Virtualizzazione

I migliori prodotti VPN SSL a confronto: vantaggi, caratteristiche e limiti

I prodotti basati sul protocollo Secure Socket Layer e Virtual Private Network (VPN) mantengono la sicurezza dei dati quando si ha la necessità di abilitare utenti remoti ad accedere alle applicazioni web, a server e alle reti interne dell’azienda. In questo articolo un’analisi e valutazione comparata dei migliori prodotti presenti oggi sul mercato.

Pubblicato il 12 Ott 2015

virtualizzazione-151011211955

I prodotti basati sul protocollo Secure Socket Layer e Virtual Private Network (VPN) mantengono la sicurezza dei dati quando si ha la necessità di abilitare utenti remoti ad accedere ad applicazioni web, server e reti interne dell’azienda.

Come funzionano? In sintesi gli SSL VPN creano un tunnel criptato che protegge tutto il traffico di rete che esce ed entra risptto al sistema aziendale. Questi prodotti sono di norma utilizzati per consentire l’accesso remoto sicuro per i dispositivi utilizzati dagli utenti finali, tra cui desktop, laptop, smartphone e tablet.

Accedere da remoto in tutta sicurezza a una moltitudine di applicazioni presenti nella rete aziendale è una necessità critica per molte aziende che devono offrire questo servizio ai propri utenti, sia che utilizzino device di proprietà dell’azienda sia che usino dispositivi personali (BYOD). Oltre ai propri dipendenti alcune aziende devono anche concedere la possibilità di accedere ad alcune applicazioni anche ai fornitori o ai partner commerciali che, come è facile supporre, utilizzano dispositivi proprietari per queste operazioni.

Soluzioni SSL VPN: diverse soluzioni per tutte le esigenze

Il mercato offre diverse soluzioni SSL VPN: esistono prodotti appositi che hanno esclusivamente le funzioni di SSL VPN, mentre altri, oltre alle funzioni SSL VPN, offrono anche ulteriori possibilità di impiego. Un

esempio su tutti sono i firewall di nuova generazione, hardware e software, o gli Unified Threat Management (UTM), ovvero prodotti bundle che propongono diverse funzioni, tra cui appunto un SSL VPN. Un’altra strada che si può percorre per avere un SSL VPN è quella di acquistarlo come appliance virtuale. Indipendentemente da quale tipo di SSL VPN ci si orienti per l’acquisto, la cosa più importante sono le funzioni che devono svolgere e le caratteristiche che offrono questo tipo di prodotti. In questo articolo gli esperti mettono a confronto alcuni tipi di prodotti SSL VPN: i dispositivi stand-alone e le appliance virtuali.

La scelta di valutare solo questi prodotti, rispetto ad altri (ad esempio i nuovi firewall) non significa che i primi siano in assoluto i migliori. Ogni prodotto, indipendentemente dalla sua forma, deve essere valutato per quello che offre. Per questo motivo, un’azienda che sceglie l’innovazione, non deve scartare a priori un prodotto bundle solo perché vuole avere un SSL VPN dedicato. Non almeno senza aver effettuato prima una corretta valutazione di quello che sarebbe più appropriato in base alle proprie effettive esigenze.

I quattro criteri di valutazione

Detto questo, i prodotti SSL VPN dedicati, in sostanza, sono gli stessi che si trovano nei prodotti bundle. Grazie a questo, le valutazioni ottenute in questo articolo possono essere prese in considerazione anche dalle aziende che sono alla ricerca di un prodotto bundle.

I prodotti VPN SSL analizzati sono i seguenti: Barracuda SSL VPN, CheckPoint Mobile Access Software Blade, Cisco IOS SSL VPN, Dell SonicWall Secure Remote Access (SRA), Juniper Networks SA Series, and OpenVPN Access Server.

Ognuno di questi è stato valutato considerando quattro criteri fondamentali: opzioni software rispetto al client VPN, compatibilità con i sistemi operativi, supporto simultaneo agli utenti e controllo di accesso alla rete. I reparti dell’azienda deputati all’acquisto un SSL VPN dovrebbero utilizzare tutti questi parametri per formulare una valutazione globale del prodotto. Ogni azienda, infatti, ha esigenze peculiari rispetto a un’altra. Dunque i risultati sotto riportati non devono essere considerati esaurienti rispetto a un decisione finale di acquisto.

Primo criterio: opzioni software client VPN

Esistono quattro diversi approcci fondamentali rispetto all’adozione del software client SSL VPN:

1. Clientless, ovvero basato esclusivamente sul browser web, senza prevedere un’installazione di software

2. Con un browser plug-in: ad esempio applet Java, esecuzione di controlli ActiveX all’interno del browser

3. Eseguibile in modalità stand alone tramite sistemi operativi dei desktop e dei laptop

4. Tramite applicazione mobile per smartphone e tablet

La tabella seguente mostra le principali differenze tra queste quattro caratteristiche di utilizzo di un SSL VPN. Analizzando queste differenze emerge come non esista un migliore approccio a livello client; infatti, ci sono dei compromessi a cui bisogna sottostare se si preferisce una caratteristica rispetto a un’altra. Ad esempio, un approccio clientless è perfetto e non implica particolari problemi se si vogliono più client connessi simultaneamente, ma, al tempo stesso, offre minori funzionalità. Se invece si decide di puntare a un plug-in del browser o a un metodo eseguibile stand-alone, bisogna essere consapevoli che questi due approcci non funzionano per i dispositivi mobili. Inoltre va tenuto anche conto del fatto che tutti i metodi di approccio offrono il controllo dell’accesso alla rete.

