Come configurare una VPN per uso aziendale

Una rete privata virtuale, o VPN, è una tecnologia chiave utilizzata per aumentare la sicurezza di Internet e consentire un accesso remoto sicuro per gli utenti che necessitano di accedere alle WAN aziendali e alle loro risorse. Una VPN interconnette tutti i tipi di utenti in tutti i tipi di località. Le sue funzionalità dovrebbero essere sicure, facili da usare e sufficientemente flessibili per attraversare il cloud per una varietà di piattaforme e casi d’uso.

Prima di configurare una VPN, gli architetti di rete dovrebbero valutare i principi VPN fondamentali, selezionare le funzionalità che supportano al meglio gli utenti delle loro organizzazioni e considerare le best practice per la sicurezza e l’accesso alla rete remota.

Come funzionano le VPN?

Le VPN aggiungono un livello di protocollo, spesso chiamato a protocollo di tunneling, che incapsula e crittografa il traffico di rete. Questo processo rende il traffico VPN essenzialmente opaco, il che significa che gli utenti non autorizzati non possono rilevare i contenuti della rete, poiché transita nella rete Internet pubblica. Se una terza parte ispezionasse il traffico in transito, non sarebbe in grado di accedere ai payload dei pacchetti.

Le VPN impediscono a terze parti arbitrarie di ispezionare il flusso di traffico tra utenti specifici e le risorse a cui accedono online. Ciò è particolarmente vero per le situazioni in cui i dipendenti utilizzano le VPN per proteggere le attività lavorative, le transazioni, i trasferimenti di file, l’uso delle applicazioni e altro ancora.

Immagine che mostra come le VPN connettono le reti a Internet tramite tunnel crittografati.
Le VPN si sovrappongono a un livello di protocollo di tunneling su una rete fisica. Il protocollo di tunneling oscura il traffico di rete di terze parti, fornendo un’esperienza di rete sicura e protetta.

Le VPN nascondono anche dettagli utente specifici nel traffico che proteggono. Indirizzi IP, posizioni geografiche, cronologia del browser, dispositivi e software sono esempi di informazioni non facilmente disponibili per coloro che non rientrano nell’ombrello VPN.

Casi d’uso VPN

Le aziende utilizzano principalmente le VPN per sovrapporre una rete privata sicura alla rete Internet pubblica. I casi d’uso tipici per le VPN includono quanto segue:

  • Lavoro a distanza. Le organizzazioni forniscono VPN per consentire ai dipendenti remoti di accedere alle risorse e alle applicazioni di rete.
  • Privacy. Gli utenti e le organizzazioni che desiderano nascondere informazioni relative al lavoro, dati sensibili e comunicazioni a terzi, come ISP, telecomunicazioni e altre società che gestiscono il traffico Internet, possono proteggere il proprio traffico con una VPN.
  • Sicurezza. Gli utenti che si connettono a Internet tramite una rete non sicura possono utilizzare una VPN per proteggere i propri dati e comunicazioni ed evitare divulgazioni indesiderate.

Come configurare una VPN

Gli amministratori di rete necessitano di elementi diversi in vari passaggi durante la configurazione di una VPN funzionante, dal client, attraverso il cloud, al confine di rete e nelle reti aziendali.

Immagine che illustra come una VPN connette gli utenti che si trovano in più posizioni alla rete aziendale.
I router VPN connettono gli utenti distribuiti a una rete aziendale sicura che funge da sovrapposizione sulla rete Internet pubblica.

I requisiti di base per configurare una VPN includono quanto segue:

  • Software VPN client. Le VPN richiedono il software client per effettuare connessioni remote sicure. I client devono supportare le varie applicazioni e servizi a cui gli utenti desiderano accedere o eseguire, come gli strumenti di collaborazione, come le conferenze vocali e video.
  • Infrastruttura VPN. Le organizzazioni devono utilizzare router e firewall specifici per VPN che consentano al traffico VPN legittimo di passare senza ostacoli, bloccando al contempo terze parti non autorizzate e indesiderate. Questi dispositivi VPN in genere utilizzano tecniche di blocklisting o filtri di indirizzi e nomi di dominio per abilitare questo processo.
  • Appliance VPN, concentratore o server. Le appliance, i concentratori e i server VPN gestiscono e gestiscono il traffico VPN in entrata, nonché stabiliscono e gestiscono sessioni VPN e il loro accesso alle risorse di rete.
Immagine raffigurante il processo di configurazione della VPN.
Gli elementi VPN essenziali includono un router VPN, un gateway, un concentratore e un software client.

Alcuni obiettivi di progettazione chiave da tenere a mente quando si selezionano le funzionalità VPN includono quanto segue:

  • accesso remoto sicuro;
  • facile installazione, configurazione e manutenzione;
  • convenienza per un uso aziendale diffuso; e
  • facilità d’uso.

Come selezionare una VPN

La scelta del tipo di VPN per ospitare una rete aziendale comporta la sua quota di difficoltà. I professionisti della rete sono spesso intrappolati tra i dettami della gestione e le preferenze degli utenti quando decidono quale VPN implementare e questo può comportare alcune sfide per il personale.

Guarda le preferenze dell’utente e della piattaforma

Il management superiore in genere sceglie i progetti VPN in base ad alcuni criteri. L’infrastruttura esistente determina quali nuovi componenti VPN soddisfano i requisiti di compatibilità e la gestione potrebbe anche basare le decisioni di acquisto sul prezzo migliore o sul compromesso ottimale tra caratteristiche e prezzo. A volte, tuttavia, la direzione sceglie una VPN a causa di una scelta specifica del fornitore o di una relazione esistente.

Quando la gestione segue questa logica di progettazione della VPN, raramente i team di rete e IT hanno la possibilità di scegliere quale VPN configurare. Possono aver contribuito alle selezioni, ma la loro scelta è soggetta a considerazioni e selezioni finali da parte del personale di grado superiore.

Al contrario, le organizzazioni potrebbero voler adottare un approccio dal basso verso l’alto guidato dagli utenti. In un approccio guidato dall’utente, le piattaforme utente dettano protocolli e servizi VPN, mentre i client VPN a basso costo o freeware guidano le restanti scelte dei componenti.

Un approccio guidato dall’utente crea un approccio gratuito: le organizzazioni possono utilizzare più VPN per diversi gruppi di utenti o piattaforme. Idealmente, l’organizzazione si accontenta di un’unica scelta o di un numero limitato di scelte, in cui i team di rete bilanciano attentamente i requisiti di sicurezza con la facilità d’uso e le considerazioni sulla produttività.

Valuta le opzioni del client VPN

La scelta di un client VPN implica considerazioni su un ampio spettro di capacità e funzionalità:

  • Supporto del sistema operativo. Per coloro che utilizzano PC di qualche tipo, è meglio quando un singolo client può supportare tutti i sistemi operativi utilizzati dall’organizzazione. Questa considerazione si applica anche ai sistemi operativi mobili.
  • BYOD. Le organizzazioni che supportano il BYOD dovrebbero anche considerare l’abilitazione di VPN per dispositivi mobili, sia per uso personale che lavorativo. Anche sui dispositivi forniti dall’azienda, i dipendenti di solito apprezzano questa funzionalità.
  • Sicurezza e crittografia. L’ampio supporto per l’accesso remoto, il tunneling e i protocolli di sicurezza o autenticazione sono caratteristiche chiave da includere durante la configurazione di una VPN. Alcune popolari opzioni di protocollo VPN includono Secure Sockets Layer (SSL)/Transport Layer Security (TLS) e IPsec, nonché Remote Desktop Protocol o Layer Two Tunneling Protocol. Anche un forte supporto per la crittografia è un must, con la crittografia Rivest-Shamir-Adleman a 2.048 bit per lo scambio di chiavi e il traffico altamente protetto e Advanced Encryption Standard 256 o superiore per tutti i payload e altro traffico.
  • Supporto e collaborazione a distanza. L’ambiente VPN dovrebbe supportare l’accesso remoto, i client virtuali remoti, l’uso assistito o interattivo per il supporto tecnico e la collaborazione tra più parti per la videoconferenza. Idealmente, le tecnologie VPN si integrano facilmente con le infrastrutture esistenti, gli ambienti di runtime, le applicazioni, i servizi e gli investimenti in piattaforme cloud.
  • Prezzo. La maggior parte delle organizzazioni non vuole ristrutturare le proprie attuali modalità di business per adattarsi all’uso della VPN e preferisce aggiornamenti modesti ed economici, piuttosto che modifiche massicce e costose. Anche i modelli di prezzo VPN sono importanti; le opzioni più costose generalmente offrono maggiore sicurezza, migliore integrazione e manutenzione e aggiornamenti più semplici.
Immagine di una VPN aziendale che si connette a utenti distribuiti, nonché a un partner commerciale di terze parti.
Una VPN aziendale può connettere utenti mobili, utenti remoti da filiali e utenti di terze parti esterni alla rete aziendale con un’autenticazione adeguata.

Sfide di implementazione VPN

Imparare a configurare correttamente una VPN può aiutare i team di rete a evitare complicazioni future. Per prevenire potenziali problemi, il personale di rete deve essere a conoscenza delle aree che potrebbero causare problemi alla VPN e problemi tecnici.

