Nel networking e nella security assistiamo a un paradosso: sempre più applicazioni utilizzate dalle aziende migrano o sono fruite sul cloud e un numero crescente di utenti lavora fuori dalla rete aziendale; ma nel contempo, per garantire l’accesso sicuro a queste applicazioni, anche gli end-user esterni sono costretti a connettersi alle sedi centrali tramite soluzioni di Virtual Private Networking (VPN), passare dal network del data center dell’headquarter, e da qui essere messi in comunicazione con le applicazioni in cloud, sparse spesso per il mondo.
Cos’è il software-defined perimeter
“L’alternativa al modello basato sulle VPN – spiega Marco Catino, Sales Engineer di Zscaler in Italia – c’è e si chiama software-defined perimeter, o SDP. Permette di creare già sul cloud un sistema di protezione user-centric e app-centric per le applicazioni, garantendo così che solo gli utenti autenticati e autorizzati possano raggiungerle. In questo modo si evita anche che sia necessario esporre su Internet tutte le applicazioni disponibili per l’accesso, comprese quelle cui non tutti gli utenti hanno diritto di accedere, con il rischio che l’end-user, magari un hacker che si è procurato le credenziali per altre applicazioni, una volta entrato nella rete possa compiere attività malevole”.
“Il modello SDP – continua Catino – esiste già da alcuni anni, ma finora la maggioranza delle aziende non lo utilizza perché mancavano soluzioni SDP enterprise, impiegando invece quello VPN, nato una trentina di anni fa quando la quasi totalità delle applicazioni girava all’interno del Datacenter on premise. Nel modello VPN, i responsabili IT installano un client VPN sul device dell’utente e gli attribuiscono un indirizzo IP. Quando l’utente vuole usare un’applicazione interna dell’azienda o SaaS, deve fare un log-in con l’app VPN, viene connesso con le appliance VPN del network aziendale, e quindi all’interno della rete dell’headquarter vengono creati tutti i ‘ponti’ sia verso app residenti on-premises, sia verso quelle in cloud”.
Zscaler Private Access: come si concretizza il modello SDP
Con questo paradigma, un utente esterno che ha bisogno di utilizzare, ad esempio, due app di due diversi dipartimenti dell’azienda, una delle quali gira su un data center AWS in un certo paese, e l’altra in una server farm Azure in un’altra region, deve spesso effettuare due connessioni VPN distinte, oppure transitare nel network on-premises, e da qui essere ridiretto verso i data center dei cloud service provider con costose connessioni MPLS. Zscaler propone in alternativa a questo articolato processo Zscaler Private Access (ZPA): “Con ZPA – conclude Catino – l’utente si collega al nostro cloud tramite la Z-App, si autentica, e può utilizzare anche più applicazioni residenti su cloud diversi. In ogni Datacenter, compreso quello on-premise, vengono installate delle Virtual Appliance (ZPA Connector) che si connettono in modalità solo outbound al Cloud Zscaler e consentono l’accesso all’application interessata tramite il data center Zscaler a maggior performance per quella sessione. Con ZPA si passa dalla sicurezza basata su segmentazioni network-centrica, a una application- e access- centric. L’utente vede solo l’applicazione cui ha diritto di accedere, con i permessi minimi che gli sono stati accordati”.