Connect with us

Sicurezza informatica

Approfondimenti sui gateway VPN aziendali

mm
Published
Updated

Qual è lo scopo dei gateway VPN? Ha questa classe di soluzioni un futuro? Quali parametri devono essere considerati quando si proteggono i canali di comunicazione?

Molte organizzazioni stanno sperimentando un’esigenza urgente di proteggere i dati trasmessi. La transizione massiccia al lavoro remoto ha solo rafforzato questa tendenza. Cosa determina la scelta di un gateway VPN — la sua funzionalità, il prezzo o la disponibilità dei certificati necessari? Analizziamo approfonditamente questi problemi.

Come configurare un gateway VPN

Per quanto riguarda le opzioni pratiche per l’utilizzo dei gateway crittografici, la protezione dei canali di comunicazione video, della telemedicina e l’accesso sicuro ai portali ufficiali statali sono stati recentemente richiesti. In generale, possiamo parlare di uno scenario comune quando l’utente accede a risorse specifiche. Ciò può essere un canale di comunicazione sicuro con un sistema IDM, una piattaforma cloud o un punto di ingresso unico attraverso cui viene eseguito il routing verso altre risorse.

Tecnicamente, ci sono due scenari per l’utilizzo dei gateway crittografici: site-to-site e client-to-site. Lo scenario site-to-site ha due set di requisiti. Il primo è una rete distribuita geograficamente: ad esempio, una dozzina di filiali unite in una rete VPN comune. La seconda opzione è un canale sicuro tra due data center.

I compiti di protezione dei dati aziendali in transito possono essere divisi in VPN basata su criteri e VPN basata su route. La seconda opzione diventa rilevante quando il numero di nodi aumenta a diverse migliaia di dispositivi. Nel caso della protezione della dorsale, vengono solitamente utilizzate soluzioni a basso livello e una topologia punto-punto.

Parlando della protezione dei canali ad alta carico, non ci si può limitare solo all’architettura punto-punto. Le soluzioni di architettura punto-multipunto sono molto richieste sul mercato mondiale. Molto efficace è la protezione del canale al livello L2, poiché solo questo approccio può garantire l’assenza di ritardi.

È importante tener presente che la protezione site-to-site può essere implementata sia a livello software che hardware. Nel secondo caso, il cliente può scegliere l’opzione di implementazione in termini, ad esempio, delle caratteristiche di velocità del canale protetto.

A causa dell’aumento del numero di dipendenti che lavorano da remoto, è cresciuta anche l’esigenza di scenari client-to-client, ovvero per la costruzione di una connessione VPN direttamente tra gli utenti. Tali canali vengono utilizzati per la comunicazione rapida, la videoconferenza, la telefonia e altri compiti.

Tuttavia, non c’è stato un cambiamento significativo nella domanda e nelle soluzioni tecnologiche quando si implementa la comunicazione punto-punto. Vengono utilizzati codificatori di flusso che forniscono una buona velocità di connessione. D’altra parte, c’è una crescente domanda di canali di comunicazione più efficienti tra i data center. In alcuni casi, si tratta di connessioni con una larghezza di banda di oltre 100 GB, che richiedono un intero cluster di gateway VPN.

A sua volta, lo scenario di organizzazione dell’accesso remoto durante la pandemia ha mostrato una crescita significativa, ed è in questo settore che si sono verificati i principali problemi di scalabilità. Non solo la scala e le soluzioni tecnologiche sono cambiate, come ad esempio l’utilizzo di bilanciatori di carico specializzati per distribuire il carico tra decine di migliaia di connessioni VPN, ma anche il timeline di implementazione del progetto è diventato molto più breve.

Riguardo al modo in cui gli scenari di utilizzo dei gateway crittografici sono correlati al livello di conformità richiesto, è importante notare che il modello di minaccia è di primaria importanza in questo caso. Il livello di conformità può essere indicato esplicitamente nella documentazione normativa o determinato autonomamente dall’organizzazione.

Nuances tecniche nella scelta di un gateway VPN

Per quanto riguarda le differenze nella crittografia dei gateway VPN e i casi in cui vengono utilizzati, è importante notare che il modello di utilizzo del gateway detta in larga misura il livello di protezione. Ci sono vari mezzi tecnici per implementare il livello di protezione L3; tuttavia, progettare una rete L2 funzionante in questo caso è problematico, anche se fondamentalmente possibile. Per quanto riguarda il livello L4, sta diventando lo standard per l’accesso sia alle risorse Internet pubbliche che ai siti aziendali.