Ogni azienda, insomma, dovrebbe valutare quale sia il metodo o la combinazioni di metodi a livello client più consona alle proprie esigenze. Tutti i prodotti messi sotto esame, come è possibile vedere nella tabella sottostante, supportano più metodi, ma nessuno li supporta tutte e quattro.

Secondo criterio: supporto del sistema operativo

Che si opzioni il metodo eseguibile stand-alone o quello tramite mobile app, entrambi gli approcci al client VPN SSL sono classificabili come pesanti perché richiedono l’installazione di un software (al contrario di un plug-in da installare nel browser che risulta più leggero). Questi software, ovviamente, sono compatibili con sistemi operativi specifici. Quindi, ogni azienda, deve considerare molto attentamente di quali sistemi operativi hanno bisogno i client SSL VPN per essere operativi.

È bene ricordare anche come i metodi di approccio clientless o tramite plug-in del browser funzionino indipendentemente dal sistema operativo dei propri client. Dei sei prodotti valutati solo OpenVPN Access Server non supporta i metodi di approccio clientless e browser plug-in. Quando si valuta un prodotto SSL VPN, non è necessario controllare solo la compatibilità con il sistema operativo. Ci sono opzioni più semplici e meno invasive, (clientless o browser plug-in) che praticamente sono supportate da qualsiasi sistema operativo.

Allo stesso tempo, però, questi metodi di approccio possono offrire un ridotto accesso alle risorse (in particolare i prodotti clientless) e la mancanza di un controllo di accesso alla rete, caratteristica questa che potrebbe portare diversi problemi come dispositivi mal configurati, compromessi, o peggio indesiderati che potrebbero essere in grado di connettersi alla rete aziendale senza un dovuto controllo. Se si opta per l’installazione di un client stand-alone o basato su app mobile, la prima cosa da fare è catalogare tutti i desktop, notebook e dispositivi mobile presenti in azienda a seconda del sistema operativo installato.

Questa operazione, che sulla carta sembra semplice, può diventare molto complicata se l’azienda concede ai dipendenti di utilizzare dispositivi personali (BYOD), o se viene accordata la possibilità a fornitori, partner commerciali o altre figure al di fuori dell’azienda di accedere alla rete aziendale da remoto. La tabella successiva riporta il supporto ai vari sistemi operativi di ogni prodotto preso in esame.

Tra questi Dell SonicWall SRA e OpenVPN Access Server supportano la più grande varietà di sistemi operativi. Nonostante questo, nessun prodotto in tabella supporta tutte le versioni di tutti i sistemi operativi in commercio. Quindi è indispensabile verificare se il prodotto SSL VPN supporta o meno il vostro sistema operativo intallato su desktop, notebook o dispositivi mobile) e se così non fosse, si potrebbe prendere in considerazione un prodotto che si basi sull’utilizzo di un plug-in per browser.

Terzo criterio: supporto simultaneo a più utenti

Le vendita di licenze per i prodotti SSL VPN tipicamente è basato sul numero di utenti che simultaneamente possono accedere alla Virtual Private Network. Esistono eccezioni a questo modello di lincesing, quali appliance virtuali che sono in grado di offrire scalabilità illimitata, ma in generale il modello di vendita delle licenze differisce solo da quante se ne necessitano in base alle esigenze di ogni azienda.

Alcuni vendor propongono diverse versioni di appliance SSL VPN. Ad esempio Barracuda SSL VPN è disponibile in sei diverse versioni hardware che supportano da 15 fino a 1000 utenti simultanei. Oltre a questo Barracuda propone quattro versioni virtuali che gestiscono da 15 a 500 utenti. Si rivolge alle piccole aziende Cisco IOS SSL VPN, che fornisce il supporto da un minimo di 10 fino a 200 utenti connessi in contemporanea, su svariate piattaforme hardware. Per le medie e grandi aziende, spicca Juniper Network SA Series che tramite tre versioni del proprio prodotto arriva a supportare simultaneamente fino a 10.000 utenti e un numero illimitato se si opta per un appliance virtuale. Infine, Dell SonicWall SRA si basa su tre versioni hardware capaci di gestire da 25 a 20.000 utenti simultanei, mentre una versione virtuale è in grado di supportarne fino a un massimo di 5.000.

Oltre a questo modello di licensing, basato sul numero fisso di licenze da acquistare, alcuni prodotti, come Juniper Networks SA Series offrono un upgrade al numero di licenze acquistate per un limitato periodo di tempo, utile nel caso l’azienda si dovesse trovare a gestire situazioni di emergenza. Queste licenze possono essere acquistate in brevissimo tempo ed essere operative da subito, il che le rende ideali in caso di disaster recovery o pianificazioni di emergenza, sempre se l’hardware deputato alla gestione del software SSL VPN sia abbastanza potente nel sostenere un incremento di utenti collegati simultaneamente.

