VPN, la sicurezza esce dal tunnel

Aziende

I servizi e le tecnologie cambiano il panorama delle reti private virtuali

Detto in maniera sintetica, una rete privata virtuale (VPN) è una rete costruita utilizzando infrastrutture pubbliche per il collegamento tra i suoi nodi. Esistono sistemi diversi che consentono di creare reti di questo tipo utilizzando Internet come mezzo pubblico di trasporto dei dati. Ma la struttura stessa di Internet, la sua apertura, richiede che diversi strumenti di sicurezza vengano messi in gioco per garantire che solo gli utenti autorizzati siano messi in grado di accedere alla rete senza che le loro informazioni vengano intercettate. Sicurezza significa che i dati immagazzinati su un computer non possano essere letti, modificati o messi in pericolo da individui non autorizzati. Quindi da un lato i dati devono essere protetti e crittografati in modo da renderli indecifrabili senza un opportuno meccanismo di decodifica, dall’altro bisogna controllare chi accede ai dati attraverso il duplice meccanismo dell’autenticazione e dell’autorizzazione. Il processo di garantire o negare l’accesso alle risorse di rete avviene in due fasi: la prima è l’autenticazione, che assicura che l’utente sia chi dice di essere (ad esempio fornendo user name e password), mentre l’autorizzazione è il processo che consente di dare alle persone l’accesso agli oggetti del sistema (informazioni e/o servizi) in funzione della loro identità. L’identità può essere quella di una persona, di un dispositivo o di una combinazione di entrambi. Ma su una rete IP il controllo del sistema deve tenere anche traccia delle attività che l’utente, riconosciuto nella sua identità, compie accedendo alle risorse di rete, compresi il tempo speso sulla rete, i servizi cui accede e la quantità di dati trasferiti in ogni sessione. I dati di questo processo di auditing o accounting possono poi venire utilizzati per analisi, capacity planning, fatturazione e allocazione dei costi. Tutte queste metodologie di sicurezza si scontrano chiaramente con la necessità dell’utente di venire riconosciuto e accedere in modo semplice, trasparente e veloce ai dati e alle applicazioni che gli servono nel momento in cui gli servono. In altre parole non deve essere intaccata la produttività di chi usa la rete. La tecnologia VPN e Internet hanno dato una spinta verso la facilità e la sicurezza d’uso travasando per così dire tutti problemi su chi si occupa della sicurezza in azienda. Tuttavia lasciati ai tecnici i problemi di comprensione delle tecnologie operative di implementazione di una rete privata virtuale, sono poi i problemi di gestione di una rete che vanno ad aggiudicarsi gli investimenti più importanti in termini di tempo e di personale. Più grande è la rete VPN e più granulari diventano le policy di sicurezza da rispettare, maggiori diventano le necessità della gestione. Aggiungere anche un solo nodo a una rete non è semplicemente creare un nuovo tunnel per incapsulare in modo sicuro pacchetti IP per rendere “virtualmente privata” anche una insicura rete pubblica. Dunque prima di parlare di dispositivi, di appliance e di tecnologie, va premesso un discorso sulle politiche di sicurezza che devono definire privilegi di accesso accettabili basati su profili,necessità e livelli di fiducia nell’utente, spesso in maniera dinamica e differenziata per organizzazione o gruppo di lavoro. Il confine tra limitazione degli accessi e blocco di qualsiasi attività di collaborazione all’interno di un organizzazione aziendale è spesso molto sottile

Le applicazioni di una VPN si riducono sostanzialmente ai due casi dell’accesso remoto e della connettività LAn to LAN o da sito a sito. L’accesso remoto è la tipica applicazione del professionista in mobilità che richiede un accesso sicuro fuori da suo posto di lavoro o del lavoratore fisso lontano dalla sede centrale. L’utilizzo della classica linea commutata e di un Remote Access Server ha ormai ceduto il passo all’accesso tramite un modem a banda larga DSL via Internet a un Gateway VPN in azienda. La connettività LAN to LAN via Internet, ad esempio tra una filiale e la sede centrale, richiede due gateway VPN ed elimina tutti i costi di mantenimento di router di backbone. La scelta aziendale per una soluzione VPN può cadere sulla totale proprietà oppure sulla delega in outsourcing a un provider esterno. Per la prima scelta le opzioni sono tra un puro gateway VPN che gestisca i collegamenti con il link WAN e sull’estremo remoto un software VPN sul portatile dell’utente mobile o un device dedicato di encryption tra il modem a banda larga e la LAN dell’ufficio remoto. Ovviamente nel tempo la scelta dei vendor è stata di aggiungere e integrare funzionalità VPN, tramite schede aggiuntive o software, con gli altri dispositivi di rete e di sicurezza già esistenti come router e firewall, mantenendo il software di VPN solo sul client remoto. Una tipica applicazione per reti piccole e con bassi volumi di traffico è l’uso di un firewall per creare una VPN. Il limite di questa soluzione, comunque adatta alle PMI, è la non elevata capacità di elaborazione dei firewall che introduce limitazioni di throughput. Ma su questo tema delle prestazioni i vendor sono da sempre al lavoro ottenendo risultati sempre migliori. L’altra classica soluzione è quella di utilizzare una appliance VPN standalone specificamente progettata per il tunneling, l’encryption e l’autenticazione dell’utente: le prestazioni e la gestibilità sono in questo caso assicurate, specie per aziende con un maggio numero di nodi da gestire. Per le piccole aziende e per gli uffici decentrati ormai la soluzione è un prodotto chiavi in mano, spesso gestito remotamente da provider, che associ alle funzionalità di rete privata virtuale e di protezione firewall le più svariate soluzioni di sicurezza. Però l’opzione su cui sta maggiormente spingendo attualmente l’offerta di vendor, provider e integratori, soprattutto verso le aziende che non hanno capacità interne i gestione dell’IT, è quella dell’outsourcing o della gestione. Il costo aziendale è tutto sbilanciato verso una spesa totalmente operativa (Opex) e non in conto capitale (Capex). Un altro vantaggio non secondario di questa soluzione è quello di garantirsi come utente contro ogni problema di congestione di traffico. I requisiti di Quality of Service (QoS) per l’allocazione di banda, delle priorità, dei tempi di latenza delle applicazioni possono essere tenuti distinti da quelli di implementazione della VPN. In altre parole la scelta di un provider garantisce livelli di servizio ( SLA) adeguati alle aspettative e alle applicazioni che stanno a supporto del business aziendale.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore