Indice

Introduzione

L'accesso remoto sicuro non è più una scelta tra connessioni criptate e non criptate. Sia le moderne soluzioni VPN che quelle di accesso remoto Zero Trust possono proteggere i dati in transito. La domanda più importante è cosa può raggiungere un utente o un dispositivo dopo l'autenticazione.

Una VPN estende spesso la connettività di rete a un endpoint remoto. L'accesso alla rete Zero Trust adotta un approccio incentrato sulle risorse, valutando l'utente, il dispositivo, l'applicazione richiesta e il contesto attuale prima di concedere l'accesso. Per molte organizzazioni, il miglior design non è una sostituzione totale, ma una divisione deliberata tra accesso all'applicazione e accesso reale alla rete.

Che cos'è una VPN?

A rete privata virtuale crea un tunnel crittografato tra un dispositivo remoto e un gateway VPN, che autentica la connessione prima di instradare il traffico approvato verso reti private, sottoreti o servizi.

Sebbene una VPN non debba fornire accesso illimitato, il suo modello operativo rimane orientato alla rete. Gli amministratori possono applicare:

  • autenticazione multifattoriale
  • d certificati del dispositivo
  • regole del firewall
  • segmentazione della rete
  • a liste di controllo degli accessi

Tuttavia, il punto finale riceverà di solito comunque un percorso a livello IP verso una o più risorse interne.

Poiché questo modello è ben consolidato e supporta un'ampia gamma di protocolli, rimane utile quando gli amministratori necessitano di un ampio accesso all'infrastruttura, le applicazioni dipendono da indirizzamenti interni o due siti devono scambiare traffico in modo sicuro.

Il principale rischio si presenta quando i permessi VPN si estendono oltre ciò di cui l'utente ha effettivamente bisogno. Ad esempio, un dipendente remoto che ha bisogno solo di un'applicazione contabile potrebbe non aver bisogno di accesso all'intero sottorete finanziaria.

Che cos'è l'accesso remoto Zero Trust (ZTNA)?

Nell'uso comune, l'accesso remoto Zero Trust si riferisce solitamente all'accesso alla rete Zero Trust, o ZTNA. ZTNA si applica Principi di Zero Trust alla connettività remota concedendo l'accesso a un'applicazione, desktop o servizio specifico invece di estendere l'accesso generale alla rete.

La decisione può considerare diversi segnali:

  • Identità e ruolo dell'utente
  • Proprietà del dispositivo e postura di sicurezza
  • Risorsa richiesta
  • Posizione e orario di accesso
  • Forza di autenticazione
  • Rischio di sessione o comportamento insolito

NIST descrive Zero Trust come un'architettura che rimuove la fiducia implicita basata sulla posizione di rete e protegge le risorse individuali attraverso l'autenticazione e l'autorizzazione esplicite. ZTNA è un modo per applicare quel principio, non l'intera architettura Zero Trust.

Dopo che una richiesta è stata approvata, l'utente riceve un percorso controllato verso la risorsa autorizzata. I sistemi non approvati non devono diventare visibili o instradabili dall'endpoint. Le politiche possono anche attivare la reautenticazione, l'accesso ristretto o la terminazione della sessione quando il rischio cambia.

Zero Trust Remote Access vs VPN: Differenze chiave

La differenza tra ZTNA e VPN è architettonica piuttosto che semplicemente tecnologica. Una VPN ben segmentata può essere altamente restrittiva, mentre un'implementazione ZTNA mal governata può comunque concedere accesso eccessivo.

