VPN, una fucina di problemi di sicurezza. Passa subito ad Awingu!

logo Ready Informatica
linea di divisione
logo di ready Informatica
linea di divisione testata da corpo
Vai ai contenuti

VPN, una fucina di problemi di sicurezza. Passa subito ad Awingu!

Ready Informatica, Distributore IT ad Alto Valore Aggiunto
Pubblicato da Giacomo Perucchini in infrastrutture · 2 Settembre 2020
Tags: awinguvpn
VPN, una fucina di problemi di sicurezza. Passa subito ad Awingu!

VPN: la tecnologia (obsoleta) ed i suoi rischi

Una VPN, Virtual Private Network, è, in parole semplici, una tecnologia che consente l’estensione a livello geografico di una rete locale privata aziendale (LAN), che collega tra loro siti interni all'azienda stessa, variamente dislocati su un ampio territorio. Una VPN quindi permette di estendere il funzionamento di un dispositivo (PC, telefono, tablet, etc) da una rete domestica ad una rete aziendale centralizzata, come se il dispositivo fosse in esecuzione proprio nella LAN. A livello tecnico, è formato da una parte da installare centralmente ed una, chiamata client VPN, da installare su ogni dispositivo da cui si vuole abilitare il collegamento remoto alle risorse aziendali.

Ciò ha alcune conseguenze: una interfaccia utente spesso non user-friendly e troppo complicata per un normale utente, il fatto che la VPN periodicamente “cada”, cioè per problemi di rete si disconnetta, e tutta una serie di implicazioni di sicurezza. E’ consigliabile abilitare la VPN solo su dispositivi che sono completamente gestiti, con antivirus, password policy, backup, monitoraggio, autenticazione a due fattori, etc pena gravi rischi di sicurezza. Il client VPN installato deve essere sempre aggiornato all’ultima versione per prevenire e risolvere tutti i problemi e vulnerabilità rilevate nel frattempo dal produttore. Infine, molti client VPN aziendali non sono disponibili su tutti i diversi sistemi operativi (MacOS, Chromebook, Raspberry Pi, tablet Android, etc).

Secondo svariate analisi, oltre il 40% delle violazioni della sicurezza proviene da utenti autorizzati come appaltatori, fornitori e dipendenti regolarmente collegati da remoto tramite VPN. Ciò significa che le VPN e la rete circostante in generale, non dispongono dei controlli granulari necessari per allocare utenti con diritti specifici. Una volta che un utente remoto viene autenticato da una VPN, tale utente viene considerato affidabile e ottiene l'accesso a qualsiasi cosa sulla rete aziendale, rendendo la rete aziendale piuttosto vulnerabile ed aprendo la strada ad attacchi malware o fughe di dati.

Ecco il motivo per cui sarebbe ottimo evitare VPN, o almeno abilitare la VPN solo sui dispositivi di proprietà e gestiti in toto dall'azienda. L'IT deve avere un controllo ottimale del dispositivo, essere certo che esegua l'ultima versione del sistema operativo regolarmente patchato, disponga di un servizio anti-malware attivo, abiliti l’autenticazione a due fattori, ecc. Tutto questo, se correttamente gestito, genera un sovraccarico di costi, mansioni e competenze verso l’IT che vanno nel medio-lungo periodo a creare più problemi di sicurezza che benefici nell’immediato, oltre che aggravare i costi aziendali per creare un vero smart-working.

Per questi motivi, eseguire una VPN sui dispositivi di proprietà dell'utente, come sta avvenendo in questi tempi a causa dello smart-working e della necessità di abilitare connessioni remote in breve tempo, è assolutamente sconsigliato. E’ necessario allora pensare ad una diversa strategia per abilitare e normalizzare le connessioni da remoto, in smart-working, in sicurezza. Ecco che Awingu entra in nostro aiuto con la sua tecnologia innovativa.

Awingu: l’innovativo approccio differente

Awingu è uno spazio di lavoro unificato basato su browser. Rende le applicazioni e i desktop basati su RDP disponibili in HTML5, su qualsiasi browser. Inoltre, aggrega in un’unica interfaccia sicura file server, intranet, applicazioni web, SaaS con la tecnica del Single Sign-On.

    • Autenticazione a più fattori: Awingu viene fornito con una soluzione MFA incorporata e può (se necessario) integrare facilmente il metodo di autenticazione corrente. Aggiungendo MFA, ridurrete al minimo il rischio di "attacchi di forza bruta". L'MFA integrato di Awingu supporta l'uso di token una tantum (HOTP) e token basati sul tempo (TOTP). Awingu integra anche DUO Security, Azure MFA, SMS Passcode o servizi basati su Radius.
    • Crittografia su HTTPS: tra l'utente finale (browser) e l'appliance virtuale Awingu, Awingu favorisce e abilita la crittografia su HTTPS. Awingu consente l'utilizzo di propri certificati SSL (o proxy SSL). Inoltre dispone di un'integrazione incorporata con Let’s Encrypt che genera automaticamente un certificato SSL univoco e si occupa del suo rinnovo.
    • Solo porta 443: se impostato correttamente, Awingu richiede solo che la porta 443 sia disponibile per i client degli utenti finali.
    • Ampio controllo dell'utilizzo: Awingu è dotato di un ampio registro di utilizzo. Il controllo dell'utilizzo tiene traccia di quali sessioni dell'applicazione gli utenti aprono (o chiudono) e quando e dove (da quale indirizzo IP) lo fanno. Tiene traccia anche di quali file vengono aperti, eliminati, condivisi, ecc. Il registro di controllo è disponibile tramite la dashboard di Awingu (amministratore) ed è possibile estrarre rapporti personalizzati.
    • Rilevamento di anomalie: essere informati sulle irregolarità nel vostro ambiente, come qualcuno che accede troppo spesso con una password sbagliata o qualcuno che cerca di accedere dall'estero. Queste informazioni sono disponibili tramite la dashboard di Awingu (solo amministratore).
    • HTML iso RDP: RDP è noto per avere numerosi exploit, specialmente quando si eseguono versioni precedenti e senza patch. HTML riduce al minimo il "vettore di minaccia" specifico per RDP (ad es. Bluekeep, NotPetya).
    • Controlli di utilizzo granulari: è possibile assegnare diritti specifici per ogni utente (gruppo); per esempio: impedire l'uso della stampante virtuale (ovvero nessuna stampa a casa), impedire il download (o il caricamento) di file da e verso il desktop locale, impedire la condivisione della sessione dell'applicazione Awingu, impedire la condivisione di file Awingu, ecc.
    • Registrazione della sessione: Awingu può abilitare la registrazione automatica delle applicazioni o degli utenti impostati (nota: escluso per le sessioni Awingu Reverse Proxy). L'utente finale riceverà un avviso della registrazione prima di avviare la sua applicazione / desktop Awingu e dovrà "accettare"
    • Nessun dato locale: tutte le applicazioni, i file, i desktop ospitati, ecc. vengono eseguiti in HTML5 all'interno del browser. Non vi è alcun footprint sul dispositivo (cfr. Controlli di utilizzo granulari) e vengono condivise solo le "immagini" dello schermo.

Contattateci per avere maggiori informazioni al numero 039-9212121 oppure scrivete a awingu@ready.it o visitate la pagina dedicata https://www.ready.it/awingu/prodotti.html.  

Compilate la form a questa pagina per poter accedere alla nostra demoroom oppure se volete installare e configurare il vostro ambiente Awingu e permettere ai vostri utenti di lavorare finalmente da qualunque postazione e dovunque in totale sicurezza!



Torna ai contenuti