» continua
» continua
Molte aziende hanno aumentato o persino sostituito le VPN IPsec con soluzioni sicure di accesso remoto basate su SSL. Dato che le VPN SSL possono essere usate da Pc pubblici o domestici, risulta critico valutare la sicurezza dell'endpoint remoto quando si deve decidere se consentire l'accesso alle risorse aziendali. In questo articolo analizziamo perché e come le funzioni di controllo di accesso della rete sono usate per rafforzare le VPN SSL e qual è il loro rapporto con le iniziative NAC commerciali.
Opportunità e rischi
Usando il browser Web come piattaforma client, le VPN SSL consentono
l'accesso remoto a dispositivi al di fuori del controllo dell'IT, (Pc in
rete pubbliche, laptop dei business partner, palmari dei manager). Questo approccio “in
qualsiasi momento e dovunque” può estendere l'accesso a molti altri dipendenti
riducendo il costo della fornitura. Entro il 2008, Gartner prevede che quello
della VPN SSL sarà il metodo di accesso remoto primario per due telelavoratori
su tre e per oltre il 90% dei dipendenti che richiedono un accesso remoto
occasionale.
Tuttavia, collegare dispositivi di questo tipo alle reti aziendali aumenta il rischio. Se il Pc domestico di un telelavoratore è infettato con un worm o un trojan, il suo tunnel VPN può essere sfruttato per trasmettere tali malware alle risorse aziendali. Se un chiosco Internet ospita un sistema per registrare le sequenza di battitura dei tasti, può essere rubata l'intera sessione VPN dell'utente, compresi login e password. In entrambe le situazioni, gli utenti tendono a lasciarsi dietro dati sensibili, in luoghi dove altri possono trovarli, dalle cache password ai file temporanei.
Riempire il vuoto
Fortunatamente, i fornitori di VPN SSL
hanno lavorato sodo per risolvere queste problematiche. Gli odierni dispositivi
per le VPN SSL offrono un insieme ragionevolmente maturo di funzioni di
controllo di accesso alla rete per combattere le predette minacce:
Identificazione.Le VPN SSL supportano i metodi e le directory di autenticazione dell'utente, creando un fondamento per il controllo di accesso basato sull'identità. Ma un utente potrebbe collegarsi da endpoint (notebook, palmari, Pc pubblici) sia gestiti sia non gestiti. Le decisioni devono quindi essere basate non solo sull'identità di tale utente ma anche sull'identità e sul tipo di dispositivo. In funzione del prodotto, le VPN SSL possono riconoscere gli endpoint di fiducia usando l'HostID, il computer /domain name, il certificato del dispositivo, i file residenti, le chiavi di registro o token hardware. La VPN può anche identificare il sistema operativo e il browser dell'endpoint e adattare di conseguenza la sua risposta.
Integrità dell'endpoint.Per anni, le VPN hanno supposto semplicemente che i dispositivi controllati operassero in modo fidato. I dispositivi non gestiti hanno fatto nascere la consapevolezza del rischio, ma non era mai realmente sicuro supporre che gli endpoint fossero liberi da malware e conformi alle policy.
Oggi, la maggior parte delle VPN SSL controlla l'integrità degli endpoint, usando profili definiti da un amministratore volti a rilevare patch mancanti; vecchie firme dei virus; antivirus, anti-spyware e programmi firewall inattivi o corrotti; processi insoliti o porte in ascolto; firme di malware. Per facilitare la configurazione, molti prodotti forniscono template e liste di controllo tra cui scegliere, o costruttori grafici di regole. Alcuni possono persino interagire con i programmi di sicurezza degli endpoint gestiti. E, mentre la maggior parte delle VPN SSL può effettuare i controlli di pre-ammissione, alcuni possono anche supportare i controlli per l'integrità di post ammissione, assicurando che l'endpoint rimanga pulito.