Criterio VPN Accesso remoto Zero Trust o ZTNA
Accesso obiettivo Rete, subnet o intervallo di servizio Applicazione specifica, desktop o servizio
Contesto della politica primaria Percorsi, indirizzi IP, gruppi e regole del firewall Identità, dispositivo, risorsa e segnali contestuali
Visibilità della rete I servizi interni potrebbero diventare raggiungibili dopo la connessione. Le risorse non approvate possono rimanere non scoperte
Flusso di lavoro dell'utente Stabilisci il tunnel, quindi apri la risorsa Richiedi o avvia direttamente una risorsa approvata
Miglior adattamento Accesso a livello di rete, legacy e site-to-site Accesso a livello di applicazione per utenti e terze parti
Principale compromesso operativo Familiare ma può diventare ampio e pesante per il gateway Granulare ma richiede mappatura delle applicazioni e delle identità

Modello di sicurezza

Una VPN tradizionale prende la sua principale decisione di fiducia quando il tunnel viene stabilito. Le piattaforme moderne possono rafforzare quella decisione con accesso condizionale, controlli degli endpoint e riautenticazione, ma la sessione inizia comunque estendendo la connettività di rete all'utente.

ZTNA adotta un approccio più incentrato sulle risorse. Una password valida e un secondo fattore non forniscono automaticamente accesso a ogni sistema interno, poiché la politica può anche richiedere un dispositivo gestito, una posizione approvata, un ruolo utente specifico o una sessione a rischio inferiore prima di rendere disponibile l'applicazione richiesta.

Questo modello di accesso più ristretto supporta il principio del minimo privilegio e può limitare il numero di sistemi esposti se le credenziali vengono rubate. Tuttavia, lo ZTNA non elimina il rischio di compromissione dell'account, poiché un attaccante potrebbe comunque abusare di qualsiasi applicazione che l'account compromesso è autorizzato ad aprire.

Esperienza utente

Gli utenti VPN spesso devono aprire un client, attendere che il tunnel si connetta, completare i prompt di autenticazione e poi avviare l'applicazione richiesta. Quando conflitti DNS, regole di split-tunneling, reti locali instabili o configurazioni client scadute causano problemi, il risultato può essere ulteriori richieste di supporto.

ZTNA può semplificare questo processo presentando solo le risorse approvate tramite un portale, un browser o un client leggero. Invece di ricevere prima l'accesso generale alla rete, l'utente può avviare direttamente l'applicazione richiesta.

L'esperienza dipende ancora dall'implementazione, poiché alcuni protocolli richiedono un agente endpoint e alcune applicazioni legacy non funzionano bene attraverso un proxy per applicazioni. Prima di migrare, i team IT dovrebbero quindi testare:

  • autenticazione
  • stampa
  • trasferimento file
  • · controlli degli appunti
  • comportamento di riconnessione

Esposizione della rete

Un gateway VPN è un servizio di edge esposto a Internet, quindi deve essere aggiornato, monitorato e protetto. A seconda dei percorsi, della segmentazione e della politica del firewall in atto, un utente connesso potrebbe anche essere in grado di scoprire indirizzi o servizi interni.

ZTNA può ridurre questa esposizione posizionando un broker o un punto di enforcement tra l'utente e l'applicazione. Questo consente all'endpoint di accedere alla risorsa approvata senza creare un percorso generale nella rete circostante.

Sebbene questo design possa rendere più difficile il movimento laterale, i connettori, i fornitori di identità, i gateway e i server delle applicazioni devono comunque essere protetti. linee guida CISA tratta anche il software di accesso remoto e i dispositivi edge come infrastrutture di alto valore che richiedono MFA, patching, registrazione e riduzione dell'esposizione.

Prestazioni

I design VPN spesso instradano il traffico attraverso un gateway centrale o un data center, il che può aggiungere latenza quando un utente remoto si connette tramite la sede centrale per raggiungere un'applicazione ospitata nel cloud.

ZTNA può offrire un percorso più diretto verso l'applicazione autorizzata, in particolare quando i connettori o i punti di servizio sono distribuiti vicino agli utenti e ai carichi di lavoro. Anche così, le prestazioni dipendono ancora da:

  • requisiti di ispezione
  • architettura del fornitore
  • posizionamento del connettore
  • qualità di internet

Una VPN può rimanere efficiente per i carichi di lavoro interni del data center o per ambienti con concentratori locali. Piuttosto che assumere che un modello sia sempre più veloce, i team IT dovrebbero confrontare i tempi di risposta delle applicazioni e la stabilità delle sessioni nel proprio ambiente.

Gestione

I team di rete sono già familiari con i concentratori VPN, le route, le regole del firewall e le liste di controllo degli accessi, il che può rendere più facile il deployment. Nel tempo, tuttavia, le autorizzazioni possono diventare più difficili da rivedere man mano che si accumulano gruppi, subnet ed eccezioni.

ZTNA richiede un inventario più chiaro di utenti, applicazioni, requisiti dei dispositivi e dipendenze. Gli amministratori devono definire chi ha bisogno di ciascuna risorsa, quali dispositivi possono utilizzare e a quali condizioni l'accesso deve essere concesso. Sebbene questo lavoro di policy richieda impegno, può rendere le revisioni degli accessi più significative poiché i permessi sono mappati direttamente alle applicazioni aziendali.

Qualsiasi modello venga utilizzato, una gestione efficace dipende dall'assegnazione di un proprietario a ciascuna risorsa, dalla documentazione delle eccezioni e dalla revisione regolare dei privilegi. Né VPN né ZTNA rimangono sicuri senza una disciplina operativa costante.

Costo

Una VPN può essere l'opzione meno costosa quando un'organizzazione possiede già un'infrastruttura di firewall o gateway compatibile. Tuttavia, il costo complessivo può comunque includere:

  • capacità del concentratore
  • alta disponibilità
  • supporto clienti
  • larghezza di banda
  • lavoro di segmentazione
  • manutenzione delle regole in corso

ZTNA può introdurre abbonamenti per utente, integrazione dell'identità, agenti endpoint, connettori e lavoro di migrazione. Allo stesso tempo, può ridurre il backhaul VPN, semplificare l'accesso ai contrattisti e abbassare il costo del supporto per una connettività di rete ampia.

Per questo motivo, il confronto dovrebbe concentrarsi sul costo totale di proprietà piuttosto che solo sul prezzo iniziale del prodotto. I team IT dovrebbero considerare la licenza, l'infrastruttura, lo sforzo del helpdesk, l'amministrazione delle politiche, il rischio di inattività e il costo di concedere più accesso di quanto gli utenti abbiano effettivamente bisogno.

Quando ha ancora senso un VPN?

Nonostante il passaggio verso modelli di accesso più specifici per le risorse, una VPN rimane la scelta giusta quando gli utenti o i sistemi hanno realmente bisogno di connettività a livello di rete.

È particolarmente utile quando il requisito coinvolge più protocolli, infrastrutture condivise o applicazioni che dipendono dall'accesso diretto alle reti interne.

Esempi comuni includono:

  • Connettività site-to-site tra uffici, centri dati o reti cloud
  • Risoluzione dei problemi di rete e amministrazione a livello di pacchetto
  • Accesso a più protocolli attraverso un segmento di infrastruttura controllato
  • Applicazioni legacy che non possono essere pubblicate tramite un gateway di applicazione
  • Sviluppo, laboratori o ambienti di disaster recovery che richiedono ampia connettività
  • T accesso temporaneo in ambienti in cui la segmentazione e il monitoraggio sono già maturi

Una VPN non è quindi né obsoleta né intrinsecamente insicura. La sua sicurezza dipende da quanto attentamente viene configurata e gestita la connessione, inclusi percorsi ristretti, autenticazione forte, patching regolare del gateway e chiara separazione tra utenti standard e amministratori privilegiati.

Quando questi controlli sono in atto e la necessità aziendale è genuinamente orientata alla rete, una VPN può rimanere una soluzione di accesso remoto efficace e pratica.

Quando è Zero Trust la scelta migliore?