La ridondanza dei dati e la tolleranza ai guasti sono criteri importanti per la scelta di un gateway VPN. Ricordate, è necessario tenere conto della tolleranza ai guasti dell’attrezzatura e dei sistemi di controllo. I parametri importanti sono anche la velocità di commutazione su un cluster di lavoro di backup in caso di emergenza e la velocità di ripristino del sistema allo stato normale.

Piuttosto spesso, l’attrezzatura non ha il tempo medio tra i guasti dichiarato dal fornitore. Pertanto, per l’attrezzatura utilizzata sulla dorsale, è importante non dimenticare i mezzi di base per la tolleranza ai guasti, come ad esempio l’alimentazione doppia o i sistemi di raffreddamento ridondanti.

Alternative per la protezione dei canali di comunicazione

Altri argomenti importanti che dovrebbero essere trattati qui sono le possibili alternative ai gateway VPN, nonché i modi per integrare le soluzioni per la protezione crittografica dei canali di comunicazione con altri strumenti di sicurezza come i firewall per garantire una migliore protezione contro diverse minacce.

Oltre ai gateway crittografici, possono essere utilizzati dispositivi di crittografia hardware ad alte prestazioni per proteggere i canali, nonché i loro equivalenti virtuali, che sono abbastanza flessibili da funzionare a quasi tutti i livelli del modello OSI. Inoltre, ci sono soluzioni piccole e singole in formato transceiver e moduli che possono essere integrati nei dispositivi IoT.

Gli esperti prevedono che i gateway crittografici individuali come dispositivi lasceranno gradualmente il mercato, facendo posto a sistemi integrati. C’è un altro punto di vista: di regola, i sistemi universali sono più economici, ma la loro efficacia è inferiore rispetto alle soluzioni specializzate. L’integrazione di successo può essere eseguita anche nel cloud al livello del fornitore di servizi. In questo caso, il fornitore di servizi decide le questioni di compatibilità e il cliente riceve una soluzione universale con la funzionalità necessaria.

Previsioni di mercato e prospettive

Vedo una grande esigenza di aumentare la velocità dei gateway crittografici, e le soluzioni di questa classe saranno sviluppate per soddisfare questa richiesta. I processi di integrazione opereranno sul mercato, ma il risultato di tale movimento è ancora incerto. L’industria dei gateway VPN sarà guidata dai dispositivi IoT, dalle tecnologie 5G e dalla continua crescita della popolarità del lavoro remoto. Alcuni nuovi nicchie per gli strumenti di protezione crittografica possono essere i sistemi di controllo industriale.

Riguardo al modo in cui i clienti utilizzeranno le soluzioni di sicurezza delle informazioni, è probabile che cambieranno il modello di utilizzo di tali soluzioni, esternalizzando la gestione dei gateway crittografici ai fornitori di servizi. Una tendenza importante sarà l’aumento dell’attenzione per il componente UX dei gateway crittografici, l’aumento della convenienza di lavorare con essi.

Un altro punto di vista è che il mercato dei gateway crittografici è condannato e che, nei prossimi cinque o dieci anni, tali soluzioni diventeranno un prodotto di nicchia. Le soluzioni universali e l’attrezzatura localizzata li sostituiranno. Tuttavia, la classe dei gateway TLS continuerà a evolversi.

Conclusione

Quando si scelgono i mezzi di protezione crittografica dei canali di comunicazione, è necessario tenere conto non solo della funzionalità di una particolare soluzione, ma anche della sua conformità con i requisiti dei regolatori. Considerando le varie opzioni per i gateway VPN, è importante pensare agli scenari del loro utilizzo, nonché risolvere le questioni di integrazione con altri sistemi di sicurezza delle informazioni. In alcuni casi, un sistema specializzato può garantire una maggiore sicurezza; tuttavia, le soluzioni universali e multifunzionali spesso hanno la migliore efficienza in termini di costo.

Related Topics:
mm

David Balaban è un ricercatore di sicurezza informatica con oltre 17 anni di esperienza nell'analisi di malware e nella valutazione di software antivirus. David gestisce MacSecurity.net e Privacy-PC.com progetti che presentano opinioni esperte su questioni di sicurezza informatica contemporanee, tra cui ingegneria sociale, malware, test di penetrazione, intelligence sulle minacce, privacy online e hacking con cappello bianco. David ha una solida esperienza nella risoluzione dei problemi di malware, con un recente focus sulle contromisure contro il ransomware.