VPN aziendale: cos’è, come funziona e quale scegliere per la tua PMI

Una VPN aziendale è una tecnologia di rete che permette di connettere, in modo protetto, utenti e sedi remote alla rete aziendale attraverso internet.  Se progettata e gestita correttamente, riduce i rischi legati al traffico in transito e abilita lo smart working e l’accesso controllato ai servizi interni.

Le minacce informatiche come il phishing e i ransomware sono sempre più consistenti e sofisticate. Con l’intelligenza artificiale, poi, la complessità e il volume degli attacchi sono parametri in continuo aumento. 

Tra tutti gli strumenti necessari per connetterti su reti remote tramite internet, e ridurre i rischi, la VPN aziendale è un elemento utile (ma non unico) per la business continuity. Vuoi scoprire perché?

Cos’è una VPN aziendale? Definizione

Una VPN aziendale è una tecnologia che crea un tunnel cifrato tra dispositivi/utenti e l’infrastruttura aziendale, abilitando l’accesso remoto alle risorse interne e/o la connessione tra sedi (site-to-site) su internet.

La VPN consumer, da non confondere con quella ad uso aziendale, serve per accedere attraverso un’altra identità IP e ottenere l’anonimato o per aggirare servizi che hanno blocchi geografici. Ad esempio, quando è stato bloccato l’accesso a ChatGPT dall’Italia.

Nel contesto aziendale, la VPN (o virtual private network) non è pensata per l’anonimato dell’utente, ma per garantire che le connessioni verso l’infrastruttura interna avvengano in modocifrato e controllato. Il focus si sposta sulla connessione tra utenti e reti, la sicurezza è una conseguenza e non un fine.

Quali sono le caratteristiche tecniche?

Quella che hai appena letto è una spiegazione semplificata, introduttiva, del concetto di VPN. Per approfondire il concetto, possiamo sostenere che un virtual private network aziendale è un’infrastruttura di rete che crea connessioni cifrate attraverso reti pubbliche non affidabili (ad esempio internet), estendendo la rete privata a utenti remoti e sedi distribuite. 

Ciò significa che implementa un overlay network in grado di incapsulare il traffico in tunnel crittografici per confermare integrità e autenticazione dei dati. In questo quadro, il tunneling è il meccanismo fondamentale.

I pacchetti della rete privata vengono inseriti in altri per il trasporto nella rete pubblica. Questo crea, per rimanere nella metafora dei trasporti su gomma, un tunnel virtuale punto-punto o punto-multipunto. 

La cifratura simmetrica e asimmetrica – rispettivamente per traffico bulk e scambio delle chiavi – protegge il contenuto da intercettazioni e il perfect forward secrecy (PFS) genera chiavi di sessione temporanee per fare in modo che la compromissione di una chiave non minacci il traffico passato.

Perché ogni PMI dovrebbe usare una VPN?

Decidere di investire sulla sicurezza online è una scelta conveniente e necessaria per tutelare i dati e proteggersi da violazioni e attacchi informatici. E uno strumento per consentire l’accesso remoto e la connessione tra reti è incredibilmente vantaggioso per tutte le aziende che hanno a cuore l’efficienza operativa.

Sicurezza dei dati

Ricordiamo che per la VPN aziendale abbiamo delle differenze rispetto all’opzione consumer. Non utilizziamo la VPN per aggirare blocchi geografici o navigare in forma anonima. Il traffico viene cifrato tra il dispositivo e il gateway VPN questo riduce drasticamente il rischio che qualcuno, intercettando i pacchetti su reti non fidate, possa leggerne il contenuto.

Questo perché il traffico viene cifrato end-to-end utilizzando protocolli standard di settore come IPsec o OpenVPN con AES-256. Questo significa che anche se qualcuno intercettasse i pacchetti di rete, vedrebbe solo dati incomprensibili. Poi c’è la protezione da sniffing su reti non fidate da considerare: quando ti connetti da WiFi pubblici, hotspot di aeroporti o qualsiasi rete esterna, la VPN crea un tunnel sicuro tra il tuo dispositivo e il gateway aziendale. 

Gli attacchi di tipo man-in-the-middle (MITM) o packet sniffing diventano inefficaci: un eventuale attaccante sulla stessa rete vedrebbe solo traffico cifrato diretto al server VPN, senza possibilità di decodificarlo.