ZTNA è solitamente la scelta più forte quando gli utenti hanno bisogno di accedere a un insieme definito di applicazioni piuttosto che all'intera rete. Questo lo rende particolarmente adatto per i dipendenti remoti, i collaboratori, i partner e i team di supporto esterni le cui esigenze di accesso possono essere descritte con precisione.

Ad esempio, una politica di Zero Trust potrebbe consentire ai membri del gruppo finanziario di accedere all'applicazione contabile durante le ore approvate, a condizione che utilizzino dispositivi gestiti e autenticazione multifattoriale. Questo tipo di regola è più facile da rivedere rispetto a un permesso ampio che concede accesso alla subnet finanziaria.

ZTNA è anche ben adatto a ambienti distribuiti e orientati al cloud in cui le applicazioni non si trovano più dietro un singolo perimetro d'ufficio. Ponendo l'identità e la politica delle risorse al centro della decisione di accesso, il modello segue il carico di lavoro piuttosto che un confine di rete fisico.

C'è un terreno comune?

Sì. Invece di costringere ogni flusso di lavoro attraverso una singola tecnologia, molte organizzazioni possono utilizzare ZTNA e VPN insieme.

I dipendenti standard e i contrattisti possono ricevere accesso a livello di applicazione tramite ZTNA o un portale di applicazione sicuro, mentre gli amministratori di rete mantengono un VPN controllato in modo rigoroso o un gateway di accesso privilegiato per compiti che richiedono connettività a livello IP. Gli uffici periferici possono continuare a utilizzare VPN site-to-site e le applicazioni legacy possono rimanere su percorsi VPN ristretti fino a quando non vengono modernizzate o pubblicato in modo più ristretto .

Una transizione graduale è solitamente più sicura di una sostituzione improvvisa. I team IT possono inventare flussi di lavoro remoti, separare i requisiti a livello di applicazione dalle esigenze a livello di rete, rafforzare i controlli di identità, testare un'applicazione contenuta e rimuovere il corrispondente percorso VPN solo dopo aver convalidato il nuovo percorso di accesso.

Come si inserisce TSplus nel quadro?

TSplus Advanced Security protegge i server Windows e gli ambienti di accesso remoto. Piuttosto che sostituire una VPN o agire come una piattaforma completa di Accesso alla Rete Zero Trust, aggiunge controlli a livello di server che possono rafforzare entrambi i modelli di accesso.

Questi controlli possono proteggere i server Windows dietro una VPN aggiungendo restrizioni basate su utenti, dispositivi, posizioni e orari di connessione. Supportano diversi principi di Zero Trust come parte di un'architettura di sicurezza più ampia.

Protezione da attacchi Brute-Force e IP malevoli

I servizi di autenticazione esposti su Internet sono obiettivi frequenti per attacchi di indovinamento delle password e scansioni di rete automatizzate. La nostra soluzione monitora i tentativi di accesso a Windows non riusciti e può automaticamente mettere in blacklist l'indirizzo IP di origine una volta raggiunta la soglia configurata.

La protezione degli IP degli hacker rinforza questa difesa con un elenco mantenuto di indirizzi associati a malware, botnet, attacchi online e altre attività dannose. Gli amministratori possono anche gestire gli indirizzi consentiti e bloccati attraverso le regole del firewall, contribuendo a fermare il traffico indesiderato prima che raggiunga un servizio Windows esposto.

Restrizioni di accesso geografiche e contestuali

La Protezione Geografica consente agli amministratori di controllare l'accesso in base al paese di origine o all'indirizzo IP. Possono limitare le connessioni ai paesi approvati, agli indirizzi privati e a specifici intervalli di IP whitelisted, il che è utile quando gli utenti legittimi si connettono da posizioni prevedibili.

Working Hours aggiunge controlli basati sul tempo per utenti e gruppi, consentendo agli amministratori di definire quando le sessioni possono essere aperte e ridurre la disponibilità dell'account al di fuori dei periodi lavorativi previsti. I Dispositivi Affidabili possono ulteriormente limitare le connessioni a endpoint approvati quando il metodo di connessione supporta l'identificazione del dispositivo.

