In un mondo sempre più connesso e digitale, la sicurezza informatica, ormai lo sappiamo, è priorità assoluta per le aziende. C’è però un servizio che continua a resistere, in modo stoico, a questo cambiamento tecnologico fatto di cloud, che molte volte mette a rischio questo concetto: la VPN.
Per oltre 20 anni è stato, ed è tuttora, il punto cardine di molte realtà, per consentire agli utenti di accedere alle risorse aziendali, quando questi si trovano in giro.
Le VPN, però, presentano vari problemi sia in termini di sicurezza che di configurazione. Dal punto di vista della sicurezza, le VPN possono essere vulnerabili ad attacchi, specialmente se le configurazioni non sono aggiornate o se i protocolli utilizzati non sono i più sicuri – negli ultimi anni abbiamo visto un fioccare di CVE che vanno a sfruttare proprio questo servizio.
A livello di configurazione, le VPN possono essere complesse da implementare e mantenere, richiedendo una gestione continua e competenze tecniche specifiche. Inoltre, le VPN tradizionali spesso non offrono la possibilità di vincolare l’accesso in base al riconoscimento dei client, il che può portare a lacune nella sicurezza, permettendo l’accesso a utenti non autorizzati o dispositivi non conformi alle politiche aziendali – l’unico brand che supporta un’integrazione VPN avanzata è Fortinet, grazie alla possibilità di utilizzare il Conditional Access di Microsoft per definire gli accessi solo dai device aziendali (o considerati conformi).
Altro aspetto non da poco è legato al fatto che il protocollo VPN non è sempre aperto nelle reti pubbliche, o le wifi guest delle aziende, cosa che può pregiudicare l’utilizzo.
Eppure le soluzioni alternative ci sono e sono tante. Quando si parla di applicazioni, la via più sicura ed intelligente è la remotizzazione applicativa che, oltre ad aumentare le performance di utilizzo, permette di essere eseguita ovunque con livelli di sicurezza elevati. Due esempi di piattaforme perfette per questo scenario sono Parallels RAS e Parallels Secure Workspace (ex Awingu).
Quando si tratta di file server, la risposta può essere sicuramente Azure Stack HCI, oppure creare una VM in Microsoft Azure, che ci consente di utilizzare SMB over QUIC, ovvero la possibilità di esporre il nostro file server in esterno tramite TLS 1.3 e QUIC, in modo sicuro e senza l’utilizzo di VPN. Ne abbiamo parlato all’interno di questo articolo – Azure Stack HCI: perchè valutarlo in azienda.
Microsoft Entra Private Access
Microsoft Entra Private Access rappresenta una svolta significativa nell’ambito dell’accesso alle risorse aziendali quando si è in giro, offrendo una soluzione avanzata per l’accesso remoto a risorse aziendali continua.
Questa tecnologia consente di creare un “tunnel” sicuro e costantemente attivo tra il device e le risorse aziendali, senza la necessità di configurare una VPN tradizionale. Il principio dietro a questa tecnologia è un Application Proxy, già utilizzato da Microsoft per altri scopi e che adesso è stato ampliato.
Il vantaggio primario del servizio è non dover più esporre niente direttamente su internet, riducendo significativamente il rischio di attacchi informatici. Il tunnel, in HTTPS, avviene tra Microsoft Azure ed il proxy locale, mentre il client utilizza un agent locale sempre attivo, che attraverso le credenziali di Entra ID ne valida l’accesso costante.
Quali sono i vantaggi?
- La gestione dei servizi esposti si sposta in cloud, svincolando le organizzazioni dalle logiche delle VPN e dai problemi derivati da eventuali cambi firewall
- E’ possibile creare regole di accesso basate su utenti per differenziare gli accessi
- La configurazione avviene è in tempo reale
- Il servizio si integra con il Conditional Access per definire accessi e restrizioni basati su condizioni
Non per tutti
Dove questa soluzione ancora non funziona è per gli accessi guest, ovvero quegli utenti non aziendali che però devono accedere per varie attività; ad esempio, consulenti esterni, fornitori, che utilizzano dispositivi e credenziali non aziendali. Per questi utenti, rimane molto consigliato l’utilizzo di strumenti di accesso remoto come Parallels RAS o Parallels Secure Workspace, oppure Azure Virtual Desktop o Windows 365.
Conclusioni
Microsoft Entra Private Access rappresenta un passo avanti significativo nel campo della sicurezza informatica. È una soluzione ideale per le organizzazioni che cercano di modernizzare il loro approccio di accesso alle risorse, garantendo al contempo facilità d’uso e efficienza operativa. Offre un’alternativa più sicura, efficiente e user-friendly rispetto alle tradizionali VPN, adattandosi perfettamente alle esigenze delle aziende moderne.