Autorizzazione. Funzionando a un più alto livello, le VPN SSL forniscono policy più granulari di autorizzazione rispetto all'IPsec. Invece di garantire l'accesso alle intere sottoreti, le VPN SSL possono limitare l'accesso a determinati server, applicazioni, comandi, URL, folder e ad altri oggetti di dati. Combinando questi filtri granulari con l'autenticazione dell'utente, l'identificazione del dispositivo e l'integrità degli endpoint, i controlli di possono essere davvero potenti. Per esempio, per mezzo di un laptop aziendale un dipendente potrebbe avere ampio accesso alle applicazioni mentre tale accesso potrebbe essere limitato nelle sessioni terminale avviate da remoto tramite il Pc di un chiosco. Se falliscono i controlli di integrità degli endpoint, il dipendente può chiudere il collegamento su una pagina Web di auto-aiuto per avere assistenza e ottenere il rimedio. Alcuni prodotti VPN SSL legano utenti e dispositivi a gruppi e zone, facilitando la gestione e promuovendo la consistenza.
Esecuzione. La sicurezza non si esaurisce quando viene stabilito un tunnel VPN SSL. La VPN deve fare rispettare i filtri che determinano quali sono i messaggi di applicazione che l'utente può trasmettere, dove possono andare e come sono protetti durante il transito. La maggior parte dei prodotti per una VPN SSL spingono l'esecuzione più in là, per limitare i rischi legati agli endpoint non gestiti. Durante la sessione, l'utente può quindi operare in un luogo di lavoro "sicuro" (un ambiente virtuale che isola le attività e i dati da altri processi dell'endpoint).
Quando la sessione si conclude (a causa del termine dell'attività o per inattività), le VPN SSL possono cancellare tutti i dati di sessione, compreso la cache Web, la cronologia, i cookie, il completamento automatico e le password. Ancora, le misure possono essere basate su policy; per esempio, richiedendo un ambiente sicuro sulle piattaforme a elevato rischio permettendo ai file di essere salvati sul disco di un laptop privo di malware e conforme alle policy aziendali.
Relazioni con NAC
I lettori che hanno
una certa familiarità con il Network Admission Control di Cisco, il
Network Access Protection di Microsoft o il Trusted Network Connect di TCG
potrebbero osservare che queste funzioni ricordano molto da vicino i vari NAC, NAP
e TNC. Infatti, molti dei concetti e delle tecniche presenti in
questi standard arrivano dal mondo delle VPN SSL, a partire dal controllo dell'integrità
degli endpoint per arrivare ai “dissolubili” client software browser-based.
Si suppone che le VPN SSL giochino un ruolo rilevante nell'adozione di NAC. Infonetics prevede che più di due terzi dei gateway di una VPN SSL sarà utilizzato come componente del deployment di un NAC entro il 2008. In alcuni casi, quelle VPN SSL saranno parte di una più vasta strategia di NAC. Tutte e tre le architetture dell'infrastruttura vedono i gateway di una VPN come un tipo di dispositivo per il rispetto delle specifiche della rete. Molti fornitori di VPN SSL hanno annunciato il supporto alle architetture NAC o partecipano a una o più iniziative NAC. Per esempio, Cisco, Microsoft (Whale) e Juniper vendono appliance VPN SSL adatti rispettivamente a NAC, NAP e TNC. Caymas Systems ha persino un appliance VPN SSL che supporta sia NAC sia NAP.
Una volta implementato come componente di una più vasta strategia di NAC, un'ovvia metodologia è di avere l'appliance VPN SSL focalizzato sul controllo degli accessi alla rete degli utenti remoti: venditori, telelavoratori e professionisti mobili.
Tuttavia, alcuni analisti credono che le VPN SSL potrebbero svolgere un ruolo importante in una NAC. In particolare, mentre il perimetro della rete diventa un concetto "dinamico", sempre più dispositivi possono essere considerati remoti (esterni). Alcune imprese possono scegliere di far funzionare tutto l'accesso di rete - onsite e offsite - attraverso un appliance della VPN SSL. Questo modo di agire potrebbe fornire all'industria delle VPN SSL un'opportunità per ampliare il controllo dello stesso accesso alla rete e quindi elevare il livello di sicurezza nel caso di connessioni da endpoint potenzialmente rischiosi.
