Software Defined Perimeter: quale sicurezza offre?

Il Software Defined Perimeter è una tecnologia che si inserisce in un contesto dove ormai la virtualizzazione e le infrastrutture Cloud sono predominanti.
La necessità è offrire agli utenti la possibilità di accedere da remoto in maniera standardizzata e poter svolgere le proprie attività online senza temere di diventare vittima di attacchi informatici.

Cos’è esattamente questa soluzione innovativa? Quali vantaggi comporta?
Vediamo ogni dettaglio in questo articolo.

Cos’è un Software Defined Perimeter

Il Software Defined Perimeter (SDP), che letteralmente significa perimetro definito dal software, è una tecnologia che controlla l’accesso alle risorse attraverso dei processi di autenticazione per garantire sicurezza.
Crea un vero e proprio confine virtuale attorno alle risorse di rete e stabilisce un perimetro basato sul software anziché sull’hardware.

Così facendo nasconde a chiunque non abbia i regolari permessi l’infrastruttura aziendale, rendendo le risorse inaccessibili e protette.
L’architettura connessa a Internet (quindi gli elementi come server e router) indipendentemente che sia ospitata in sede o in Cloud risulta quindi invisibile agli estranei e ai potenziali malintenzionati, che vedono ridursi drasticamente la propria superficie di attacco.

Ma cosa differenzia un Software Defined Perimeter dagli altri metodi di controllo basati sugli accessi?
La novità è che il confine virtuale creato è un perimetro a livello di rete, non a livello di applicazioni, distinguendosi dalle altre soluzioni che sì limitano i privilegi dell’utente ma consentono un ampio accesso alla rete.

Inoltre un SDP autentica non solo l’identità di un utente ma anche i dispositivi connessi.

Come funziona un SDP

Grazie a un Software Defined Perimeter non è tecnologicamente possibile connettersi con un server a una rete a meno che non sia autorizzato a farlo.
Gli SDP consentono infatti l’accesso agli utenti solo dopo aver eseguitouna verifica dell’identità dell’utente e aver valutato lo stato del dispositivo.

Quale processo si innesca dopo? Non appena l’utente e il dispositivo vengono autenticati, l’SDP imposta una connessione di rete individuale tra quel device e il server a cui sta tentando di accedere.
In questo modo l’ utente autenticato non effettua l’accesso a una rete più ampia, ma dispone di una propria connessione di rete assegnata a cui nessun altro può accedere e che include solo i servizi di cui ha l’autorizzazione.
Proprio come un server web che è connesso a Internet ma non apre altre connessioni, non accetta richieste, non invia risposte e non ha punti di ingresso aperti.

I vantaggi del SDP legati alla sicurezza

Perché un’azienda dovrebbe affidarsi a un Software Defined Perimeter? Quali sono i vantaggi di cui si può disporre?

Analizziamo i principali:

• È un’alternativa alla VPN: la maggior parte delle aziende vuole ridurre o eliminare le VPN cercando un’opzione più veloce, più facile da gestire e che garantisca più sicurezza.
• Accesso multi-cloud sicuro: grazie a un SDP è possibile utilizzare diversi servizi di elaborazione sul Cloud in un unico ambiente. Non si è vincolati a nessun Cloud o rete particolare e si può disporre di una connessione in base alle policy aziendali indipendentemente da dove si connettono gli utenti o da dove vengono ospitate le app.
• Riduzione dei rischi: molto frequentemente gli utenti di terze parti ottengono privilegi di accesso eccessivi creando falle nel sistema di sicurezza di un’azienda. Con un SDP solo gli utenti autorizzati hanno accesso alle applicazioni per cui hanno ottenuto il permesso, mentre agli estranei l’intera infrastruttura resta invisibile.
• Monitoraggio costante: grazie al perimetro virtuale di rete aumenta il controllo dell’architettura aziendale e diminuiscono gli attacchi e le violazioni dati basati sulla rete, come DDoS, ransomware e malware.
• Integrazione accelerata delle M&A (Mergers and Acquisition): con le fusioni e le acquisizioni tradizionali, l’integrazione IT può essere un processo lungo anche parecchi anni poiché si devono far convergere le reti e gestire IP simili. Un SDP semplifica il processo e riduce sensibilmente il tempo necessario a garantire la riuscita dell’M&A.

