Le nuove modalità operative, per esempio l’utilizzo intenso dello smart working ma anche la possibilità di collaborare da remoto con i partner e i fornitori, devono prevedere la possibilità di accedere alle applicazioni aziendali – da ogni luogo e con i diversi dispositivi di computing – ma di poterlo fare anche in sicurezza, senza esporre dati e informazioni. In questo scenario, come abbiamo analizzato in diversi contributi, pensare alla difesa del perimetro aziendale è chiaro che non rappresenta più l’approccio migliore, per affrontare i problemi.
La proposta di un approccio Zero Trust, come quello di Akamai, si rivela invece virtuoso ed è possibile beneficiarne a partire da alcuni semplici passaggi. Il primo prevede di fornire agli utenti l’accesso solo alle applicazioni necessarie, ma è importante farlo anche quando essi si trovano a lavorare da remoto e in uno scenario, di fatto, complesso.
Ci sono da gestire applicazioni locali legacy sviluppate internamente, applicazioni basate sul Web e applicazioni basate sul cloud. Serve anche concedere l’accesso alle piattaforme IaaS o SaaS, o a più piattaforme cloud come Aws, Google Cloud e Azure. In un approccio volto alla difesa del perimetro, un accesso sicuro impegna a monitorare e aggiornare costantemente la rete, i dispositivi, il software e le configurazioni relative ai criteri, su più strumenti e dispositivi. E’ una via questa troppo complessa e spesso infruttuosa, anche per gli errori che è facile compiere, senza contare che molti strumenti non possono supportare la protezione dell’accesso su più piattaforme cloud.
Per questo scopo, la soluzione proposta all’interno del framework Zero Trust è Akamai Enterprise Application Access, un proxy basato sulle identità (IAP) nel cloud.
Enterprise Application Access, caratteristiche e vantaggi
Rappresenta forse il modo in assoluto più semplice e sicuro per proteggere e distribuire le applicazioni che vengono eseguite dietro un firewall o anche nel cloud pubblico e, soprattutto, senza dover ricorrere all’utilizzo di una VPN. Di fatto si tratta di un servizio di accesso remoto sicuro che consente di proteggere le applicazioni dalle minacce Internet ma allo stesso tempo senza perdere il controllo e la governance dell’accesso da parte dei dipendenti, come dei partner e dei fornitori, di tutti coloro che si trovano a “collaborare” allo sviluppo del business aziendale. Un esempio concreto di come, pur di fronte al dissolvimento dei confini del perimetro, sia possibile operare in sicurezza.
In pratica gli utenti su Internet si possono connettere al servizio Enterprise Application Access (EAA) tramite una URL verificata cui si accede da browser, dove forniranno le loro credenziali e avranno accesso solo alle applicazioni previste, senza necessariamente entrare “nella rete” aziendale. Scendendo solo un pochino di più nelle “technicality”, per i più esperti, si sfrutta un connettore EAA che si connette al server delle applicazioni, quindi effettua la chiamata al servizio EAA sulla porta TCP 443, comunemente aperta per la comunicazione in uscita sui firewall della maggior parte delle aziende. Quindi gli utenti Internet si connettono al servizio EAA, come accennato, tramite la URL che inseriscono nei loro browser. E forniscono semplicemente le proprie credenziali per accedere alle applicazioni senza rischi.
L’esclusiva architettura cloud proposta da Akamai per questo servizio, infatti, chiude tutte le porte del firewall in ingresso mentre gli utenti e ai dispositivi autenticati possono accedere alle applicazioni interne previste, ma non all’intera rete. Le applicazioni addirittura non sono visualizzabili pubblicamente, nemmeno su Internet.
La proposta prevede la protezione del percorso dati, il sistema di autenticazione Single Sign-On, l’accesso alle identità, la messa in sicurezza delle applicazioni e gli strumenti per la visibilità e la gestione delle applicazioni e delle policy di accesso, continua e granulare, in un’unica proposta.
Soprattutto si parla di una soluzione altamente adattabile, intelligente e “edge based” e di una valida alternativa quindi alle soluzioni legacy di accesso sicuro.
Prevede come accennato la possibilità di autenticazione a più fattori (MFA, e la relativa integrazione con le soluzioni di terze parti) e comprende le funzionalità di monitoraggio per applicazioni su più cloud e posizioni ma, a differenza delle soluzioni di sicurezza perimetrali legacy – come appunto le VPN che richiedono porte firewall aperte, tunneling e accesso alla rete – assicura in semplicità anche monitoraggio e aggiornamento costanti di configurazione relativa a rete, dispositivo, software e policy.
E’ possibile distribuire la soluzione attraverso un portale unificato e da un unico punto di controllo, indipendentemente dalla rete utilizzata per l’accesso, ma soprattutto considerato il bassissimo impatto – praticamente nullo – sull’usability, si amplificano anche i ritorni dell’investimento (nulli i costi Capex – non ci sono appliance da installare e gestire – bassissimi gli Opex) perché grazie alle funzionalità di verifica del comportamento dei dispositivi – per esempio le informazioni su un’eventuale compromissione possono essere raccolte da Enterprise Threat Protector (ma è possibile anche raccogliere segnali per l’applicazione delle policy da strumenti come Carbon Black) – gli utenti possono svolgere in serenità il proprio lavoro, mentre il sistema nel tempo matura una serie di segnali di “intelligence” su minacce ed effettiva sicurezza che aiuta a migliorare l’accesso contestuale alle applicazioni.
Enterprise Application Access rappresenta di fatto un tassello dei tanti vantaggi di un approccio alla sicurezza come quello proposto da Akamai che prevede elevata attenzione all’edge. Infatti, distribuita sull’edge, il servizio supporta poi tutte le applicazioni anche quelle “clientless”, è possibile integrare con un clic Active Directory, il supporto per le identità SAML, CDN, proxy, Siem. L’architettura di EAA favorisce poi le aziende in cui scalabilità orizzontale e verticale sono fondamentali, grazie alle funzionalità ad alta disponibilità integrate, al bilanciamento del carico dei server e al routing automatico delle applicazioni.
Tutte le soluzioni che fanno parte dell’Akamai Intelligent Edge Platform vengono gestite tramite il portale unificato e personalizzabile Akamai Control Center, questo garantisce visibilità e controllo ma soprattutto che i clienti possano essere subito operativi e contare sul supporto degli esperti dei team Professional Services.
Non perdere tutti gli approfondimenti della Room Akamai Protect Your Business
© RIPRODUZIONE RISERVATA