OpenVPN Access Server segue un modello di licensing molto diverso dal resto dei prodotti valutati in questo articolo. Non c’è nessun pacchetto software o hardware da acquistare per utilizzare questo prodotto: tutti i server di Open VPN Access Server sono virtuali. Occorre scaricare un componente sul proprio server che è a disposizione gratuitamente, ma, per aziende che vogliono un accesso simultaneo di almeno 10 dipendenti, queste devono pagare una licenza annuale per ogni utente. Al momento è possibile acquistare una licenza di accesso simultaneo per 10 utenti a meno di 100 dollari all’anno. Da questo è facile intuire come non ci sia un limite massimo di utenti simultanei che OpenVPN sia in grado di gestire, anche se è da tenere presente che il server che si dovrà occupare di governare questa applicazione difficilmente potrà essere in grado di sostenere un numero illimitato di utenti connessi.

In generale, anche in questo caso, non esiste un risposta giusta sul modello di licensing da adottare per ogni azienda. Quelle più piccole, e con minori numero di utenti da gestire, possono in pratica rivolgersi a una qualsiasi delle offerte prese in esame in questo articolo. Le aziende che invece necessitano di avere connessi simultaneamente un grande numero di utenti possono prendere in considerazione le soluzioni di Dell SonicWall SRA, Juniper Network SA serieM e OpenVPN Access Server.

Quarto criterio: il controllo degli accessi di rete

Ultimo criterio per valutare l’efficacia di un prodotto SSL VPN è il supporto al controllo di accesso alla rete. Questa caratteristica coinvolge un vasto numero di funzioni di controllo del client che devono essere in linea con le condizioni di sicurezza messe in atto dall’azienda. Un semplice esempio è verificare la presenza di un software antivirus e l’autenticazione di accesso basato sul controllo di un certificato digitale lato client.

La maggior parte dei prodotti citati in questo articolo prevedono il controllo per l’accesso alla rete, anche quelli che si basano sull’installazione di un plug-in del browser. Gli osservatori fanno notare come i vari vendor siano molto reticenti nel fornire dettagli su come i loro prodotti eseguono il controllo di accesso alla rete. Il rischio è che molti di questi prodotti possano impattare sulla gestione della rete in modo diverso e significativo a seconda del sistema operativo su cui sono installati. Per questo motivo un consiglio utile è quello di consultare il vendor per capire come il suo sistema di controllo di accesso alla rete viene eseguito in base al sistema operativo installato sui client desktop o notebook, o su quelli mobile utilizzati dell’azienda.

Un esempio di controllo di acceso alla rete eseguito in maniera ottimale è quello proposto dal Dell SonicWall SRA. Quest’ultimo è in grado di capire se un dispositivo mobile è stato oggetto di un’operazione di jailbroken e inoltre si occupa di verificare che i vari controlli di sicurezza siano stati installati e configurati correttamente. È in grado anche di esaminare i certificati digitali e di identificare i client per capire se questi sono autorizzati dall’azienda all’accesso remoto alla rete. Altri prodotti che offrono il controllo di accesso alla rete sono Cisco IOS SSL VPN e Juniper Networks SA Series.

In realtà la scelta dipende dal bilanciamento di alcune variabili

Tra i prodotti SSL VPN analizzati fino ad ora non c’è un prodotto migliore in assoluto. Molto dipende dalle esigenza di ogni azienda in termini di tipo di software client da installare, supporto del sistema operativo, numero di licenza utente e controllo di accesso alla rete. Ad esempio se un’azienda consente ai propri dipendenti di utilizzare i dispositivi personali, non può fare a meno di introdurre un severo controllo di accesso alla rete per garantire un elevato grado di sicurezza ai client che accedono da remoto alla rete. Per questo tipo di esigenza, l’azienda può prendere in considerazione il Dell SonicWall SRA e il Juniper Networks SA Series, che offrono, in particolare, un rigoroso controllo dell’accesso alla rete. Se un azienda non permette il BYOD, invece, il controllo di accesso alla rete può essere una funzione superflua.

Per le piccole aziende tutti i prodotti in questa classifica sono una soluzione accettabile. Il Cisco IOS SSL VPN è più adatto per le aziende che dispongono già di un altro prodotto di sicurezza per i loro dispositivi mobili. Check Point Mobile Access Software Blade è adatto per coloro che hanno già prodotti di sicurezza Check Point all’interno della propria rete. Altri prodotti sono adatti alle aziende di piccole e medie dimensioni per la grande quantità di sistemi operativi che supportano, per le funzionalità di accesso alla rete il numero (anche minimo) di utenti che simultaneamente possono supportare. Le grandi aziende, che devono gestire migliaia di utenti connessi in simultanea, sicuramente devono prendere in considerazione in primis le soluzioni Dell SonicWall SRA e Juniper Networks SA Series, e in seconda battuta il Check Point Mobile Access Software Blade e il software open-source OpenVPN Access Server.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati