mozzicone Approfondimenti sui gateway VPN aziendali - Unite.AI
Seguici sui social
   Cybersecurity  
Approfondimenti sui gateway VPN aziendali
 mm
Pubblicato il
 anni fa, 3
 on
   
 
A cosa servono i gateway VPN? Questa classe di soluzioni ha un futuro? Quali parametri dovrebbero essere considerati quando si proteggono i canali di comunicazione?
Molte organizzazioni stanno vivendo un'urgente necessità di proteggere i dati trasmessi. La massiccia transizione al lavoro a distanza ha solo rafforzato questa tendenza. Cosa determina la scelta di un gateway VPN: la sua funzionalità, il prezzo o la disponibilità dei certificati necessari? Diamo uno sguardo approfondito a questi problemi.
Come può essere configurato un gateway VPN
Per quanto riguarda le opzioni pratiche per l'utilizzo di gateway crittografici, recentemente sono state richieste la protezione dei canali di comunicazione video, la telemedicina e l'accesso sicuro ai portali statali ufficiali. In generale, possiamo parlare dello scenario comune in cui l'utente accede a risorse specifiche. Questo può essere un canale di comunicazione sicuro con un Sistema IDM, una piattaforma cloud o un singolo punto di ingresso attraverso il quale viene eseguito il routing ad altre risorse.
Tecnicamente, esistono due scenari per l'utilizzo dei gateway crittografici: da sito a sito e da client a sito. Lo scenario da sito a sito ha due serie di requisiti. La prima è una rete geograficamente distribuita: ad esempio, una dozzina di filiali unite in una rete VPN comune. La seconda opzione è un canale sicuro tra due data center.
Le attività di protezione dei dati aziendali in transito possono essere suddivise in VPN basata su policy e VPN basata su route. Quest'ultima opzione diventa rilevante quando il numero di nodi aumenta a diverse migliaia di dispositivi. Nel caso di protezione della dorsale, vengono solitamente utilizzate soluzioni di basso livello e una topologia punto-punto.
Parlando della protezione di canali altamente caricati, non ci si può limitare solo all'architettura punto-punto. Le soluzioni di architettura punto-multipunto sono molto richieste sul mercato mondiale. Molto efficace è la protezione del canale a livello L2 poiché solo questo approccio può garantire l'assenza di ritardi.
Va tenuto presente che site-to-site la protezione può essere implementata sia a livello software che hardware. In quest'ultimo caso, il cliente può scegliere l'opzione di implementazione in termini, ad esempio, delle caratteristiche di velocità del canale protetto.
A causa dell'aumento del numero di dipendenti che lavorano in remoto, è cresciuta anche la necessità di scenari client-to-client, ovvero per la creazione di una connessione VPN direttamente tra gli utenti. Tali canali vengono utilizzati per comunicazioni veloci, videoconferenze, telefonia e altre attività.
Tuttavia, non vi è stato alcun cambiamento significativo nella domanda e nelle soluzioni tecnologiche durante l'implementazione della comunicazione punto-punto. Usano codificatori di flusso che forniscono una buona velocità di connessione. D'altro canto, vi è una crescente domanda di canali di comunicazione più efficienti tra data center. In alcuni casi, si tratta di connessioni con una larghezza di banda superiore a 100 GB, che richiedono un intero cluster di gateway VPN.
A sua volta, lo scenario dell'organizzazione dell'accesso remoto durante una pandemia ha mostrato una crescita significativa, ed è in questo settore che si sono verificati i principali problemi di scalabilità. Non solo sono cambiate le dimensioni e le soluzioni tecnologiche, come l'uso di bilanciatori di carico specializzati per distribuire il carico tra decine di migliaia di connessioni VPN, ma anche la tempistica di implementazione del progetto è diventata molto più breve.
Per quanto riguarda il modo in cui gli scenari di utilizzo del gateway crittografico sono correlati al livello di conformità richiesto, va notato che il modello di minaccia è di primaria importanza in questa materia. Il livello di conformità può essere esplicitamente indicato nella documentazione normativa o determinato in modo indipendente dall'organizzazione.
Sfumature tecniche nella scelta di un gateway VPN
Per quanto riguarda le differenze nella crittografia dei gateway VPN e i casi in cui vengono utilizzati, tenere presente che il modello di utilizzo del gateway determina in gran parte il livello di protezione. Esistono vari mezzi tecnici per implementare il livello di protezione L3; tuttavia, la progettazione di una rete L2 funzionante, in questo caso, è problematica, sebbene fondamentalmente possibile. Per quanto riguarda il livello L4, sta di fatto diventando lo standard per l'accesso sia alle risorse Internet pubbliche sia ai siti aziendali.
