In un mondo in cui i confini tradizionali della rete non esistono più, le VPN stanno dimostrando la loro età.
Le reti private virtuali (VPN) esistono da oltre due decenni e forniscono tunnel sicuri e criptati per le comunicazioni e i dati. Sebbene esistano diversi tipi di VPN - tra cui SSL-VPN e IPSec, per citarne due - l'idea di base è la stessa, indipendentemente dall'implementazione. Con una VPN, viene creato un tunnel di trasporto IP sicuro che ha lo scopo di garantire la sicurezza dei dati, in quanto l'accesso è crittografato.
Il concetto di perimetro definito dal software (SDP) è un po' più recente e si è affacciato sulla scena nel 2013, sotto la direzione iniziale della Cloud Security Alliance (CSA). Con il modello SDP, invece di fidarsi semplicemente che un tunnel crittografato sia sicuro perché utilizza la Transport Layer Security (TLS), non c'è alcuna assunzione di fiducia - da qui l'uso del termine "zero trust" da parte di molti venditori in relazione a SDP.
In un'architettura SDP tipica, ci sono più punti in cui ogni connessione viene convalidata e ispezionata per aiutare a dimostrare l'autenticità e limitare i rischi. In genere, nel modello SDP c'è un controllore che definisce le politiche con cui i clienti possono connettersi e accedere a diverse risorse. Il componente gateway aiuta a dirigere il traffico verso il data center o le risorse cloud giuste. Infine, il dispositivo e i servizi si avvalgono di un client SDP che si connette e richiede al controllore l'accesso alle risorse. Alcune implementazioni SDP sono senza agente.
La premessa di base sulla quale le VPN sono state originariamente costruite e distribuite è che esiste un perimetro aziendale, protetto apparentemente con dispositivi di sicurezza perimetrale come IDS/IPS e firewall. Una VPN consente a un utente remoto o a un partner commerciale di attraversare il perimetro per accedere a ciò che si trova all'interno di un'azienda, fornendo privilegi di accesso locali, anche quando è in remoto.
La realtà della moderna azienda IT è che il perimetro non esiste più, con il personale, gli appaltatori e i partner che lavorano nelle sedi del campus, in remoto, nel cloud e in tutto il mondo. Questo è il mondo in cui SDP è nato e che si propone di risolvere.
Oggi le VPN sono ancora molto utilizzate e rimangono utili per alcuni tipi di accesso remoto e per le esigenze dei lavoratori mobili, ma comportano una certa dose di fiducia implicita o concessa. La rete aziendale si fida del fatto che qualcuno che possiede le giuste credenziali VPN debba avere tali credenziali e sia autorizzato ad accedere. Ora, se quell'utente VPN si rivela essere un utente malintenzionato o se le credenziali sono state rubate da una persona non autorizzata che ora ha accesso alla rete locale - questo è un problema, e un problema che le VPN, per loro stessa concezione, non risolvono molto bene, se non del tutto.
Un modello SDP o zero-trust può essere utilizzato all'interno della moderna azienda senza perimetro per aiutare a proteggere gli utenti remoti, mobili e del cloud, nonché i carichi di lavoro. L'SDP non si limita ad avere un tunnel sicuro, ma riguarda la convalida e l'autorizzazione. Invece di confidare semplicemente che un tunnel sia sicuro, ci sono controlli per convalidare la postura, politiche robuste che concedono l'accesso, politiche di segmentazione per limitare l'accesso e punti di controllo multipli.
La crescente adozione di tecnologie di sicurezza zero-trust da parte di organizzazioni di tutte le dimensioni è una tendenza in evoluzione. Quando le organizzazioni cercano di ridurre il rischio e minimizzare la loro potenziale superficie di attacco, avere più punti di controllo è spesso un obiettivo chiave. I professionisti della sicurezza raccomandano inoltre alle organizzazioni di ridurre al minimo il numero di utenti privilegiati e di concedere l'accesso in base al principio del minimo privilegio. Piuttosto che limitarsi a concedere a un utente VPN l'accesso locale completo, gli amministratori di sistema dovrebbero limitare l'accesso in base alla politica e all'autorizzazione del dispositivo, che è un attributo fondamentale del modello zero-trust.
Una soluzione zero-trust ben strutturata può anche offrire il vantaggio potenziale di un minor sovraccarico, senza la necessità di un'appliance fisica o di agenti lato client.
Per gli utenti aziendali, le VPN sono un concetto familiare per l'accesso remoto e non è probabile che questo cambi nel prossimo futuro. Per l'accesso a una condivisione di file locale all'interno di un'azienda, o anche per qualcosa di semplice come l'accesso a una stampante aziendale, una VPN rimarrà un'opzione ragionevole per i prossimi due o tre anni. Tuttavia, man mano che un numero maggiore di aziende passa all'SDP, anche il semplice accesso a una stampante sarà coperto.
All'interno delle aziende, le minacce interne nell'impresa senza perimetro sono probabili quanto quelle esterne, un modello di fiducia zero è un modello utile per limitare i rischi insider.
Per gli sviluppatori e per chi è coinvolto in DevOps, la fiducia zero è un approccio più elegante e controllato per concedere l'accesso e fornire l'accesso alle risorse on-premises, cloud e remote. Lo sviluppo è distribuito e il semplice tunneling in una rete non è così potente come quello che può consentire la fiducia zero.
Le VPN non sono più la soluzione unica e definitiva per proteggere l'accesso, come era stato promesso in passato.
La realtà di Internet moderno è che le minacce provengono da qualsiasi luogo, con la possibilità che qualsiasi dispositivo o credenziale utente compromesso possa essere utilizzato come punto di snodo per violare una rete. Un approccio a fiducia zero può andare oltre l'affidarsi alla crittografia e alle credenziali per minimizzare il rischio e migliorare la sicurezza. L'SDP non si limita a fingere che la finzione di un perimetro rigido esista ancora.