Di seguito sono elencate alcune sfide comuni per la distribuzione della VPN:

  • Il software client VPN deve funzionare su tutti i dispositivi degli utenti, il che può prevenire violazioni della sicurezza VPN.
  • I dispositivi VPN devono inoltre essere compatibili e interoperabili con dispositivi, concentratori e server.
  • I protocolli VPN devono funzionare end-to-end attraverso firewall, router e switch.
  • I team di rete devono bilanciare sicurezza e protezione con facilità e convenienza per evitare problemi tecnici con la VPN.

Contromisure contro i rischi per la sicurezza della VPN

La tecnologia VPN offre tecnologie di sicurezza specifiche e mirate, ma può anche essere una calamita per attacchi ed exploit. Nel marzo 2022, l’Infosec Institute ha riferito che l’aumento dell’uso della VPN per abilitare la domanda di accesso remoto ha portato a un aumento degli attacchi. È essenziale proteggere una VPN per creare un’esperienza di rete remota sicura.

La National Security Agency e la Cybersecurity and Infrastructure Security Agency raccomandano alle organizzazioni di seguire alcune best practice per la sicurezza che possono ridurre al minimo la loro superficie di attacco quando utilizzano una VPN. Alcuni di questi suggerimenti sono i seguenti:

  • Scegli una VPN basata su standard che includa Internet Key Exchange e IPsec rispetto alle opzioni che utilizzano SSL/TLS. Se una VPN utilizza un tunnel SSL/TLS personalizzato come ripiego per operazioni basate su standard, questa opzione dovrebbe essere disabilitata.
  • Configura VPN con algoritmi e protocolli di autenticazione e crittografia avanzati.
  • Usa l’autenticazione a più fattori (MFA) con due o più fattori per aumentare la sicurezza. Quando possibile, valutare la possibilità di sostituire l’autenticazione basata su password con l’autenticazione client tramite certificati archiviati in smart card o altro spazio di archiviazione protetto dall’hardware.
  • Limita le vulnerabilità attraverso l’applicazione di patch regolari e mantieni una distinta base del software aggiornata per garantire un codice sicuro e aggiornato. Applicare gli aggiornamenti quando diventano disponibili e forzare le modifiche alla password quando gli exploit di vulnerabilità note vengono documentati in natura.
  • Limita l’accesso VPN solo agli utenti autorizzati. Questo passaggio potrebbe comportare la creazione di regole firewall per limitare l’accesso a indirizzi di porta specifici, come TCP e User Datagram Protocol. Gestisci e monitora con attenzione l’accesso VPN in entrata e in uscita, con gli endpoint limitati esclusivamente agli indirizzi IP consentiti. Blocca l’accesso VPN alle interfacce di gestione in modo che le credenziali di amministratore compromesse non possano minacciare le acquisizioni di rete.
  • Prendi in considerazione l’implementazione di VPN all’interno di un framework zero-trust con segmentazione della rete per far rispettare il principio del privilegio minimo (POLP).
  • Il traffico VPN dovrebbe passare attraverso uno stack di sicurezza in entrata e in uscita da una rete aziendale. Questo stack dovrebbe includere un firewall per applicazioni Web e sistemi di prevenzione delle intrusioni. I team devono anche configurare la VPN per abilitare tutte le impostazioni di sicurezza delle applicazioni Web, ad esempio per evitare attacchi di riproduzione utilizzando dati di sessione utente scaduti.

Un approccio dettagliato al monitoraggio e alla manutenzione della sicurezza della rete consente a una VPN di aumentare la sicurezza e fornire agli utenti un accesso sicuro alla rete aziendale.

Procedure consigliate per la configurazione di una VPN

Le aziende dovrebbero configurare VPN basate su standard che soddisfino le esigenze della piattaforma dei loro utenti. Ad esempio, una VPN può ospitare dispositivi mobili e fissi, ma tutte le VPN, indipendentemente dal dispositivo su cui vengono eseguite, dovrebbero supportare l’autenticazione e la crittografia avanzate. L’autenticazione a più fattori è un modo per implementare l’accesso remoto sicuro per gli utenti al di fuori delle sedi degli uffici. Gli architetti di rete dovrebbero monitorare da vicino le VPN e aggiornarle per accogliere aggiornamenti di sicurezza, patch e correzioni.

Di per sé, una VPN non può rendere sicuro e protetto l’accesso remoto. Gli utenti della rete dovrebbero seguire un corso di sensibilizzazione alla sicurezza per evitare abitudini non sicure e ridurre al minimo il rischio di incontrare attacchi online. I professionisti della rete dovrebbero inoltre monitorare attentamente la VPN e stare attenti alle anomalie o ai modelli di accesso insoliti per prevenire gli attacchi. Per una maggiore sicurezza, i professionisti della rete possono prendere in considerazione la limitazione dell’accesso VPN all’interno di un framework zero-trust che controlla e limita gli indirizzi IP e di controllo dell’accesso ai media quando necessario e applica POLP per tutti gli usi.

Leave a Comment

Your email address will not be published. Required fields are marked *