L’accesso alle risorse interne avviene solo dopo autenticazione forte e ogni connessione viene loggata. Il firewall aziendale riconosce solo il traffico proveniente dal gateway VPN, rendendo impossibile l’accesso diretto dall’esterno. Inoltre, le policy di accesso possono essere granulari: definire chi può accedere a quali risorse, in quali orari, da quali dispositivi.

Continuità operativa

La VPN è un elemento utile del disaster recovery plan dal punto di vista dell’accesso e della connettività, ma non esegue il ripristino dei sistemi o dei dati, che dipende da backup, replica e procedure di recovery.

Per aziende enterprise con esigenze e budget particolari c’è il gateway VPN in due data center geograficamente distanti. Se il primario ha un’interruzione causata da incendio, blackout, alluvione o terremoto il secondo interviene. La VPN è un componente infrastrutturale utile ma non è l’unica attenzione necessaria: la business continuity dipende da un insieme composto anche e soprattutto da backup, disaster recovery, processi e governance.

Smart working 

Dopo la pandemia da Covid-19, lo smart working è diventato un concetto comune e la VPN è stata eletta come un requisito operativo critico. Ma questo benefit deve essere implementato bene se vuoi rispettare tutte le regole in termini di GDPR e NIS2. Un’azienda sanitaria può evitare una multa potenziale di 20 milioni di euro o 4% del fatturato se dimostra che l’accesso ai dati pazienti avveniva esclusivamente via VPN con certificati client e OTP.

Accesso protetto ai server

Quello che ci interessa di più è che grazie a una VPN tutti i servizi interni rimangono su IP privati, e da internet pubblico sono inesistenti. Non rispondo a ping, scan di porte: l’unico endpoint pubblico è il gateway VPN che hai fortificato, patchato, monitorato.

La VPN è sufficiente per la sicurezza aziendale?

La VPN è un componente importante, ma non basta a garantire una sicurezza informatica aziendale minimamente degna di questo nome. Il concetto di virtual private network risolve un solo problema: proteggere i dati in transito su reti non affidabili. Ma, ad esempio, non distingue tra utente legittimo e malware che agisce per conto dell’utente. 

Per questo servono gli EDR (Endpoint Detection and Response) sul laptop, così come sono necessari tutti gli strumenti come WAF, backup cloud e formazione del personale in termini di cyber security per proteggere i dati a riposo, gestire insider threat e affrontare minacce come phishing e ransomware più relative evoluzioni come smishing e vishing.

Come funziona una VPN aziendale

Il concetto è semplice: se usi una VPN aziendale – ad esempio – per lo smart working sicuro stai operando in modo che tutto il traffico appare come una connessione criptata generica verso l’IP aziendale. Chi monitora il tuo lavoro, soprattutto se lo fa con intento malevolo, non può vedere che il dipendente che lavora da casa sta accedendo a un software, scaricando documenti o controllando l’email. Un esempio?

Marco è un commerciale che lavora da casa. Alle 9:00 deve accedere al CRM aziendale su un server interno (IP privato 10.0.5.20) che non è raggiungibile da internet. Con una VPN ci sono dei passaggi decisivi:

• Autenticazione: Marco avvia il client VPN, inserisce credenziali e codice 2FA.
• Handshake crittografico: il client e il gateway VPN negoziano chiavi di cifratura.
• Creazione tunnel: viene stabilita un’interfaccia di rete virtuale sul PC.
• Routing: il sistema operativo instrada il traffico attraverso una VPN.

L’obiettivo è rendere le informazioni illeggibili e decifrabili solo da chi è in possesso della chiave, rendendole inutilizzabili da chi ne entra in possesso senza autorizzazione. Può essere simmetrica, asimmetrica o basata sull’hashing a seconda del protocollo di comunicazione adottato dal fornitore del servizio.

VPN Site-to-Site

Qui parliamo di una soluzione VPN rete a rete. Vale a dire, connessioni permanenti tra sedi fisiche diverse. I singoli utenti non hanno client VPN, perché l’intera rete locale è già connessa. Questa soluzione permette di centralizzare infrastruttura basata su server, backup e sicurezza senza esporre ogni sito individualmente su internet. Nessuno deve connettersi alla VPN. Un dipendente a Bologna accede al file server di Milano come se fosse locale. Stesso discorso per stampanti o database.

VPN per accesso remoto (remote access VPN)

Questo è il modello client-to-site: singoli utenti che si connettono alla rete aziendale da postazioni remote. Si utilizza soprattutto per smart working o lavoro ibrido con accesso completo alle risorse interne come se fossi in ufficio. Ma anche per gestire consulenti, tecnici, commerciali che hanno bisogno di un accesso sicuro da hotel, aeroporti, clienti che lavorano attraverso il concetto di bring your own device: smartphone e tablet personali che usano dati aziendali in modo protetto.

Quanto costa una VPN aziendale?

Non esiste un prezzo standard per una VPN aziendale. Il costo non dipende dalla VPN in sé ma dall’architettura che la gestisce e dal modo in cui viene utilizzata. Nel caso di VPN gestite tramite firewall aziendale, il fattore principale è il dimensionamento del gateway: 

• Capacità di throughput cifrato.
• Numero di connessioni simultanee.
• Servizi di sicurezza attivi.
• Presenza di alta affidabilità (HA).

Una PMI con pochi utenti ma traffico elevato o requisiti di sicurezza avanzati può avere costi superiori rispetto a un’azienda più grande con esigenze più semplici. Nel caso delle VPN cloud, i costi dipendono da numerosi parametri:

• Numero di utenti.
• Volume di traffico.
• Area geografica.
• Integrazione con sistemi di identità.
• Logging e SLA.
• Modello di licensing (flat o pay-per-use).

Per questo motivo, parlare di costi per dimensione aziendale è fuorviante. Una stima corretta richiede sempre un’analisi preliminare dell’infrastruttura esistente, dei flussi di lavoro e dei requisiti di sicurezza.

In molti casi, sfruttare firewall e infrastrutture già presenti consente di ridurre i costi del 30–50%, evitando investimenti inutili e soluzioni sovradimensionate.

Come scegliere una VPN aziendale

Non esiste una VPN giusta in assoluto ma una soluzione corretta da scegliere dopo un assessment tecnico che valuti l’infrastruttura esistente, i flussi di lavoro e i rischi. In ogni caso, scegliere una VPN aziendale non significa acquistare un prodotto qualsiasi.

La scelta si basa sulla capacità di definire un’architettura di accesso remoto coerente con il modo in cui l’azienda lavora. Il primo passo riguarda la scelta del modello di utilizzo: accesso remoto per smart working, connessione tra sedi (site-to-site), accesso di consulenti esterni o integrazione con ambienti cloud.

Solo dopo aver chiarito questi aspetti si passa al dimensionamento dei componenti tecnici, che cambia in base alla soluzione adottata. Nel caso di VPN gestite tramite firewall on-premise, il gateway diventa centrale e va dimensionato tenendo conto di:

• Throughput cifrato reale nei momenti di picco.
• Numero di connessioni simultanee.
• Servizi di sicurezza attivi (IPS, logging, ispezione).
• Requisiti di alta affidabilità (HA).

Un singolo gateway rappresenta un single point of failure. La ridondanza (active-passive o clustering) è una scelta architetturale e va valutata in base al costo reale di un fermo operativo. Nel caso di VPN cloud o servizi gestiti entrano in gioco parametri come numero di utenti, traffico, integrazione con i sistemi di identità, logging e SLA. Qui la scalabilità è spesso nativa, ma la progettazione delle policy di accesso resta il vero fattore critico.

Le principali tipologie di VPN aziendale

Nel contesto aziendale possono esserci diversi tipi di VPN. La scelta dipende da dimensioni dell’azienda, budget, livello di sicurezza richiesto e infrastruttura IT già in uso (lo abbiamo visto nel paragrafo precedente). Prima di ogni decisione, però, devi conoscere le tipologie di VPN descritte in modo chiaro.

VPN su firewall hardware

È la scelta standard per le PMI e grandi aziende. La VPN è integrata nel firewall aziendale, opera su un dispositivo dedicato alla sicurezza. Quindi è stabile, scalabile e offre un controllo utile su utenti, accessi e policy. Svolge il suo compito egregiamente nel settore dello smart working, se hai dati sensibili e per chi ha sedi in luoghi differenti. Costa di più rispetto ad altre opzioni, ma in cambio riduce rischi e problemi operativi.

