che si insinuano nella rete, un problema superato con le VPN IPsec.
Nel frattempo, i CSO e i responsabili della sicurezza delle informazioni (CISO) potranno agganciare nuove funzioni di sicurezza aggiuntive sui dispositivi, rendendo gli attacchi dannosi molto più difficili da realizzare. Esempi di tali funzioni di sicurezza aggiuntive includono i firewall dinamici gestiti, l’accesso hotspot (per mantenere il client sicuro anche all’interno di ambienti ostili) e le politiche di protezione degli endpoint, tutti elementi utili a garantire che il client abbia attivato tutte le componenti di sicurezza necessarie a proteggerlo in ogni momento. Quando queste funzioni di sicurezza aggiuntive sono combinate con la natura esclusiva di IPsec sulle interazioni client, il VPN agisce essenzialmente come una “guardiola custodita”, che vieta l’ingresso ai visitatori indesiderati.
Per i CIO, queste funzioni di sicurezza aggiuntive potrebbero comportare l’assunzione di maggiori costi operativi con IPsec. Questo è stato il “marchio di infamia” primario che IPsec ha portato con sé sin dai suoi esordi. Fortunatamente, i recenti progressi compiuti dalla tecnologia IPsec hanno mitigato il sovraccarico procedurale che tanto spaventava le imprese anni fa.
Utilizzo di SSL
Le VPN SSL sono state originariamente introdotte per affrontare varie limitazioni di IPsec, quali l’usabilità, l’interoperabilità e la scalabilità. Poiché è stato sviluppato per essere sistema operativo (OS)-agnostico, questo protocollo risulta adatto all’utilizzo all’interno di ambienti BYOD. In realtà, il client è un browser Web, che risulta già pre-installato su quasi ogni dispositivo di calcolo oggi in commercio.
SSL offre un preciso controllo degli accessi con la creazione di un tunnel cifrato sicuro per collegarsi ad applicazioni specifiche, piuttosto che all’intera rete aziendale. Gli amministratori IT hanno un controllo granulare dell’accesso alla rete, perché possono configurare i diritti di accesso alle applicazioni su base user-by-user.
Nel caso in cui un dipendente perda il proprio dispositivo, solo le applicazioni specificamente assegnate saranno accessibili da un potenziale attaccante e questo è un indubbio vantaggio rispetto al potenziale accesso alla totalità della rete aziendale che avviene tramite connessioni VPN trasparenti.
Tuttavia, non importa quale tecnologia VPN sia utilizzata, perché disattivare l’accesso VPN a qualsiasi utente dovrebbe essere una cosa per definizione facile e gestibile centralmente.
I recenti progressi compiuti sul fronte della tecnologia SSL offrono agli utenti l’accesso a più di una sola applicazione. I thin client possono essere scaricati e collegati a una VPN SSL tramite una sessione SSL, per accedere anche alle applicazioni non-HTTP-enabled.
Per garantire l’accesso completo e trasparente alla rete aziendale, sarà poi possibile installare dei fat client sul dispositivo di un utente, cosa questa che gli assicurerà l’accesso a tutta la rete aziendale e lo abiliterà al traffico attraverso una connessione SSL cifrata.
Trovare la giusta SSL VPN
La scelta di quale tipo di VPN SSL si debba utilizzare dipende da che tipo di applicazioni un utente finale potrebbe aver bisogno di accedere. L’opzione basata su browser funziona meglio per l’accesso alle applicazioni Web o il download di file e risulta la scelta più indicata per i lavoratori in mobilità che hanno bisogno di accedere al network aziendale da qualsiasi dispositivo, inclusi smartphone e tablet. I thin client e i fat client supportano una gamma più ampia di utilizzi, ma non hanno sufficiente compatibilità, cosa questa che li rende più adatti ai computer portatili e laptop.
Le soluzioni “miste”
Un’ulteriore opzione da prendere in considerazione, sia per la flessibilità che per la sicurezza, è quella che combina VPN SSL e IPsec in un’unica soluzione. Con una rete VPN ibrida sarà possibile fornire l’accesso agli utenti remoti su tutti i dispositivi e offrire l’esatto tipo di client e la connessione alla rete più adatta alle esigenze di ciascun utente finale.
Conclusioni
Con l’aumento della forza lavoro globale e la recente proliferazione di dispositivi mobili di proprietà e gestiti da dipendenti sia a casa che in ufficio, la decisione su quale VPN di impiegare non può essere trascurata o ignorata.
Non importa quale VPN si finisca per scegliere, è importante implementarne una che affronti al meglio le sfide del BYOD. Secondo un sondaggio di Symantec, una grande impresa può arrivare a perdere fino a 429mila dollari l’anno per il fatto di non aver implementato valide policy di gestione dei rischi per la sicurezza legati al BYOD. Tra questi, le perdite derivanti da una diminuzione della produttività, i costi finanziari diretti e la perdita di dati.