La ridondanza dei dati e la tolleranza ai guasti sono criteri importanti per la scelta di un gateway VPN. Ricorda, è necessario tenere conto della tolleranza ai guasti delle apparecchiature e dei sistemi di controllo. I parametri importanti sono anche la velocità di passaggio a un cluster di lavoro di backup in caso di emergenza e la velocità di ripristino del sistema a uno stato normale.
Piuttosto spesso, l'hardware non ha il tempo medio tra i guasti livello dichiarato dal fornitore. Pertanto, per le apparecchiature utilizzate sulla dorsale, è importante non dimenticare i mezzi fondamentali di tolleranza ai guasti, come la doppia alimentazione oi sistemi di raffreddamento ridondanti.
Soluzioni alternative per la protezione dei canali di comunicazione
Altri argomenti importanti che dovrebbero essere toccati qui sono le possibili alternative ai gateway VPN, nonché i modi per integrare le soluzioni per la protezione crittografica dei canali di comunicazione con altri strumenti di sicurezza come i firewall per garantire una migliore protezione contro diverse minacce.
Oltre ai gateway crittografici, è possibile utilizzare dispositivi di crittografia hardware ad alte prestazioni per proteggere i canali, nonché le loro controparti virtuali, che sono abbastanza flessibili da funzionare a quasi tutti i livelli del modello OSI. Inoltre, esistono piccole soluzioni a scheda singola nel fattore di forma del ricetrasmettitore e moduli che possono essere incorporati nei dispositivi IoT.
Gli esperti prevedono che i singoli gateway crittografici come dispositivi lasceranno gradualmente il mercato, lasciando il posto a sistemi integrati. C'è un altro punto di vista: di norma, i sistemi universali sono più economici, ma la loro efficacia è inferiore alle soluzioni specializzate. Un'integrazione di successo può essere eseguita anche nel cloud a livello di fornitore di servizi. In questo caso, il fornitore di servizi decide i problemi di compatibilità e il cliente riceve una soluzione universale con le funzionalità necessarie.
Previsioni e prospettive di mercato
Vedo un grande bisogno di aumentare la velocità dei gateway crittografici e soluzioni di questa classe saranno sviluppate per soddisfare questa richiesta. Sul mercato opereranno processi di integrazione, ma il risultato di tale movimento non è ancora chiaro. Il settore dei gateway VPN sarà guidato dai dispositivi IoT, dalle tecnologie 5G e dalla continua crescita della popolarità del lavoro da remoto. Alcune nuove nicchie per gli strumenti di protezione crittografica possono essere i sistemi di controllo industriale.
Poiché il supporto di canali VPN sicuri a livello aziendale richiede un elevato grado di competenza, i clienti cambieranno sempre più il modello di utilizzo di tali soluzioni di sicurezza delle informazioni, esternalizzando la gestione dei gateway crittografici ai fornitori di servizi. Una tendenza importante sarà un aumento dell'attenzione alla componente UX dei gateway crittografici, un aumento della comodità di lavorare con loro.
Un altro punto di vista è che il mercato dei gateway crittografici è condannato e nei prossimi cinque o dieci anni tali soluzioni si trasformeranno in un prodotto di nicchia. Le soluzioni universali e le attrezzature localizzate li sostituiranno. Tuttavia, la classe dei gateway TLS si evolverà.
Conclusione
Quando si scelgono i mezzi di protezione crittografica dei canali di comunicazione, è necessario tenere conto non solo della funzionalità di una particolare soluzione, ma anche della sua conformità ai requisiti delle autorità di regolamentazione. Considerando le varie opzioni per i gateway VPN, vale la pena pensare agli scenari per il loro utilizzo, oltre a risolvere i problemi di integrazione con altri sistemi di sicurezza delle informazioni. In alcuni casi, un sistema specializzato può garantire meglio la sicurezza; tuttavia, le soluzioni universali e multifunzionali spesso offrono la migliore efficienza in termini di costi.
       
 Argomenti correlati:
 mm
David Balaban è un ricercatore di sicurezza informatica con oltre 17 anni di esperienza nell'analisi di malware e nella valutazione di software antivirus. Davide corre MacSecurity.net ed  Privacy-PC.com progetti che presentano opinioni di esperti su questioni di sicurezza delle informazioni contemporanee, tra cui ingegneria sociale, malware, test di penetrazione, informazioni sulle minacce, privacy online e hacking white hat. David ha una solida esperienza nella risoluzione dei problemi di malware, con una recente attenzione alle contromisure ransomware.