VPN software

Soluzione più economica e facile da attivare. Si basa su software installato su server o singoli dispositivi. Va bene per realtà piccole o per esigenze a tempo limitato, ma non è pensata per carichi importanti o scenari articolati. La sicurezza dipende molto da come viene configurata e mantenuta. Se non c’è un consulente informatico al tuo fianco – o un’azienda che si occupa di cyber security esterna – diventa un punto debole.

VPN cloud

Pensata per aziende che lavorano già in cloud o con infrastrutture ibride. Non richiede hardware interno e si integra facilmente con servizi cloud e utenti distribuiti. È flessibile, veloce da scalare e adatta a team remoti. Ma la sicurezza dipende dal provider e da come vengono gestite identità e accessi. Non è sicura di default, va progettata bene. Ecco perché il prossimo paragrafo è decisivo.

Perché affidarsi a un partner IT specializzato

La sicurezza e la continuità operativa non si improvvisano. Affidarsi a un partner specializzato come IT Impresa – azienda specializzata nell’adeguamento alle normative GDPR/NIS2 e consulenza IT – significa smettere di ragionare per interventi emergenziali e iniziare a lavorare su un’infrastruttura professionale.

Un partner serio inizia sempre dalla consulenza: analizza come lavora la tua azienda, quali dati deve affrontare, dove sono i rischi da anticipare e mitigare. Non propone soluzioni standard a scatola chiusa, e neanche uguali per tutti. Tutto si basa su scelte coerenti con il contesto operativo, con il budget disponibile e con i rischi da affrontare.

Segue la progettazione della rete e del firewall, che è il vero perimetro di difesa dell’impresa da proteggere attraverso la VPN aziendale. Segmentazione, regole di accesso, priorità di traffico: se questi elementi non sono progettati bene, anche le tecnologie migliori diventano inutili. Per questo si investe nella gestione delle identità e nella cifratura corretta, con controllo degli accessi e compatibilità con i flussi di lavoro quotidiani. 

Una VPN mal configurata è una falsa sicurezza informatica per le PMI. Le minacce cambiano, i sistemi si aggiornano, gli errori capitano anche al team più attento. Senza controllo costante, anche un’infrastruttura ben fatta mostra i propri punti deboli. 

Errori da evitare quando si installa una VPN aziendale

Se ti affidi a un partner specializzato, come ad esempio IT Impresa, puoi evitare anche tutti gli errori di configurazione errata che vanificano le performance della VPN. Sarebbe un vero spreco di risorse acquistare un servizio professionale e rinunciare alla protezione attiva a causa di porte aperte, autenticazione debole, mancati aggiornamenti.

In questo modo puoi evitare anche una serie di errori fondamentali. Ad esempio, spesso si tende a usare una VPN consumer in ambito aziendale. Strumenti pensati per uso personale non offrono controllo, logging serio o gestione centralizzata degli utenti. Pensare che la VPN basti da sola è un altro problema tipico che una consulenza mirata ti aiuterà a superare: senza firewall ben configurato, policy di accesso e segmentazione della rete, stai solo aprendo una porta diretta verso l’interno. Altri errori tipici:

• Configurazioni standard copiate da guide online – Ogni azienda ha flussi diversi. Applicare configurazioni base significa creare buchi o bloccare chi deve lavorare. 
• Gestione approssimativa degli utenti – Account condivisi, password deboli, ex dipendenti ancora attivi. È uno degli errori più comuni e anche uno dei più pericolosi.
• Nessuna autenticazione forte – Una VPN senza MFA è una porta socchiusa. Le credenziali rubate sono all’ordine del giorno. Senza 2FA, prima o poi qualcuno entra.
• Trascurare aggiornamenti e patch – Una VPN non manutenuta è un bersaglio facile. Vulnerabilità note, firmware vecchi, software mai aggiornato.
• Assenza di monitoraggio e log – Se non sai chi entra, quando e da dove, non stai gestendo una VPN. Stai solo sperando che vada tutto bene.

Per questi motivi, e per tutti quelli elencati finora, la consulenza esterna diventa fondamentale quando decidi di investire in servizi IT. Vuoi implementare una VPN aziendale affidabile e professionale per la tua PMI? Contattaci per una consulenza: progettiamo, configuriamo e monitoriamo la tua rete in totale sicurezza.