Workplace ibrido: cloud e sicurezza

Nello scenario attuale, le abitudini professionali si stanno adattando a nuove esigenze. È sempre più diffuso il workplace ibrido, un ambiente dove le persone si trovano a lavorare in modalità diverse – in ufficio, a casa, in mobilità: il tema della sicurezza è diventato centrale.

Aruba, società di Hewlett Packard Enterprise, propone soluzioni di telelavoro per il workplace ibrido basate su reti Wi-Fi /LAN fornite tramite access point di livello aziendale, come ad esempio la soluzione “Home Office”, molto più affidabili in quanto forniscono prestazioni eccellenti e contribuiscono alla creazione di un ambiente di lavoro sicuro, anche da casa, e in cui le responsabilità legate alla sicurezza aziendale non gravano sulle spalle dei dipendenti.

In particolare, in questo ambito HPE Aruba offre Aruba ESP, la prima piattaforma cloud-native del settore basata su AI che prevede e risolve i problemi sull’edge di rete prima che possano verificarsi e permette di estendere l’esperienza del dipendente in un ambiente home office in totale sicurezza.

È costruita su AIOps, sul modello per la sicurezza di rete Zero Trust e su una architettura unificata per ambienti campus, data center, sedi distaccate e di telelavoro che, insieme, danno vita a una piattaforma all-in-one automatizzata per analizzare senza soluzione di continuità i dati in transito attraverso i diversi domini. Aruba ESP tiene traccia dei parametri SLA, individua le anomalie e si auto-ottimizza identificando e mettendo in sicurezza i dispositivi sconosciuti che si connettono alla rete.

Di recente Aruba ESP è stata ulteriormente migliorata con elementi essenziali per garantire una “iper-consapevolezza” dell’ambiente operativo attraverso access point e switch Aruba che agiscono come piattaforme IoT/OT multiprotocollo. Facendo leva sui dati contestuali generati da Aruba ESP e unificando le reti IoT, IT e OT per raccogliere informazioni di contesto complete, è così possibile creare facility ancora più sicure e adattative che migliorano la produttività del workplace ibrido; un notevole salto in avanti rispetto a quanto si può ottenere attraverso una connettività elementare e un monitoraggio basato su tecniche di machine learning.

In altre parole, come conferma Alessandro Ercoli, System Engineering Manager di HPE Aruba Italia, “Aruba ESP è una piattaforma dotata del “sesto senso”, che si basa sugli Insight dell’IA per identificare e risolvere rapidamente i problemi prima che possano causare lamentele da parte degli utenti o avere ripercussioni sul Business. Aruba ESP è un’esperienza che offre un’estrema flessibilità di consumo SaaS e NaaS, grazie ai suoi modelli di finanziamento”.

Rischi e limitazioni che derivano dalla connessione a reti Wi-Fi di router home office

In tema di workplace ibrido è doveroso considerare soprattutto i rischi e le limitazioni derivanti dalla connessione all’ambiente aziendale tramite una rete Wi-Fi home office rispetto all’utilizzo di access point professionali.

1. Accesso da posizioni senza connessione a Internet via cavo. Esistono realtà in cui la copertura fornita dall’operatore è inadeguata o inesistente, il che impedisce di beneficiare di una connessione stabile. Un access point professionale dispone di un uplink universale cablato che può essere connesso a qualunque porta dei router residenziali senza alcuna configurazione. Tuttavia, anche nelle aree in cui non è disponibile una connessione a Internet via cavo (Fibra, ADSL), è possibile dotare l’access point di un modem USB con connessione 3G/4G che consenta di estendere l’ambiente di lavoro mantenendone invariate le garanzie di sicurezza, crittografia, esperienza utente e controllo della navigazione.
2. Capacità di gestione. Il router home office non è controllato dall’azienda e ciò presuppone una limitazione significativa nel momento in cui è necessario gestire la connessione Wi-Fi dei telelavoratori. L’access point professionale e la rete Wi-Fi aziendale sono interamente gestiti dall’azienda, il che consente una visibilità molto più completa e capacità avanzate di risoluzione di problemi di qualunque tipo da remoto. Inoltre, l’azienda può occuparsi attivamente degli aggiornamenti di firmware dell’access point, affinché questo rimanga protetto da nuovi attacchi.
3. Efficienza della rete Wi-Fi. L’efficienza e la velocità di connessione fornite da una rete Wi-Fi home office condivisa da decine di dispositivi senza che sia possibile mettere in atto meccanismi di qualità del servizio sono soggette a limitazioni evidenti. Rispetto a un router home office, un access point professionale presenta chiari vantaggi in termini di efficienza, velocità e prioritizzazione del traffico. Se a ciò aggiungiamo che l’access point si collega direttamente via cavo al router (il che neutralizza le limitazioni che contraddistinguono la connessione Wi-Fi del router) e che il numero di dispositivi connessi alla rete Wi-Fi aziendale è notevolmente inferiore (solitamente tra 1 e 3) a quello dei dispositivi collegati alla rete Wi-Fi home office, otteniamo un’esperienza d’uso nettamente migliore.
4. Copertura di segnale Wi-Fi. La copertura di segnale Wi-Fi offerta da un router home office è inferiore rispetto a quella fornita da un access point professionale. Si tratta di un fattore rilevante in quanto potrebbe costringere il telelavoratore a privilegiare il suo posizionamento vicino al router per beneficiare di una buona copertura di rete a discapito di altre ubicazioni che potrebbero risultare più opportune per lavorare (luce migliore, meno rumore, comodità, utilizzo di una scrivania, ecc.). Le soluzioni basate su access point professionali offrono molta più libertà e consentono quindi al dipendente di posizionarsi dove preferisce senza doversi preoccupare della copertura di rete.

Contrastare il rischio di attacchi informatici

Inoltre, un rischio concreto che il workplace ibrido pone alla sicurezza è rappresentato dagli attacchi informatici diretti ai dipendenti che lavorano dalle proprie case, un’eventualità che potrebbe provocare danni notevoli all’organizzazione coinvolta. Per questo HPE Aruba ha realizzato una guida specifica a supporto delle aziende per contrastare possibili attacchi informatici. Adatta a imprese di ogni genere e settore, la guida di HPE Aruba descrive i principali rischi per la sicurezza che i criminali informatici tendono a sfruttare e le procedure da adottare per evitarli.

1. Aumento della superficie di attacco. Gli ambienti domestici, che fino a poco tempo fa non erano attraenti agli occhi dei criminali informatici, sono diventati un obiettivo di attacco prioritario per l’elevata probabilità che persone impegnate nel telelavoro abbiano accesso a preziose informazioni aziendali. La soluzione più utilizzata a casa è un router home office ma i vari modelli di router domestici sono ormai noti e, con essi, si conoscono anche i loro punti deboli.

   Per risolvere questo problema, HPE Aruba suggerisce di utilizzare un access point enterprise, gestito dall’azienda, con cui è possibile creare una rete WiFi corporate sicura separata dal WiFi di casa e protetta da un ulteriore livello di firewall implementato dall’access point stesso.

2. Connessione a reti WiFi non sicure. La necessità di collegarsi alle reti Wi-Fi home office implica che i dispositivi aziendali debbano connettersi a reti Wi-Fi di ogni tipo, anche non sicure. Inoltre, il fatto che in molti casi sia l’utente a decidere quando attivare il proprio client VPN lascia aperta la possibilità che possa connettersi senza che l’azienda, tramite la VPN, possa attuare politiche che impediscano comportamenti potenzialmente dannosi.

   Per questo, HPE Aruba propone di utilizzare risorse basate su un access point business che replica la medesima rete WiFi aziendale dell’ufficio. Un dispositivo aziendale sarà così abilitato esclusivamente alla connessione alla rete WiFi dell’azienda, bloccando qualsiasi altra rete WiFi e aumentando il livello di sicurezza e robustezza crittografica del workplace ibrido.

3. Rete condivisa all’interno dell’ambiente home office. I dispositivi aziendali si connettono alla stessa rete WiFi a cui si collegano gli altri dispositivi domestici. Ognuno di essi, nel caso in cui sia stato compromesso da un attacco informatico, è un rischio notevole perché potrebbe attaccare i dispositivi aziendali per introdurvi dei malware che consentano ai cyber criminali di accedere a dati sensibili.

   Nel caso di un access point business, invece, i dispositivi aziendali sono connessi a una VLAN aziendale indipendente gestita dalla azienda stessa; il che rende impossibile la comunicazione tra dispositivi aziendali e dispositivi domestici.

4. Crittografia e meccanismi di sicurezza WiFi. I criminali informatici sono consapevoli delle vulnerabilità derivanti dalla debole crittografia delle reti Wi-Fi home office e sono in grado di servirsene per accedere alle informazioni trasmesse da qualsiasi dispositivo connesso a queste reti. Inoltre, una volta che il criminale informatico riesce ad accedere alla rete domestica, ottiene connettività diretta con il dispositivo aziendale e può tentare di sfruttarne le vulnerabilità.

   Un access point business dispone di meccanismi crittografici più solidi che prevedono credenziali differenti per ciascun dispositivo e il supporto del nuovo standard di sicurezza WPA3 che evita accessi non autorizzati alla rete e la decodifica delle informazioni trasmesse.

5. Rilevamento di attacchi di intrusione radio (IDS/IPS). Un dispositivo manomesso potrebbe lanciare attacchi DoS (Denial of Service) per impedire l’accesso agli altri dispositivi collegati alla stessa rete Wi-Fi home office. Un dispositivo alterato potrebbe agire come “falso” access point, sostituendosi al router home office. Il dispositivo aziendale potrebbe inavvertitamente connettersi a questa rete Wi-Fi e ricevere dall’access point non autorizzato indirizzi di server maligni che potrebbero bloccare la connessione o portare il dipendente a visitare pagine Web maligne mentre naviga con la VPN disattivata.

   Attraverso un access point enterprise HPE Aruba offre una doppia protezione: da un lato la capacità di identificare e inibire l’access point “rogue”, dall’altro un meccanismo di autenticazione che può essere incorporato sulla base di certificati che permettono al dispositivo aziendale di verificare l’identità del server aziendale al quale si collegherà solo se il certificato presentato dal server corrisponde a quello memorizzato nel database locale del dispositivo, evitando così qualsiasi connessione a possibili router fasulli.

Conclude Stefano Brioschi, Category Manager di HPE Aruba Italia: “Gli eventi della prima metà del 2020 hanno accelerato la necessità per i responsabili IT di adeguarsi ai cambiamenti, per supportare una forza lavoro sempre più flessibile e distribuita. Investire sull’Edge per le aziende è diventata una necessità per poter avere controllo, sicurezza, affidabilità e dati elaborati vicino al device. La nostra strategia è di poter utilizzare implementazioni cloud già esistenti per assistere rapidamente il cliente in questa trasformazione digitale. Siamo convinti che la nostra tecnologia possa permettere alle aziendi anche in questo momento di continuare il business, perseguire i propri obiettivi e rispondere alle esigenze dei clienti”.