Questi controlli somigliano ai controlli contestuali utilizzati nelle strategie di Zero Trust. Tuttavia, le informazioni su posizione, tempo e dispositivo dovrebbero rimanere segnali di supporto piuttosto che prove definitive che una connessione sia affidabile.

Autorizzazioni granulari e sessioni sicure

La nostra soluzione include controlli di autorizzazione per la revisione e la gestione dei privilegi degli utenti e dei gruppi. Gli amministratori possono limitare l'accesso a file, cartelle, oggetti di registro e stampanti sul server Windows protetto.

Le sessioni sicure possono quindi applicare diversi livelli di sicurezza a utenti e gruppi specifici. Insieme, queste funzionalità riducono ciò a cui un account connesso può accedere o modificare dopo l'autenticazione.

Questo approccio di minimo privilegio a livello di server può limitare l'impatto di un account compromesso. Tuttavia, non è equivalente a un motore di policy ZTNA, che normalmente media l'accesso a singole applicazioni o servizi prima di stabilire la connettività di rete.

Protezione da Ransomware

La nostra soluzione monitora l'attività del server per comportamenti associati al ransomware. Combina indicatori statici con analisi comportamentale per rilevare attività di file sospette e rispondere quando viene identificato un potenziale ransomware.

Questa protezione è particolarmente rilevante quando gli utenti remoti possono aprire documenti condivisi o scrivere nello storage del server. Poiché un account valido può ancora essere abusato per eseguire software dannoso, garantire la connessione da solo non è sufficiente.

La protezione da ransomware dovrebbe quindi integrare backup offline testati, gestione delle patch, protezione degli endpoint e procedure di risposta agli incidenti piuttosto che sostituirli.

Controlli del firewall, eventi e avvisi

TSplus Advanced Security può applicare regole di blocco tramite Windows Firewall o il suo firewall integrato. Gli amministratori possono bloccare indirizzi ostili, mantenere elenchi di autorizzazione e rivedere le restrizioni di rete dall'interfaccia di Advanced Security.

Il cruscotto mostra anche eventi di sicurezza recenti, mentre avvisi configurabili possono notificare gli amministratori via email, SMS o Microsoft Teams quando si verificano eventi selezionati. Insieme, queste funzionalità forniscono visibilità sulle connessioni bloccate e su altre attività che potrebbero richiedere un'indagine.

Il monitoraggio rimane essenziale sia negli ambienti VPN che in quelli Zero Trust. I controlli preventivi possono ridurre il rischio, ma i team IT devono continuare a rivedere gli avvisi, indagare su comportamenti insoliti e affinare le politiche man mano che cambiano i requisiti di accesso.

Conclusione

La differenza centrale tra l'accesso remoto Zero Trust e una VPN è l'ambito e il momento della fiducia. Una VPN di solito crea un percorso di rete crittografato dopo aver autenticato un utente o un dispositivo. ZTNA concede l'accesso a una risorsa specifica dopo aver valutato l'identità, il dispositivo e le condizioni contestuali.

Una VPN rimane appropriata per connessioni site-to-site, amministrazione di rete, protocolli legacy e carichi di lavoro che richiedono connettività a livello IP. ZTNA è generalmente più adatto a dipendenti, appaltatori e partner che hanno bisogno solo di applicazioni o servizi selezionati.

Molte organizzazioni trarranno vantaggio dalla combinazione dei due approcci. L'accesso a livello di applicazione può orientarsi verso ZTNA, mentre le connessioni VPN ristrette rimangono disponibili per i flussi di lavoro che richiedono realmente l'accesso alla rete. Qualunque modello venga scelto, l'autenticazione forte, il principio del minimo privilegio, la segmentazione, il rafforzamento del server e il monitoraggio continuo rimangono necessari.

Ulteriori letture

back to top of the page icon