Il modello Zero Trust

Parlando di sicurezza si può definire un Software Defined Perimeter come un modo per implementare con efficacia il modello Zero Trust.
Di cosa si tratta?

È un concetto secondo cui nessun utente, dispositivo o rete è considerato affidabile per impostazione predefinita: come dice il nome stesso la fiducia è pari a zero e può essere accordata solo al verificarsi di determinate condizioni.
Questo modello prevede infatti un rigoroso controllo dell’identità per ogni persona e dispositivo che tenta di accedere alle risorse interne, indipendentemente dal fatto che si trovino all’interno o all’esterno del perimetro della rete (o del perimetro definito dal software).

Prima della verifica si ha diritto solo all’accesso minimo alla rete di cui hanno bisogno e nessun device, nemmeno il personal computer di un CEO, può stabilire una connessione di rete con una risorsa che non è autorizzato a utilizzare.

SDN vs VNP, quale scegliere?

I Software Defined Perimeter possono incorporare le VPN (Virtual Private Network) nella propria architettura per creare connessioni di rete sicure tra i dispositivi degli utenti e i server a cui devono accedere.
Tuttavia ci sono sostanziali differenze tra le due tecnologie. Gli SDP sono infatti più sicuri, perché – a differenza delle VPN che consentono a tutti gli utenti connessi di accedere all’intera rete – gli SDP non condividono le connessioni di rete.

I perimetri definiti dal software sono inoltre più facili da gestire rispetto alle VPN, soprattutto se gli utenti interni necessitano di più livelli di accesso.
Questo perché si possono distribuire e configurare simultaneamente più VPN su una stessa rete, rischiando di compromettere la sicurezza generale e di creare accidentalmente dei varchi di accesso ai dati riservati di un’azienda.

I Software Defined Perimeter al contrario stabiliscono una connessione di rete privata per ogni utente – come se per ognuno creassero una sorta di VPN privata – e non esiste un’architettura complessiva a cui accedono tutti coloro che accedono alle stesse risorse.
In più verificano simultaneamente i dispositivi e gli utenti, rendendo molto più difficile per un hacker violare il sistema con le sole credenziali rubate.

Infine gli SDP possono essere distribuiti ovunque per proteggere l’infrastruttura on-premise, l’infrastruttura Cloud o entrambe, si integrano facilmente anche con implementazioni multi-cloud e Cloud ibrido e possono connettere gli utenti in qualsiasi luogo nonostante non si trovino fisicamente all’interno del perimetro di rete di un’azienda.

Software Defined Perimeter, le soluzioni open source

Analizziamo ora i vendors migliori sul mercato e le soluzioni opens source più valide:

• Perimeter 81 SDP: fornisce protezione per tutti gli elementi hardware appartenenti a una rete in Cloud di un’azienda. Esegue anche il marshalling dell’accesso interno alle risorse da parte degli utenti aziendali autorizzati integrandosi con i sistemi di gestione dei diritti di accesso.

• NordLayer: un servizio di sicurezza di rete che collega siti, piattaforme Cloud e utenti remoti in grado di implementare un perimetro definito dal software o una tecnologia SASE completa.
  
• GoodAccess: offre un servizio di accesso sicuro fornito dal Cloud. Nella versione gratuita offre VPN di base, nei piani a pagamento fornisce una strategia perimetrale completa definita dal software e ambienti Zero Trust.
  
• Twingate SDP: applica il modello Zero Trust a qualsiasi infrastruttura aziendale senza la necessità di modifiche hardware o software in loco.