Le aziende usano da oltre due decenni le VPN per permettere a dipendenti, fornitori e altri soggetti di accedere ai dati interni, alle risorse e alle applicazioni ma, sfortunatamente, questo strumento non è oggi in grado di adattarsi ai cambiamenti tecnologici e alle nuove esigenze dal punto di vista della sicurezza. Le VPN non tengono più al sicuro le risorse aziendali, anche se era la loro funzione primaria, e le organizzazioni che in alternativa utilizzano i modelli zero-trust sono meglio attrezzate per gestire i rischi di sicurezza.
Definizione e limiti delle VPN
Le VPN tradizionali collegano i remote worker alle risorse private dell’azienda facendo il backhauling del traffico verso data center e applicazioni, una volta che il traffico viene spostato in una posizione centrale, vengono poi messe in atto le misure di sicurezza tradizionali. L’invenzione della VPN risale al 1996, si tratta quindi di uno strumento antico quasi quanto internet stesso e oggi, con il forte aumento degli attacchi informatici attivi e passivi, i limiti delle VPN sono diventati più visibili.
Le VPN concedono un’enorme fiducia agli utenti autenticati, permettendo loro di accedere anche a informazioni e risorse di cui non hanno bisogno, inoltre spesso mostrano problemi di prestazioni quando indirizzano il traffico attraverso data center centralizzati. Le applicazioni cloud che richiedono alta intensità di banda diventano anche piuttosto costose e, cosa più preoccupante, le VPN non sono adatte per difendersi dal cybercrime. Per esempio, se un utente che è già stato colpito o un hacker con credenziali rubate si connettono ad una rete interna attraverso una VPN, c’è il rischio che virus, ransomware e violazioni di dati si diffondano al suo interno: le VPN erano ideali prima del cloud, quando il modello di sicurezza legacy era un perimetro definito, basato su un’architettura a castello.
Il modello Zero trust e la sua implementazione
Il modello zero trust si basa su una logica molto semplice: non ci si deve fidare di nessun utente. Quando gli utenti vengono autenticati, invece, vengono collocati all’interno di una bolla di sicurezza, o perimetro definito dal software, e non hanno accesso a tutte le risorse ma solo a quelle per cui sono stati autorizzati. Anche se il computer dell’utente è compromesso da un soggetto remoto, non è in grado di accedere direttamente ad altri utenti o risorse, gli URL vengono offuscati e i dati sensibili nascosti alla vista.
In un modello zero trust ogni utente è sempre monitorato, usando identity aware proxy – tecnologie che sono in grado di monitorare i modelli di comportamento degli utenti e rilevare anomalie in tempo reale. Il modello zero-trust permette più controlli di sicurezza e genera registri che le VPN tradizionali non prevedono, come l’identificazione della posizione dell’utente e le cronologie relative all’utilizzo delle applicazioni.
Perché le aziende devono adottare modelli zero-trust
È troppo facile per le aziende adottare le VPN tradizionali, si tratta di una tecnologia storicamente affidabile, semplice da implementare e familiare agli utenti ma, per via delle gravi falle di sicurezza, è diventato necessario puntare su uno strumento alternativo per soddisfare le nuove esigenze legate all’attuale contesto
Quando le VPN legacy sono state adottate per la prima volta, le applicazioni basate sul cloud e molti problemi di scalabilità attuali non esistevano ancora. I fornitori esterni, l’espansione del cloud e il remote working hanno superano le capacità del sistema originale e, con il sopraggiungere di eventi imprevisti come una pandemia, le VPN mostrano la loro inadeguatezza. Inoltre, le reti non possono essere segregate con le VPN legacy nello stesso modo in cui possono esserlo con le architetture zero-trust, ciò che è però importante notare è che queste due tecnologie non sono necessariamente esclusive: le VPN possono essere riviste per funzionare all’interno di un’architettura zero-trust, una evoluzione che va incontro a chi trova questo sistema familiare.
VPN legacy e modello Zero Trust a confronto
Parte del problema con le VPN legacy sta nella tipologia di fiducia stessa su cui ci si vuole basare: nel modello VPN tradizionale, gli utenti sono limitati all’utilizzo di liste di accesso per linee di codice. Le grandi liste di accesso sono notoriamente difficili da gestire e hanno un potenziale rischio di errore elevato, inoltre, gli utenti vengono collocati in una sotto-rete VPN interna, che potenzialmente permette loro l’accesso alla rete interna. Le VPN tradizionali richiedono anche una connessione in entrata alla rete che costituisce una minaccia nel caso le credenziali VPN venissero rubate come è successo durante l’attacco Colonial Pipeline.
Per proteggere i dati e le risorse, molte aziende possono rivolgersi al modello zero trust ma esistono anche degli svantaggi che le aziende tradizionali dovrebbero considerare quando adottano questo tipo di protocolli. Se utilizzano vecchie applicazioni legacy possono avere problemi ad implementarle su reti zero-trust, oppure se hanno fatto investimenti significativi nell’architettura potrebbero non gradire il fatto di dover fare ulteriori spese. Altre motivazioni riguardano il controllo dei dati, la responsabilità che si ha su di essi e la possibilità di esercitarlo in modo sicuro al di fuori del perimetro di sicurezza tradizionale.
Nonostante le preoccupazioni, i modelli zero trust hanno molti punti di forza. Anche se non garantiscono sicurezza totale, consentono un miglior rilevamento delle violazioni e permettono di interrompere le connessioni più velocemente di una VPN tradizionale. Inoltre compartimentano le risorse, in modo da riuscire a mitigare i danni che potrebbero verificarsi. L’approccio zero trust aiuta le aziende a gestire le attuali emergenze e minimizza l’impatto delle sfide di domani. Essendo legato al cloud computing, permette anche una maggiore scalabilità riducendo gli investimenti necessari per l’implementazione. Per queste ragioni, le aziende più giovani e agili sono generalmente le prime a implementare con successo lo zero trust ma lo hanno fatto anche grandi e note aziende come Coca-Cola, Google e WestJet Airlines.
Mitigare i rischi di sicurezza con l’approccio zero-trust
Lo zero trust limita il cyber risk cambiando il modello di fiducia tradizionale e riducendo le connessioni in entrata per proteggere dati, risorse e applicazioni. Troppo spesso, le aziende si limitano a reagire alle minacce alla security dopo un attacco quando ormai gli aggressori potrebbero aver avuto accesso a risorse e dati business-critical. L’implementazione di modelli zero-trust permette alle organizzazioni di rivedere l’architettura dei propri sistemi rendendoli più efficienti da questo punto di vista come prima con le vecchie strutture VPN tradizionali non era possibile fare.